Die Anrufer bei der Südwestfalen-IT (SIT) begrüßte am Donnerstag nur eine Stimme vom Tonband. Der Sprecher erklärte, dass man derzeit aufgrund einer Cyberattacke alle ausgehenden Telefonate geblockt habe. Die Weiterverbreitung des Schädlings innerhalb des Netzwerks soll damit verhindert werden. In einer Pressemitteilung berichtete der IT-Dienstleister mit Sitz in Hemer zudem, dass Hacker mittels Ransomware, einer Art Erpressungstrojaner, das System infiltriert hätten.

Mit dem Coup legten die kriminellen Hacker 72 Kommunen in Nordrhein-Westfalen lahm. Betroffen sind der Hochsauerlandkreis, der Märkische Kreis, Olpe, Siegen-Wittgenstein, Soest sowie zahlreichen Kommunen im Oberbergischen Kreis und im Rheinisch-Bergischen Kreis bis hin nach Leichlingen.

Allenthalben brachen die Serviceportale samt den kommunalen Homepages zusammen. Quasi alle Verwaltungsaufgaben der betroffenen Gemeinden kamen zum Stillstand. Nichts geht mehr: Keine Sozialleistungen oder Elternbeiträge fließen, E-Mailverkehr ist nicht möglich, die Kfz-Anmeldung ebenso wenig, keine neuen Führerscheine oder Personalausweise können ausgestellt werden.

Schwachstelle beim IT-Dienstleister ausgenutzt?

Wie der „Kölner Stadt-Anzeiger“ aus Düsseldorfer Sicherheitskreisen erfuhr, fielen in Olpe und Siegen zeitweilig die Rettungswagen aus, weil die GPS-Tracker der Fahrzeuge nicht mehr funktionierten. Mit ihrer Hilfe können jene Sanitäter geortet werden, die sich in der Nähe eines Einsatzortes befinden.

Der flächendeckende Angriff ist der größte seiner Art auf NRW-Kommunen. Inzwischen ermittelt die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC) bei der Kölner Staatsanwaltschaft. Eingeschaltet sind ebenfalls das Landeskriminalamt und das Bundesamt für die Sicherheit in der Informationstechnik (BSI). Wie diese Zeitung aus Polizeikreisen erfuhr, müssen die Cyber-Kriminellen wohl eine Schwachstelle bei dem Dienstleister Südwestfalen-IT ausgenutzt haben. „Bei jedem dieser Firmen ist es üblich, Sicherheitsupdates durch sogenannte Patch-Days durchzuführen. Das kann aber Tage dauern und hier können sich Schutzlücken ergeben“, erklärt ein ehemaliger hochrangiger Cyber-Ermittler.

Gab es Lösegeldforderungen. Kein Kommentar von Staatsanwalt Christoph Hebbecker

Üblicherweise erfolgen nach geglückten Hackerangriffen Lösegeldforderungen, um im Gegenzug die IT-Systeme wieder zu entsperren. Ob es auch in diesem Fall entsprechende Aufrufe der Verursacher gab, wollte der Sprecher der ZAC, Staatsanwalt Christoph Hebbecker, nicht kommentieren. „Nach dem Ergebnis der bisherigen Ermittlungen wurde in den frühen Morgenstunden des 30. Oktobers eine Verschlüsselung einzelner auf den Systemen der SIT befindlicher Dateien festgestellt“, so Hebbecker. Daraufhin seien sämtliche IT-Systeme der Firma durch diese vorsorglich heruntergefahren worden.

„Ausmaß und Umfang der durch den Angriff bei den einzelnen Kreisen und Städten entstandenen Schäden und Beeinträchtigungen sind Gegenstand der noch andauernden Ermittlungen. Gleiches gilt dafür, ob und inwieweit es zu einem Abfluss von Daten bei den betroffenen Systemen gekommen ist“, teilte der Behördensprecher per Mail mit. Wann die Kommunen wieder normal arbeiten können, ist noch unklar.

