Sauerland: rund 5 Monate nach dem Hackerangriff

Rund 5 Monate nach dem Cyberangriff auf die Verwaltungen im HSK läuft vieles wieder online, aber immer noch nicht alles. Die Kommunen im HSK haben zum Teil immer noch eine sogenannte Nothomepage. Auf der Nothomepage der Stadt Arnsberg heißt es beispielsweise immer noch: Nach einem Cyber-Angriff auf den kommunalen IT-Dienstleister Südwestfalen IT ist unter anderem auch die offizielle Internetseite der Stadtverwaltung Arnsberg bis auf Weiteres nicht erreichbar. Daher informieren wir zurzeit auf dieser Seite und auf den städtischen Social Media-Kanälen. Auch die Stadt Hallenberg hat immer noch eine Nothomepage. Was der Hackerangriff letztendlich an Kosten verursacht hat, lässt sich noch nicht abschätzen. Das sagen alle betroffenen Kommunen im HSK.

Arnsberg

Wir liegen aktuell im Bereich von ca. 70 % der Verfahren, die wir von der Südwestfalen IT beziehen, allerdings sind auch dabei den 70% noch Einschränkungen im Funktionsumfang gegeben, so die Stadt auf Anfrage. Es funktionieren wieder Finanzwesen, Sozialwesen, Meldewesen, Personenstandswesen, Ausländerverfahren.

Es gehe aktuelle um die Wiederherstellung der kompletten Funktionalität, nachrangig werden die weniger wichtigen Verfahren wiederhergestellt. Die Stadt hat immer noch eine Nothomepage.

Die Stadt Arnsberg war in vielen Bereichen deshalb betroffen, weil das Rechenzentrum Leistungen nicht bereitstellen konnte. Insofern gab es keine konkreten Anforderungen, intern sicherheitstechnische Maßnahmen für den Wiederanlauf dieser Bereiche durchzuführen.

Grundsätzlich seien verschiedene interne Bereiche auf mögliche Verbesserungen der IT-Sicherheit geprüft worden. Hier ist und wird auch auf externe Unterstützung zurückgegriffen.

Was der Hackerangriff bisher gekostet hat, lasse sich noch nicht sagen. Da ein Großteil der Nacharbeiten noch erledigt werden müsse (wenn entsprechend alle Funktionalitäten wieder verfügbar sind). Die Stadt Arnsberg setzt für die weit verbreitete mobile Arbeit bzw. Homeoffice Laptops ein, die in der akuten Krisenzeit für die provisorisch eingerichteten Lösungen gut genutzt werden konnten. Die interne IT stand durchgängig zur Verfügung.

Bestwig

In Bestwig sind sämtliche Online-Dienste, die keine Zahlung erfordern, sind wieder verfügbar. Besonders wichtig sind die Bereiche, die das Bürgerbüro betreffen – etwa Anmeldungen oder Ummeldungen. Besonders dringlich ist es, die Payment-Dienste (über die die gebührenpflichtigen Dienstleistungen abgewickelt werden) wieder nutzen zu können. Außerdem bedeute es eine große Erleichterung, wenn die Außenstellen Schwimmbad, Bauhof und Touristik wieder ans gemeindliche Netz angebunden werden können. Die Gemeinde Bestwig hat keinen externen IT-Experten beauftragt. Die Kosten kann man nicht beziffern. Es entstanden viele Überstunden, der Zeitaufwand – zunächst für die Umwege, um kreative Lösungen zu finden, später dann für die Aufarbeitung – war immens. Neue Hardware hingegen war nicht erforderlich. Die größte Herausforderung war, schnell funktionierende Behelfslösungen für die wichtigsten Dienstleistungen zu finden.

Brilon

Im Dienstleistungsportal laufen 95 % der Dienstleistungen wieder online. Auch die Hauptinternetseite www.brilon.deist wieder online. Wir missen noch diverse untergeordnete Websites, so die Stadt. Sie arbeitet aktuell an der Begleitung der Folgewirkungen, Härtung der eigenen Systeme, Abarbeitung von auf Grund der Krise rückgestellter Themen. Externe IT-Fachleute waren nicht im Einsatz. Was der Hackerangriff bisher gekostet hat, könne noch nicht beziffert werden. Neue Hardware war nicht erforderlich.

