Am Ende wird es gut ein Jahr dauern, bis der immense Schaden bei der Südwestfalen-IT repariert ist: Erst Ende 2024 sollen sämtliche Systeme in allen Kommunen wieder vollständig laufen. Das kündigten die Geschäftsführer Mirco Pinske und Jörg Kowalke am Donnerstagabend in Burscheid an. Das eine oder andere läuft noch im Notbetrieb.

Der bisher schwerwiegendste Hacker-Angriff auf öffentliche Datennetze hatte am 29. Oktober 2023 seine ganze Wucht entfaltet: Massenhaft wurden Dateien verschlüsselt, nachdem sich die Angreifer des aus Russland gesteuerten Kira-Netzwerks Administratorrechte verschafft hatten. Dazu hatten sie – nachdem sie die Systematik der Anmeldenamen bei SIT verstanden hatten – systematisch Passwörter durchprobiert.

Zwei-Faktor-Anmeldung gab es nicht

Dass dies überhaupt möglich war, sei eine der großen Schwachstellen im SIT-System gewesen, von dem 72 Städte und Kreise technisch abhängig sind, räumten Pinske und Kowalke ein. Das von SIT eingesetzte System von Cisco erlaube beliebig viele Versuche, sich einzuloggen. Aber eigentlich ist es Standard, dass der Nutzer nach vier, fünf falschen Passwort-Eingaben erst einmal ausgesperrt wird. So wie man es zum Beispiel vom Geldautomaten kennt.

Dass es bei SIT, wo Tausende Nutzerkonten betreut werden, keine durchgängige Zwei-Faktor-Authentifizierung gab, bezeichnete Mirco Pinske als Versäumnis: „Das hätte das Unternehmen haben sollen“, sagte der Geschäftsführer. Freilich hat er das Privileg, so etwas unbefangen aussprechen zu können: Pinske hat erst im Februar bei SIT angefangen. Eine Verantwortung für Versäumnisse, die es den Hackern vorigen Oktober offenkundig leichter gemacht haben, hat er nicht.

Elf Tage blieben die Hacker unbemerkt

Die Hacker hatten sich schon am 18. Oktober vorigen Jahres Zugang zu den SIT-Systemen verschafft, weiß man inzwischen. Elf Tage konnten sie sich also unbemerkt auf den Servern des kommunalen IT-Dienstleisters bewegen. Die Zeit nutzten sie, um sich Administrator-Rechte zu verschaffen.

Am Sonntagnachmittag, 29. Oktober 2023, begannen sie dann, Dateien zu verschlüsseln. In der Nacht zum Montag seien zwischen 2 und 6.30 Uhr sämtliche Server heruntergefahren, die Verbindungen zu den 72 Kommunen und die Internetanbindung von SIT gekappt worden, berichtete Mitgeschäftsführer Kowalke im Burscheider Rathaus. Um 8 Uhr sei das renommierte IT-Sicherheitsunternehmen r-tec beauftragt worden, sechs Stunden später seien die Spezialisten in der SIT-Zentrale in Siegen eingetroffen. Bis zum 31. Dezember habe man die Schäden in den Systemen untersucht. 

Noch sind keine Daten abgeflossen

Dass die Hacker gegen Lösegeld anboten, die Dateien wieder zu entschlüsseln, ist geläufig. Auch, dass SIT darauf nicht eingehen konnte. Dass keine Daten aus den 72 Kommunen im Darknet zu finden sind, ist aber nur eine Momentaufnahme. Endgültig sicher ist das nicht, räumte Mirco Pinske ein.

Länger als ein gutes Jahr dürfte es aber dauern, bis das Vertrauen in den Daten-Dienstleister wieder hergestellt ist. Wenn das denn überhaupt klappt. Am Donnerstagabend machte im Hauptausschuss Michael Baggeler vom Bündnis für Burscheid die Erwartung deutlich, dass die SIT-Führung nicht nur nach vorne schaut mit dem Ziel, ihre Systeme zu „härten“, wie Computerleute das nennen. Es gehe auch darum, das Versagen der Systeme aufzuarbeiten. Baggelers Eindruck: Bei SIT sei man in Sicherheitsfragen „fahrlässig“ gewesen. Die Folge: Burscheids Bürger waren monatelang von Dienstleistungen der Stadt abgeschnitten. Nur mit Kraftakten konnten die Städte zum Beispiel die Auszahlung von Wohngeld und anderen, für das Dasein entscheidenden Transfers sicherstellen.

Das Land musste eingreifen

Es bedurfte überdies einer Sondererlaubnis des Landes Nordrhein-Westfalen, das die Auto-Zulassung vom Wohnort entkoppelte. SIT-Manager Kowalke erinnerte daran, dass unmittelbar nach dem Hacker-Angriff Ende Oktober der Zeitpunkt liegt, an dem Autoversicherungen gewechselt werden, weil es bei den Prämien oft große Verschiebungen gibt.

Zu den Verheerungen, mit denen die Stadt- und Kreisverwaltungen intern zu kämpfen hatten, gehörten fehlende Etat-Daten. Auch Burscheids Haushaltsplan wurde Monate später fertig. Bisher keine Beachtung fand, dass im Spätherbst auch schon die Europawahl vorzubereiten war. Auch die für die Kandidaturen notwendigen Unterstützerlisten waren zunächst nicht aufzustellen.

Das alles zeigt, wie kritisch der Einbruch in kommunale Rechner ist. Für Mirco Pinske liegt es auf der Hand, dass kommunale IT genauso „kritische Infrastruktur“ ist wie die von Versorgungsunternehmen. Deshalb müsse man auch darüber nachdenken, wie so etwas sicherer organisiert werden kann. Der Strauß an Programmen, die auf kommunalen Rechnern laufen, um bestimmte Dienstleistungen abzuwickeln, ist dem neuen SIT-Chef erkennbar zu bunt. Die „sehr heterogene Software-Landschaft“ erfordere sehr viel Aufmerksamkeit, einfach weil es kein Programm ohne Sicherheitslücken gebe.

Regenwasser

Wie Burscheid das „Haus der Kulturen“ umweltfreundlicher machen will

Merken

Pinske findet, dass mehr standardisiert werden muss. Und ob es überhaupt sinnvoll ist, allein in Nordrhein-Westfalen 35 kommunale IT-Dienstleister zu haben – Baden-Württemberg hat einen. Andererseits gibt es die Überlegung, besonders wichtige Prozesse parallel in anderen Rechenzentren laufen zu lassen, damit man im Fall eines Angriffs schnell umschalten kann. Eine Idee, der CDU-Fraktionschef Hartmut Schepanski viel abgewinnen kann. Für sein Pendant bei den Grünen, Sabine Wurmbach, ist klar: „Wir müssen mehr kooperieren.“ Das sei aber leichter gesagt als getan, das sehe man ja schon im Rheinisch-Bergischen Kreis.