AboAbonnieren

Hackerangriff auf Südwestfalen ITIT-Systeme der Kommunen werden auf Schwachstellen geprüft

Lesezeit 8 Minuten
gettyimages/KStA-Montage

Hacker haben mehr als 70 Kommunen in NRW zum Teil komplett lahm gelegt.

Nach dem schweren Hackerangriff auf den Digitaldienstleister lassen über 200 Kommunen in Nordrhein-Westfalen ihre Systeme auf Lücken überprüfen, sagt NRW-Digitalministerin Ina Scharrenbach (CDU). Wie sich die Bürokratie im Blackout anfühlte.

Vor manchem Jawort ist Dirk Cürten in den vergangenen Monaten erstmal in den Keller des Stadthauses gestiegen und hat in dicken Personenstandsakten nach Angaben und Urkunden der zukünftigen Eheleute gefahndet. „Wir haben uns ein altes Buch gezogen und den Personenstand von 2009 überprüft. Das hat uns zumindest ein wenig weitergeholfen“, sagt der Fachbereichsleiter Recht, Sicherheit und Ordnung bei der Stadt Bergisch Gladbach. Existiert die Braut? Ist sie wohnhaft in Bergisch Gladbach? Und die wichtigste Frage: Besteht überhaupt Ehefähigkeit? „Schließlich müssen wir ausschließen, dass einer der beiden Brautleute schon verheiratet ist“, sagt Cürten.

Längst führt die Stadt Bergisch Gladbach ihr Personenstandsregister nicht mehr nur in Aktenmetern im Keller. Sondern seit 2009 auf einem gesicherten Server, digital abrufbar auf den Rechnern im Standesamt über das Programm Autista bei der Südwestfalen-IT. Bis sich Ende Oktober vergangenen Jahres plötzlich alles änderte. Die gesamte mühsame Digitalisierung vieler Jahre war über Nacht nicht mehr zugänglich. Alle Personendaten, alle digital bereits erfassten und signierten Urkunden – alles dem tagtäglich notwendigen Zugriff entzogen. Ein Hackerangriff hatte nicht nur Bergisch Gladbach, sondern insgesamt 72 NRW-Kommunen sowie sechs Kreise lahmgelegt. Es war wohl der größte digitale Angriff auf kommunale Verwaltungen in der Geschichte der Bundesrepublik.

Eine Hackergruppe namens Akira war mutmaßlich in die Südwestfalen-IT (SIT) eingestiegen, einem Dienstleister in öffentlicher Hand, der die IT all dieser Kommunen betreut. Die Folgen: Schwarze Bildschirme in Bürgerbüros von Bergisch Gladbach bis Lennestadt, Ratlosigkeit in Rathäusern von Olpe bis Siegen. Die Bürokratie stand still.


Ein Sprecher des Städte- und Gemeindebunds NRW sagte, je digitaler die Verfahren rund um die Rathäuser würden, desto mehr brenne den Kommunen die Cyber-Sicherheit unter den Nägeln. Die Zahl der Angriffe auf die Verwaltungen wachse von Tag zu Tag. Das stelle Kommunen und kommunale Rechenzentren vor riesige Herausforderungen. Nun lassen nach Informationene des NRW-Digitalministeriums 205 Kommunen überwiegend aus dem ländlichen Raum ihre Systeme auf Schwachstellen hin überprüft. Ministerin Scharrenbach sagte am Montag (11. März): „Wir zahlen den Kommunen jetzt erst einmal den Check, werden dann aber schauen müssen, wie wir dann mit den dort gewonnen Erkenntnissen den Basisschutz verbessern können.“ Weil IT-Profis Mangelware seien, sei eine stärkere Bündelung von Funktionen in Rechenzentren nötig. (dpa)


Zweieinhalb Monate dauerte es, bis in Bergisch Gladbach auch das Sterben wieder offiziell möglich war

Am 30. Oktober, einem Montag, erschien bei Arbeitsbeginn auf dem Bildschirm von Dirk Cürten lediglich der Hinweis, der Server sei vorübergehend nicht erreichbar. „Das kennt man ja, es hat uns zunächst nicht weiter beunruhigt. Wir waren sicher: In ein paar Stunden funktioniert alles wieder“, sagt er. Cürtens Hoffnung bewahrheitete sich nicht. Die Ausfälle waren auch keine Sache von Tagen. Zahlreiche Verwaltungsvorgänge waren blockiert, die Kommunikation mit anderen Standesämtern und Behörden kam teilweise komplett zum Erliegen. Zweieinhalb Monate sollte es dauern, bis das Leben und Sterben in der Stadt wieder seinen gewohnten Gang gehen konnte.

Das Rathaus von Bergisch Gladbach

Im Rathaus von Bergisch Gladbach herrschte Stillstand in der Bürokratie.

