Südwestfalen IT: Deutsche Verwaltungen durch Ransomware-Angriff gestört
IT-Dienste zahlreicher deutscher Stadt-, Kreis- und Gemeindeverwaltungen sind seit über einer Woche beeinträchtigt. Einige Einrichtungen mussten sogar für den Publikumsverkehr geschlossen bleiben. Grund dafür ist ein Ransomware-Angriff auf den Dienstleister Südwestfalen IT. Wer genau hinter dem Angriff steckt, ist noch unklar.
Viele Verwaltungen seit einer Woche beeinträchtigt
Schon Anfang letzter Woche tauchte eine Reihe von Medienberichten über einen Cyberangriff auf die Südwestfalen IT (SIT) auf. Einen Überblick verschafft seither das Webportal Kommunaler Notbetrieb mit einer umfangreichen Auflistung entsprechender Meldungen. Der Dienstleister hatte seine Systeme, nachdem er den Angriff bemerkte, aus Sicherheitsgründen vom Netz genommen – und damit auch die IT-Dienste vieler daran angeschlossener Kommunen in NRW.
Während einige Dienste seither gar nicht mehr verfügbar waren, wurden für andere teilweise Notfall-Webseiten eingerichtet. Bürgerbüros, KFZ-Zulassungsstellen sowie viele weitere Verwaltungseinrichtungen konnten ihre Dienste nicht aufrechterhalten und blieben zuletzt für Besucher vollständig geschlossen.
Südwestfalen IT bestätigt Ransomware-Angriff
Während die Art des Angriffs vor einer Woche noch unbekannt war, hat die Südwestfalen IT inzwischen bestätigt, Opfer einer Ransomware-Attacke geworden zu sein. Festgestellt habe das Unternehmen den Angriff in der Nacht von Sonntag auf Montag, also vom 29. auf den 30. Oktober, heißt es in einer Mitteilung. Techniker des Dienstleisters entdeckten unerwartet verschlüsselte Daten auf den Servern der SIT. Dies sei ein Hinweis auf einen unautorisierten externen Zugriff gewesen. Das Personal habe unverzüglich eine Untersuchung sowie erste Maßnahmen zur Schadensbegrenzung eingeleitet.
Der Dienstleister habe unter anderem die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen gekappt, heißt es weiter in der Mitteilung. Infolgedessen sei es den Kommunen derzeit nicht möglich, auf die von der Südwestfalen IT bereitgestellten Systeme zuzugreifen. Massive Einschränkungen der von den Verwaltungen für die Bürger angebotenen Dienstleistungen sind die Folge.
Mehr als 100 Verwaltungen betroffen
Der Südwestfalen IT zufolge sind wohl in erster Linie 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen von den Ausfällen betroffen. Der Dienstleister benennt konkret die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis. Darüber hinaus betreffe der Vorfall aber auch ein paar externe Kunden im Bundesgebiet.
Das Webportal Kommunaler Notbetrieb geht sogar von 103 beeinträchtigten Stadt-, Kreis- und Gemeindeverwaltungen aus. Dort werden der Regierungsbezirk Arnsberg, das Ruhrgebiet, der Rheinisch-Bergische Kreis, die Stadtverwaltungen von Borken, Ratingen und Schleiden sowie die Stadt- und Kreisverwaltung Euskirchen als betroffene Regionen und Einrichtungen genannt. Die Standorte der Verwaltungen sind auf einer auf der Webseite eingeblendeten Karte ersichtlich.
Ransomware-Angreifer noch unbekannt
Wie unter anderem der Spiegel berichtet, erklärte die Dortmunder Polizei gestern unter Verweis auf die Zentral- und Ansprechstelle Cybercrime (ZAC) der Kölner Staatsanwaltschaft, die Ransomware sei mit dem Ziel eingesetzt worden, ein Lösegeld zu erpressen. Allerdings sei noch unklar, wer genau hinter dem Angriff stecke. Kontakt zur Tätergruppe bestehe derzeit nicht.
Die Südwestfalen IT behauptet, sie stehe mit dem LKA, dem BSI sowie externen Sicherheitsdienstleistern in Kontakt, „um schnellstmöglich Klarheit hinsichtlich des Ursprungs des Angriffs zu bekommen, das Ausmaß des Angriffs zu ermitteln und die Infrastruktur der SIT zu härten“. Weitere Erkenntnisse zu dem Vorfall wolle das Unternehmen zeitnah bereitstellen, sobald diese vorliegen.
Schon Mitte Oktober kam es zu einer Reihe von DDoS-Angriffen, durch die Cyberkriminelle die Webportale mehrerer deutscher Städte für Besucher unerreichbar machten. Im Gegensatz zu jenen, die eine Ransomware einschleusen, erhalten DDoS-Angreifer aber üblicherweise keinen Zugriff auf die auf den Zielsystemen gespeicherten Daten. Der Cyberangriff auf die Südwestfalen IT könnte also noch weitaus schwerwiegendere Folgen nach sich ziehen. Ob dabei auch sensible Daten deutscher Bürger abgeflossen sind, wird sich erst noch zeigen müssen.
Gestern hat die Südwestfalen-IT in einer Mitteilung über die bisherigen Erkenntnisse im Zusammenhang mit dem Cyberangriff aufgeklärt. Verantwortlich war demnach die Ransomware-Gruppe Akira. Der Erstzugriff auf die Systeme des Dienstleisters sei über eine Zero-Day-Schwachstelle in einer von der SIT verwendeten VPN-Lösung gelungen. Danach konnten sich die Angreifer wohl Administrationsberechtigungen für eine Windows-Domäne zur Verwaltung der zentralen Systeme und wichtigen Fachverfahren für sämtliche Kunden der Südwestfalen-IT verschaffen.
Daten seien nach bisherigen Erkenntnissen nicht abgeflossen, das Darkweb werde kontinuierlich auf eine mögliche Datenveröffentlichung hin überwacht. Auch Backups seien nicht betroffen, heißt es. Die von den Angreifern ausgenutzten Sicherheitslücken seien geschlossen worden. Erste wesentliche Fachverfahren wolle man in Abstimmung mit den Kreisen und Kommunen bis Ende des ersten Quartals 2024 wieder in den Normalbetrieb überführen.
Ab dem 1. Februar soll Mirco Pinske als neuer Geschäftsführer der Südwestfalen-IT das Ruder übernehmen. Zu seinen vordringlichsten Aufgaben gehöre es dann, den gesamten Vorfall umfassend aufarbeiten und entsprechende Konsequenzen abzuleiten und umzusetzen. Langfristig seien wesentliche Änderungen an der Systemarchitektur des Unternehmens geplant, um das System robuster zu gestalten und derartige Vorfälle künftig bestmöglich auszuschließen.