Prozessauftakt

Fünf Polizisten stehen nach Tod eines Kölners vor Gericht

Von

Clemens Schminke

Merken

Dass gerade IT-Sicherheitsdienstleister gehackt werden, ist kein Ruhmesblatt. Nach Erkenntnissen der Cyber-Abwehr stehen diese Unternehmen ganz oben auf der Angriffsliste. Weltweit plündern Hacker-Banden Daten oder infiltrieren wichtige Server von Regierungen oder Konzernen. Im Mai entdeckten Mitarbeiter einer US-Regierungsbehörde dubiose Zugriffe auf ihre E-Mails. Eine Sicherheitsanalyse führte auf die Spur chinesischer Angreifer, die den Mail-Service von Microsoft gehackt hatten.

Dabei stellte sich heraus, dass die IT-Kriminellen einen Sicherheitsschlüssel gestohlen hatten, mit dem sie sich selbst sogenannte Zugangstokens für den Outlook-Service ausstellen konnten. Analysen von Sicherheitsdiensten führten zu besorgniserregenden Ergebnissen: Alle Dienste der Microsoft-Cloud seien betroffen und extrem gefährdet, so das Resümee. Microsoft wiegelte zwar mit dem Hinweis ab, man habe den Angriff der chinesischen Hackertruppe geblockt. Zudem seien nur die Dienste Outlook und Exchange Online zeitweilig betroffen gewesen.

Bundesinnenministerin Nancy Faeser legt neuen Bericht zur Cybersicherheitslage vor

Inzwischen zielen ausländische Hackerangriffe auf viele Bereiche hierzulande ab – sei es auf Kliniken, Universitäten, Rüstungs- und viele andere Wirtschaftsbetriebe, Parlamente oder Ministerien. So versuchten russische Gruppen wie „Snake“, sich Zugänge bis ins Auswärtige Amt zu verschaffen.

Die hiesigen Sicherheitsbehörden beobachten den Trend mit großer Besorgnis. Zumal es den Cyber-Jägern angesichts der globalen Herausforderungen, die teils staatlich protegierte Hacker-Gruppen an sie stellen, kaum gelingt, Erfolge zu erzielen: Am Donnerstag stellte Bundesinnenministerin Nancy Faeser (SPD) mit der BSI-Präsidentin Claudia Plattner den neuen Bericht zur Cybersicherheitslage vor. Nach Angaben der Ministerin belegt der Report, dass „die Bedrohungslage im Cyberraum weiter angespannt ist“. So registriert das BSI täglich rund 250.000 neue Varianten von Schadprogrammen und 21.000 mit Schadsoftware infizierte Systeme.

„Hinzu kommen durchschnittlich 70 neue Sicherheitslücken pro Tag, von denen jede zweite als hoch oder kritisch eingestuft wird. Das entspricht einer Steigerung von 24 Prozent gegenüber dem Vorjahr“, lautet die Analyse. Nach wie vor gehe von Ransomware-Angriffen die größte Bedrohung aus. „Sie verursachen einen Großteil der wirtschaftlichen Schäden, die durch Cyberattacken entstehen. Insbesondere kleine und mittlere Unternehmen, Kommunen und kommunale Betriebe sind von den oft schwerwiegenden Folgen dieser Angriffe betroffen.“

Stadt Köln hat bei der IT-Sicherheit aufgerüstet

Mit Blick auf politisch motivierte Angriffe warnen die Experten vor Hackern, die mithilfe Künstlicher Intelligenz Texte, Stimmen oder Bildmaterial schaffen, verändern oder verfälschen. „Die Gefahr von Desinformation und Cybermobbing durch gefälschte Bilder oder Videos ist gestiegen“, so das Fazit.

Die Bedrohung durch Hackerangriffe beschäftigt seit Jahren auch die Stadt Köln. Die Sicherheit der städtischen Informationen habe höchste Priorität, berichtete eine Sprecherin. Bereits im Jahr 2002 sei aufgrund der Empfehlung des BSI ein Information Security Management (ISM) aufgebaut worden.

„Die entsprechenden Schutzmaßnahmen werden nach den Empfehlungen des BSI umgesetzt und durch selbst entwickelte Methoden zur Verbesserung der IT-Sicherheit ergänzt“, hieß es auf Anfrage weiter. „Ganz aktuell wurde der Stadt Köln für ihre organisatorischen und technischen Sicherheitsmaßnahmen zum Verfahren der Verwaltung des Personenstandsregisters durch das BSI ein ISO 27001 Zertifikat auf Basis von IT-Grundschutz verliehen.“