Zumindest annähernd. Denn die Auswirkungen der Attacke auf das Rechenzentrum von Südwestfalen IT in Siegen werden die Ämter auch jetzt, wo viele Dienste wieder verfügbar sind, noch Wochen, wenn nicht Monate begleiten. „Wir stellen hier in einem Monat rund 2500 Urkunden aus. Wir sind also um mehr als 5000 im Rückstand“, sagt Cürten. Insbesondere kurzfristige Eheschließungen im Dezember konnten die Standesbeamten nur deshalb durchführen, weil sich die Mitarbeiter mit Recherchen im Untergeschoss sowie eidesstattlichen Versicherungen weiterhalfen. Alles vorläufig, versteht sich. Denn manuell erstellte Heiratsurkunden auf Papier inklusive im Tresor verwahrten Siegels des Standesbeamten seien zwar heute „in gewisser Weise eine Rarität“, scherzt Cürten, und sie beanspruchen auch Gültigkeit. Sie müssen jedoch von Gesetzes wegen digital im Eheregister vom zuständigen Standesbeamten nacherfasst werden.

Als bei der SIT in Siegen am Sonntag, den 29. Oktober die ersten Fehlermeldungen eintrudelten, hofften die Zuständigen zunächst auch noch auf Harmlosigkeiten; schnell aber schwante Schlimmes. Zeit, den Stecker zu ziehen, „um zu verhindern, dass der Übergriff auf das Kernsystem sich weiterverbreitet“, sagt Marcus Ewald von der SIT gegenüber dem „Kölner Stadt-Anzeiger“. Ein drastischer Schritt. Die Folge: Alle Leitungen waren tot. „Wir hatten nicht einmal Kontaktdaten der Kommunen, unsere gesamten Mailkonten waren ja auch weg“, sagt Ewald. Bei denen herrschte zunächst Ratlosigkeit. Und auch ein bisschen Unbill. David Sprenger, zuständig für die Verwaltungssteuerung in Bergisch Gladbach, sagt: „Wir hätten uns deutlich früher deutlich mehr Informationen gewünscht. Was ist genau passiert? Wie sind die Zeitpläne?“

Wenn Marcus Ewald den Ransomware-Angriff auf die SIT beschreibt, dann benutzt er gerne das Bild von Einbrechern, die in ein Haus einsteigen. „Sie müssen sich vorstellen, die schließen dann von innen ab. Sie müssen das Haus verloren geben. Aber wenn Sie Backups haben, können Sie das Haus nebenan wieder neu aufbauen.“ Ganz baugleich allerdings dürfe der Zwilling nicht sein. Dann wäre es für die Hacker schließlich ein Leichtes, auch dieses Sicherheitssystem ein zweites Mal zu überwinden.

Zahl der Ermittlungsverfahren in den vergangenen Monaten deutlich gestiegen

Die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen bestätigt auf Anfrage den Versuch einer Lösegelderpressung. Ein Ermittlungsverfahren gegen Unbekannt sei eingeleitet. Grundsätzlich, schreibt der Kölner Staatsanwalt Christoph Hebbecker, „ist die Anzahl der hier bearbeiteten Ermittlungsverfahren im Zusammenhang mit sogenannten Ransomware-Angriffen in den letzten Monaten und Jahren deutlich angestiegen“. Die Ermittlungen hätten dabei fast immer internationale Bezüge und seien in technischer Hinsicht „extrem komplex“. Die Identifizierung von Beschuldigten gelingt nur in Ausnahmefällen. Man rate „grundsätzlich davon ab, Lösegelder zu zahlen“.

Das Bundesamt für Sicherheit in der Informationstechnik bezeichnet Ransomware-Angriffe gegenüber dieser Zeitung als „größte Bedrohung für Kommunen, Unternehmen und Organisationen aus dem Cyberraum“. Auffallend sei „die zunehmende Professionalisierung der Angreifer“. In Manier Organisierter Kriminalität gehen die Tätergruppen demnach arbeitsteilig vor: Eine dringt ins Netzwerk ein, die nächste breitet den Virus darin aus, eine weitere stiehlt oder verschlüsselt Daten, eine andere erpresst.

Kommunen sieht das BSI wegen schlechter IT-Sicherheit als leichte Beute an. Sie hätten diesbezüglich „ähnlich wie kleinere Unternehmen größeren Aufholbedarf“. Und in der Tat offenbart ein forensischer Bericht nun, dass der Angriff durch eine Schwachstelle im Netzwerkzugang erfolgte. Statt Multifaktor-Authentifizierung wurde nur ein normales Passwort benutzt.

Problematisch ist laut BSI auch ein gewisser Unwille seitens der Behörden komplexe Maßnahmen zu implementieren, die „im kommunalen Bereich häufig als noch zu aufwendig“ empfunden würden. Der Komfort kostet: Nach Kenntnis des BSI waren im vergangenen Jahr „jeden Monat durchschnittlich zwei Kommunen oder kommunale Betriebe von erfolgreichen Ransomware-Angriffen“ bedroht.

