In Folge des Cyberangriffs auf den kommunalen Dienstleister „Südwestfalen IT“ (SIT) haben die Hacker offenbar keine Daten aus der Leichlinger Stadtverwaltung stehlen können. Das geht aus einer Antwort der Verwaltung auf eine Anfrage der SPD-Fraktion hervor.

Die Sozialdemokraten wollten wissen, ob oder welche persönlichen Daten von Bürgerinnen und Bürgern betroffen gewesen sein. „Bei der forensischen Analyse durch externe [...] Cyber-Security-Experten konnten keine Hinweise für einen Abfluss von Daten festgestellt werden“, heißt es in der Antwort der Verwaltung. Seit dem Cyberangriff in der Nacht vom 29. auf den 30. Oktober habe man auch das Darkweb beobachtet und ebenfalls keinen Datenabfluss festgestellt.

Viele Systeme bei der Stadt laufen inzwischen wieder, unter anderem das Bürgerbüro, das Standesamt, der Bereich Finanzen oder das Sozialamt. Bürgermeister Frank Steffes hatte zuletzt erklärt, dass die Verwaltung voraussichtlich demnächst auf mehrere Dienstleister setzen werde, um die IT-Sicherheit zu erhöhen. Ohnehin sei bei der Stadt nicht alles über die SIT gelaufen, weshalb sich der Schaden im Vergleich zu manch anderen Kommunen in Grenzen gehalten habe. Die Verwaltung formuliert ihre künftige Strategie so: „IT-Dienstleistungen und Infrastrukturen sollten nicht nur bei einem einzigen Anbieter unter einem Dach gebündelt werden, sondern auf mehrere Anbieter verteilt werden, sodass es nicht zum Gesamtausfall, sondern maximal noch zu einzelnen Totalausfällen kommen könnte.“

Leichlingen: Noch keine Auskunft zu Haftungsansprüchen

Die SPD wollte zudem wissen, wie es mit möglichen Regressansprüchen der Stadt gegenüber der SIT aussehe und ob es eine gemeinsame Initiative betroffener Kommunen gebe. Eine solche Initiative sei der Stadt nicht bekannt, antwortet die Verwaltung. Auch könne man nicht beantworten, ob Haftungsansprüche bestünden.

Die SIT legt nun den forensischen Bericht über den Tathergang vor. Die Angreifer hätten über eine VPN-Lösung eindringen und weitere Hürden überwinden können, heißt es in einer Mitteilung, die die SIT jetzt veröffentlicht hat.  Dann hätten die Hacker eine „Ransomware“ ausführen können. Also eine Software, die in der Regel auf Verschlüsselung von Daten abzielt, wie das Bundesamt für Sicherheit in der Informationstechnik mitteilt, und häufig verwendet werde, um Lösegeld zu erpressen. „Ransom“ ist das englische Wort für Lösegeld.

Die SIT teilt ebenfalls mit, dass wohl keine Daten abgeflossen seien, auch die Back-ups seien nicht betroffen gewesen. Zum Ende des ersten Quartals 2024 soll bei den betroffenen Kommunen wieder Normalbetrieb herrschen.

Nach Hacker-Angriff

Abbuchungen per SEPA-Mandat sind in Leichlingen wieder möglich

Merken

 Die SIT bekommt derweil zum 1. Februar einen neuen Geschäftsführer. „Ihm obliegt auch die Aufarbeitung des Vorfalls sowie das Ableiten entsprechender Konsequenzen“, heißt es in einer Mitteilung, die das Unternehmen jetzt veröffentlicht hat.

Die technischen Details

In der Nacht zum 30. Oktober 2023 hat die SIT verschlüsselte Dateien mit der Endung „.akira“ entdeckt – ein erster Hinweis auf die gleichnamige Ransomware-Gruppe. Sie waren über eine „Zero-Day-Schnittstelle“, also eine Software-Lücke, die Hackern vor den Herstellern auffällt, ohne mehrfache Authentifizierung (Multi-Faktor-Authentifizierung) ins interne Netzwerk gelangt. Woher sie die Zugangsdaten hatten, kann die SIT noch nicht sagen. Die Angreifer hätten sich danach zentrale Systeme und wichtige Fachverfahren für die SIT-Kunden konzentriert. Das Unternehmen fuhr alles herunter und isolierte diese Systeme. „Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren“, sagt dazu Verbandsvorsteher Theo Melcher. In Zukunft soll die System-Architektur „robuster“ gestaltet werden. (nip)