Navigation

Ein Jahr nach dem Hackerangriff auf Kommunen

Veröffentlicht: Donnerstag, 31.10.2024 00:00

Im kommenden Jahr will Südwestfalen-IT weiter in die IT-Sicherheit investieren.

Genau ein Jahr ist es her, dass die Südwestfalen-IT von kriminellen Hackern angegriffen wurde. In der Folge waren die meisten Kommunen und die Kreisverwaltung im HSK lahmgelegt. Eine Ransomware-Gruppe hatte die Systeme verschlüsselt. 72 Mitgliedskommunen aus dem Verbandsgebiet waren insgesamt betroffen. In den darauffolgenden Monaten wurde mit Hochdruck daran gearbeitet die Systeme wieder zum Laufen zu bringen. Im HSK konnten beispielsweise wochenlang keine Autos in der Zulassungsstelle des Kreises angemeldet werden.


Der Krisenmodus dauerte insgesamt 11 Monate. Am 30.09.2024 konnte die Organisation wieder in den Normalmodus wechseln. Zum jetzigen Zeitpunkt stehen nahezu 100% des Produktportfolios von rund 160 Anwendungen wieder im vollen Funktionsumfang zur Verfügung, heißt es. Mirco Pinske ist seit 01. Februar 2024 Geschäftsführer der Südwestfalen-IT. Für Bürger-, Finanz- und Sozialdienste – wurde der Normalbetrieb bereits vor mehreren Monaten bzw. Wochen erreicht. Aktuell seien vereinzelt noch kleine Restarbeiten zu erledigen, heißt es.

Südwestfalen-IT für die Zukunft aufgestellt

Gemeinsam mit externen IT- und Cyber-Security-Experten hat die Südwestfalen-IT in den vergangenen Monaten zahlreiche Sicherheitsvorkehrungen in allen aktuell eingesetzten Systemen eingebaut, heißt es. Man habe Lehren aus dem Vorfall gezogen. Um einen möglichen Schaden auf einzelne Bereiche zu begrenzen, werden die Systeme bspw. noch stärker abgegrenzt. Der VPN-Zugang wurde verbandsweit flächendeckend vereinheitlicht und extra gesichert (Multi-Faktor-Authentifizierung mit One-Time-Passwort und Zertifikat). Mittels leistungsstarker Software wurde im Bereich Virenschutz sowie Angriffserkennung und -abwehr aufgerüstet, so die Organisation.

Investitionen

In die IT-Sicherheit soll 2025 ein hoher 6-stelliger Betrag fließen. Die Infrastruktur werde – ebenso wie interne Strukturen und Prozesse – regelmäßig von externen Experten und Gutachtern auf Verbesserungspotential hin analysiert und auditiert. Eine 100- prozentige Sicherheit gegen solche Vorfälle gibt es allerdings nicht, so Mirco Pinske: „Cyberkriminelle passen ihre Angriffe kontinuierlich an neue Technologien und Verteidigungsmaßnahmen an, weshalb es unmöglich ist, zukünftige Angriffe völlig auszuschließen. Unsere Systeme entsprechen dem aktuellen Stand der Technik, und wir arbeiten kontinuierlich daran, den Schutz weiter zu optimieren.“


Mirco Pinske sieht auch regionalen und nationalen Handlungsbedarf: „Die Vielfalt der Anwendungen muss reduziert werden, für gleichartige Aufgaben darf es im Verbandsgebiet auch nur jeweils ein System geben. Das würde auch im Krisenfall die Zeit bis zu einer erfolgreichen Wiederherstellung verkürzen.“ Zudem fordert er, IT-Sicherheit ganz offiziell zur Chefsache zu machen.

Größter Angriff auf kommunale Verwaltung

Der Ransomware-Angriff auf die Südwestfalen-IT war bundesweit der bisher größte und komplexeste Vorfall dieser Art. Bevor wiederhergestellte bzw. wiederanlaufende Server in Betrieb genommen wurden, zurückgesicherte Daten freigegeben wurden oder Fachverfahren wieder ans Netz gebracht wurden, mussten jeweils umfangreiche organisatorische und technische Sicherheitsanforderungen erfüllt werden. Der Wiederanlauf der rund 160 Fachverfahren wurde gemeinsam mit den Verbandskommunen priorisiert. Parallel dazu mussten laufende Aufgaben erledigt und Anforderungen erfüllt werden, bspw. die Vorbereitung und Durchführung der Europawahl, umfassende Updates für hochrelevante Verfahren zu festgelegten Stichtagen (Bürgerdienste wie Einwohnermeldeamt, Standesamt etc.) sowie laufende Audits.

1,6 Millionen Betroffene

Die Südwestfalen-IT hat 72 Verbandsmitglieder. Sie versorgt über 22.000 Arbeitsplätze mit IT-Infrastruktur und mit rund 160 Fachverfahren, die nach dem Angriff ausgefallen waren. Zudem versorgt sie weitere Kunden wie Tourismusverbände, Zweckverbände für Abfallwirtschaft, Feuerwehren, Stadtwerke etc. mit IT-Dienstleistungen. Insgesamt waren 1,6 Millionen Bürgerinnen und Bürger von den Folgen des Angriffs betroffen.

Der Angriff betraf 1.463 Server, davon mussten 871 neu aufgesetzt werden und 592 vor der Wiederinbetriebnahme aufbereitet werden.

Die über 700 Daten-Backups waren von dem Angriff nicht betroffen, mussten aber alle einzeln geprüft und wieder eingespielt werden. Es wurde eine hohe dreistellige Anzahl von Verbindungen zu externen Webanwendungen wie bspw. Online-Vergabeportalen, Plattformen zur Marketing-Automation oder dem Portal der NRW-Landwirtschaftskammer geprüft und wieder eingerichtet.


Rund 170 Personen bei der Südwestfalen-IT arbeiteten an der Bewältigung der Auswirkungen des Cyberangriffs. Über 50 externe Partner mussten intensiv eingebunden und koordiniert werden, darunter Behörden wie das BSI sowie Bundes-/Landesministerien, IT-Dienstleister und Forensiker, Hersteller und Hardware-Lieferanten und Auditoren. Die reine Bewältigung der Krise bedeute für die Südwestfalen-IT rund 43.000 Arbeitsstunden. 210 Austauschrunden mit den Gremien und ähnlichen Formaten/Gruppen der Zweckverbandsmitglieder gab es, um gemeinsam Lösungen zu finden und umzusetzen.

Weitere Meldungen

Autozulassungen im Sauerland dauern länger

Arnsberg / Sundern Hochsauerlandkreis: Kunden sind zufrieden, dass sie nach dem Cyberangriff überhaupt wieder Auto anmelden können

Autos auf Parkplatz.

Sauerland: Ab Montag wieder Kfz-Zulassung möglich

Arnsberg / Sundern Nach dem Hackerangriff können ab Montag wieder Autos im HSK angemeldet werden.

Parken

Ausländerbehörde im HSK nimmt Arbeit wieder auf

Arnsberg / Sundern Die Ausländerbehörde im Kreishaus kann ihre Arbeit nach mehr als einer Woche wieder eingeschränkt aufnehmen.

skyline