Eslohe

Circa 90% Prozent der Online-Dienste bei der Gemeindeverwaltung konnten wieder aufgebaut werden, so die Gemeinde. Für die Esloher waren es die Programme, von denen sie am meisten betroffen sind im alltäglichen Leben. Somit in der Bürger-Service-Stelle, Einwohnermelde- und Standesamtswesen. Die Gemeindeverwaltung sowie die anderen Kommunen in Südwestfalen arbeiten eng mit den Fachleuten der SIT zusammen. Weitere externe IT-Fachleute mussten bisher nicht beauftragt werden, heißt es. Was dieser Hackerangriff bisher gekostet hat, sei bislang nicht absehbar.

Die größten Herausforderungen dieser IT-Krise für die Verwaltung:

• Die Wiederherstellung der Funktionsfähigkeit der E-Mail-Kommunikation, Koordination und Wiederherstellung der Fachverfahren gemeinsam mit der SIT sowie Einrichtung einer Notfallhomepage/ Notfallmailadresse sowie Hilfestellung für die Bürger, wie ihr Anliegen trotz Ausfall einiger Programme anderweitig bearbeitet werden kann (Stichwort interkommunale Zusammenarbeit, Verweis und Zusammenarbeit mit anderen Kommunen, die nicht vom Angriff betroffen waren).

Hallenberg

Die grundlegende Infrastruktur (u.a. Netzanbindung, Mailservice und digitale eAkte) steht wieder zur Verfügung, so dass insbesondere die Kommunikationskanäle zur Stadt Hallenberg ohne Einschränkungen genutzt werden können, heißt es. Die Internetpräsenz der Stadt Hallenberg ist derzeit nur über eine Notfallseite erreichbar, wobei eine Wiederanschaltung der regulären Internetseite unmittelbar bevorstehe. Dies ist dabei auch ein aktuelles Projekt, da dort zahlreiche Inhalte nachgepflegt werden müssen.

Auch das digitale Bürger-Portal (https://buergerportal.stadt-hallenberg.de/) steht wieder zur Verfügung, so dass über dieses zentrale Portal zahlreiche Onlinedienstleistungen angeboten werden. Aufgrund von nach wie vor gegebenen Einschränkungen bei einigen Fachverfahren stehen bestimmte Dienstleistungen aktuell nicht oder nur eingeschränkt zur Verfügung. Durch eine kontinuierliche Freigabe von Fachverfahren oder Schnittstellen wächst dieses Angebot sukzessive auf, wobei bereits jetzt wieder ein Großteil des Angebotes (110 Dienstleistungen der Stadt und anderer Behörden/Dienstleister) zur Verfügung steht. Häufig angefragte Dienstleistungen wie etwa die Anmeldung von Sperrmüllabfuhr oder die Anforderung von Urkunden stehen mit einer ePayment-Funktionalität ohne Einschränkungen zur Verfügung.

Eine große Herausforderung war die Koordination von Übergangslösungen während der Zeit, in der zentrale Infrastruktur (wie z.B. Mail) oder aber auch wichtige Kernverfahren wie etwa das Einwohnermeldewesen, Standesamtswesen oder das Finanzwesen nicht oder nur eingeschränkt zur Verfügung standen. Hierbei handelte es sich vorrangig um einen organisatorischen Mehraufwand.

Zu den weiteren aufgeworfenen Fragestellungen steht die Stadt Hallenberg wie alle anderen Kommunen des Verbandsgebietes im engen Austausch mit der Südwestfalen-IT. Alle Beteiligten sind dabei bestrebt, das Sicherheitsniveau und die Verfügbarkeit der IT-Infrastruktur und IT-Verfahren auf Grundlage der erlangten Erkenntnisse des Cyberangriffs nachhaltig zu verbessern.

Marsberg

Bei den Online-Diensten für die Bürger/innen gab es kaum Einschränkungen, da die Website der Stadt Marsberg und die dort angebotenen Onlinedienste (Antragsformulare etc.) unabhängig von der SIT in Eigenregie betrieben werden, so die Stadt. Bei den Fachverfahren, die von die SIT betreut werden, sind nahezu 100 % der Fachverfahren wieder verfügbar. Es gibt nur noch sehr geringe Einschränkungen. Allerdings betreibt die Stadt Marsberg auch diverse Fachverfahren unabhängig von der SIT (z. B. die Finanzsoftware), so dass die Stadt Marsberg in einigen Bereichen nicht direkt vom Cyberangriff betroffen war. Die wichtigsten Fachverfahren waren das Einwohnermeldewesen und das Standesamtswesen. Durch den Ausfall dieser Verfahren waren auch viele Bürger/innen direkt betroffen.

Die Stadt habe wenig Einfluss auf die Reihenfolge der Aufarbeitung des Cyberangriffs und sei hier auf das Vorgehen der SIT angewiesen. Derzeit wird dort insbesondere am Neuaufbau einer VPN-Lösung durch die SIT gearbeitet, um beispielsweise wieder mobiles Arbeiten zu ermöglichen, heißt es.

Zu den Kosten könne derzeit keine verlässliche Aussage getroffen werden. Die materiellen Kosten für die Anschaffung von Hardware etc. waren sehr gering, es waren hier nahezu keine zusätzlichen Ausgaben erforderlich. Allerdings sei ein erhöhter Personalaufwand zu verzeichnen, da teilweise zeitaufwändigere analoge Lösungen gefunden werden mussten, um die fehlenden Fachverfahren und Anwendungen zu ersetzen. Zudem sind nach Wiederherstellung der Verfahren teilweise erhebliche Datenmengen zu erfassen und einzupflegen.

Problematisch war die teilweise Nichterreichbarkeit der Stadtverwaltung per E-Mail. Hierzu wurden intern durch die Stadt Marsberg jedoch zügig eine Alternativlösung durch die Einrichtung von ämterbezogenen E-Mail-Adressen geschaffen.

Herausfordernd war zudem die schnelle und wirksame Entwicklung von Alternativen zu den digitalen Fachanwendungen, die ausgefallen sind. Hier musste teilweise wieder mit Vordrucken und Formularen in Papierform gearbeitet werden. Zudem war der Zugriff auf digitale Akten nicht möglich, so dass teilweise nicht auf erforderliche Daten zurückgegriffen werden konnte. Hier musste -sofern überhaupt möglich- teilweise auf bereits archivierte Papierbestände zurückgegriffen werden.

Medebach

Die normale Webseite sowie das Serviceportal über welches die Online-Dienste bereitgestellt werden, sind derzeit noch nicht wieder verfügbar. Die Inbetriebnahme der Webseite ist derzeit für KW14-15 geplant. Das Serviceportal ist für uns bereits erreichbar. Es ist jedoch vor Freigabe zu prüfen, ob alle Services wie gewünscht funktionieren. Sobald die Services im Portal geprüft sind und die Webseite wieder Online ist stehen alle Services in vollem Umfang wieder zur Verfügung.

Die Stadt arbeitet aktuell vorrangig an der Aufarbeitung der Vorgänge, welche durch den Systemausfall nicht bearbeitet werden konnten. Dies betrifft z.B. das Steueramt, die Stadtkasse und das Sozialamt. Es lasse sich nicht sagen, was dieser Hackerangriff bisher gekostet hat.

Durch den Cyberangriff war der Zugriff auf viele Fachverfahren nicht möglich. Auch die E-Mail Kommunikation mit dem Bürger war anfangs nicht möglich. Hier schnellstmöglich Lösungen und Alternativen zu finden um dem Bürger wieder schnellstmöglich weiterhelfen zu können, war sicher eine der Herausforderungen.

Meschede

In Meschede stehen sämtliche Online-Dienste inklusive der Bezahlfunktion wieder zur Verfügung, so die Stadt. Durch den Cyber-Angriff kam zu einer Abschaltung des kompletten Citko-Portals. Das Portal ist wieder vollständig hochgefahren. Die Basissysteme sind grundsätzlich wieder einsatzfähig. Aktuell wird an verschiedenen Schnittstellen der Systeme gearbeitet. Es gibt aber nach wie vor Programme die jetzt erst wieder anlaufen oder noch nicht angelaufen sind. Die Fachbereiche werden bei der Wiedereinrichtung der Systeme durch die IT unterstützt. Seitens der Kreis- und Hochschulstadt Meschede wurden keine externen IT-Experten beauftragt.

Der Kostenaufwand lässt sich nicht konkret beziffern. Der Zeitaufwand war jedoch sehr hoch für die Schaffung von temporären Lösungen sowie der Teilnahme an Abstimmungsgesprächen im Rahmen des Wiederanlaufes. Vorhandene Hardware wurde eingerichtet für Übergangslösungen, um die wichtigsten Dienstleistungen zur Verfügung zu stellen. Nach Bereitstellung der Fachverfahren durch das Rechenzentrum erfolgte eine umfassende Aufarbeitung und Nachbearbeitung durch die Mitarbeitenden. Die größte Herausforderung war, schnell funktionierende temporäre Leistungen für die wichtigsten Dienstleistungen zu finden. Außerdem wurden die Kolleginnen und Kollegen bei allen Schritten der Wiederanlaufphase durch die IT unterstützt.

Olsberg

Auch in Olsberg stehen sämtliche Online-Dienste inklusive der Bezahlfunktion stehen wieder zur Verfügung. Auch Anmeldung zur Abholung von Elektroschrott, Meldebescheinigungen, Anmeldungen oder Ummeldungen funktionieren, so die Stadtverwaltung. Die Stadt Olsberg arbeitet vorrangig an der Anbindung der Außenstellen, wie zum Beispiel des Bauhofes, der Stadtbücherei sowie der Kindergärten. Der Kostenaufwand lässt sich nicht konkret beziffern, heißt es. Der Zeitaufwand war jedoch sehr hoch für die Schaffung von temporären Lösungen sowie der Teilnahme an Abstimmungsgesprächen im Rahmen des Wiederanlaufes. Vorhandene Hardware wurde eingerichtet für Übergangs-Lösungen, um die wichtigsten Dienstleistungen zur Verfügung zu stellen. Nach Bereitstellung der Fachverfahren durch das Rechenzentrum erfolgte eine umfassende Aufarbeitung und Nachbearbeitung durch die Sachbearbeiterinnen und Sachbearbeiter.

Die größte Herausforderung war, schnell funktionierende temporäre Lösungen für die wichtigsten Dienstleistungen zu finden und umzusetzen, wie zum Beispiel Lösungen bei der Zahlungsabwicklung sowie im Rahmen der Wiederanlaufphase der jeweiligen Fachverfahren die Kolleginnen und Kollegen zu unterstützen.

Schmallenberg

Das Online-Portal, das sämtliche Online-Dienste umfasst, wurde von Südwestfalen-IT am 11. März 2024 erfolgreich wieder zur Verfügung gestellt. Dies bedeutet, dass 100% der Online-Dienste nun wieder zugänglich sind. Wichtigste Dienste: Für Schmallenberg waren das die von der S-IT bereitgestellten Infrastrukturdienste Internet und E-Mail. Die wichtigsten bereitgestellten Fachanwendungen: Standesamt, Einwohnermeldeamt und Sozialamt.

Das Cyber Defense Center, implementiert seit dem 1. Januar 2024, ist ein zentrales Element der Sicherheitsinfrastruktur. Es umfasst auch eine 24/7 Überwachung der IT-Infrastruktur sowie kontinuierliches Darknet-Monitoring, um frühzeitig Bedrohungen und Leaks zu identifizieren, und bietet einen Managed Risk Service für eine stetige Schwachstellenanalyse aller Systeme. Die Anmeldung mit Zwei-Faktor-Authentifizierung wurde signifikant ausgebaut. Dieser Schritt erhöhe die Sicherheit bei der Verifikation der Identität der Nutzer und verringert das Risiko unbefugten Zugriffs.

Implementierung einer mehrstufigen Next-Generation-Firewall (NGA Firewall):

Eine solche Firewall wurde implementiert, um die Sicherheit weiter zu erhöhen. Next-Generation-Firewalls bieten erweiterte Funktionen wie Intrusion Prevention, Application Control und fortgeschrittene Bedrohungserkennung. Die mehrstufige Architektur bedeutet, dass der Datenverkehr durch verschiedene Sicherheitsschichten geleitet wird, was einen umfassenderen Schutz gegen vielfältige Angriffsarten bietet.

Überarbeitung des Notfallkonzepts:

Um auf zukünftige IT-Sicherheitsvorfälle besser vorbereitet zu sein, wird das Notfallkonzept der Stadt Schmallenberg unter Berücksichtigung der gewonnenen Erkenntnisse aus der Cyberattacke überarbeitet. Durch diese umfassenden Maßnahmen, die sowohl technische als auch organisatorische Aspekte umfassen, unterstreicht die Stadt Schmallenberg ihre entschlossene Haltung, die Sicherheit und Resilienz ihrer IT-Infrastruktur zu erhöhen und sich gegen zukünftige Cyberbedrohungen zu wappnen.

Winterberg

Unser Service-Portal ist vollständig erreichbar, so die Stadt Winterberg. Keine Hardware in der Verwaltung habe Schaden genommen. Die größte Herausforderung war, dass die Verwaltung von jetzt auf gleich auf viele Programme nicht mehr zugreifen konnte. Die Bürger konnten viele Dienstleistungen nicht mehr in Anspruch nehmen. So konnten wir z.B. keine Personalausweise etc. ausstellen. In den ersten Tagen waren wir nur telefonisch für die Bürger erreichbar. Es galt, kreative Ideen für die Aufgabenerledigung zu entwickeln.