„Wie hätten wir ohne Einwohnerdaten eine Wahl durchführen sollen?“

Aber was ist das Motiv? Bei Angriffen auf Kommunen ist kein Lösegeld zu erwarten. Einige Experten gehen von der SIT als Zufallstreffer aus. Das BSI vermutet eher, den Hackern gehe es um größtmögliche Zerstörung. Behörden seien „ein attraktives Ziel mit großem Schadenspotenzial“ – auch für die Demokratie. Sprenger ist froh, dass der Angriff nicht näher an der Europawahl passierte. „Wie hätten wir ohne Einwohnerdaten Wahlunterlagen verschicken sollen? Wie eine Wahl durchführen?“

Auch die Bundeswahlleitung ließ der Angriff nicht kalt. Auf Anfrage schreibt ein Sprecher, die Landeswahlleiterin von NRW habe „unmittelbar nach Bekanntwerden des Vorfalls an die zuständigen Stellen die notwendigen Schritte kommuniziert, um die automatisierten melderechtlichen Fachverfahren, die u.a. für die Erstellung der Wählerverzeichnisse genutzt werden, abzusichern“. Notfallpläne stellen demnach sicher, dass beispielsweise die Erstellung der Wählerverzeichnisse für die Europawahl, die am 42. Tag vor der Wahl (28.04.) erfolgt, nicht beeinträchtigt werden. Überdies könne auch außerhalb bestehender IT-Systeme eine Wahlvorbereitung gewährleistet werden. Um die Cyberresilienz künftig zu erhöhen, empfiehlt das BSI dennoch eine „institutionalisierte Zusammenarbeit zwischen Bund und Ländern“.

Lennestadt nach dem Hackerangriff

In Lennestadt blieben die Bildschirme nach dem Hackerangriff schwarz. Man behalf sich mit Listen und Abfallskalender in Papierform.

Tobias Puspas (CDU), Bürgermeister der 25.000-Einwohnerstadt Lennestadt im Kreis Olpe, will sich auf die Digitalisierung und die Sicherung der Systeme in Zukunft nicht mehr gänzlich verlassen. Dabei ist Lennestadt immer stolz gewesen auf seine Durchdigitalisierung. Post gibt es dort fast nur noch in eingescannter Form und schon als Puspas 2020 sein Amt übernahm, wich die klassische Handakte ihrer digitalen Nachfolgerin. Das Medium Papier schien man hier im Sauerland so langsam hinter sich zu lassen.

Der Hackerangriff kam deshalb „einem Weltuntergang“ gleich, sagt Puspas. „Der Ingenieur auf der Baustelle konnte nicht mehr nachsehen, wo eine Wasserleitung verläuft und deshalb nicht gebaggert werden darf. Unsere Standesbeamten wussten gar nicht, wann jemand zur Trauung erscheinen wird, wer das sein wird und an welchem Ort.“

Ohne Sterbeurkunde kein Erbschein, ohne Geburtsurkunde kein Elterngeld

Der Blackout in den Rathäusern zog auch noch andere schwerwiegende Folgen für die Bürger nach sich. Ohne Geburtsurkunde wird das Beantragen von Elterngeld oder die Aufnahme des Kindes bei einer Krankenkasse zum komplizierten Bittstellervorgang – mit ungewissem Ausgang. Ohne Sterbeurkunde können Beerdigungen nicht organisiert, Testamente nicht vollstreckt werden. Ohne gültigen Reisepass fällt die Auslandsreise ins Wasser. „Wir haben eigentlich in allen dringenden Fällen Lösungen anbieten können“, sagt Dirk Cürten. „Vorläufige Bescheinigungen in Sterbefällen ausgestellt, Neugeborenen-Urkunden händisch verfasst oder in dringenden Passangelegenheiten um Amtshilfe bei nicht betroffenen Nachbargemeinden wie Leverkusen und Lindlar gebeten. Aber alles war natürlich mit erhöhtem Aufwand verbunden – sowohl für uns als auch für die Bürger.“

Seit Beginn des Jahres hat das Bürgerbüro in Bergisch Gladbach, Lennestadt und den meisten anderen Kommunen wieder geöffnet. Von etwa 170 Fachverfahren funktionieren die wichtigsten wieder. In einer zweiten Welle will sich die SIT nun um die Rekonstruktion „finanzieller Programme wie Steuern und Bußgelder“ kümmern.

Die Wiederherstellung der wichtigsten Verwaltungsfunktionen plant die SIT bis Ende März. Tobias Puspas in Lennestadt nutzt die Zeit des Wiederaufbaus für eine kleine Sicherheitsrolle rückwärts. „Bei einem Brückenbau will ich künftig, dass der Bauleiter die entscheidenden Daten in einer Handakte in Papier vorliegen hat.“ Auch privat will er sich nicht mehr komplett auf die Digitalisierung verlassen. Von seinem Cloud-Kalender sowie wichtigen Notizen im Smartphone hat er sich Screenshots erstellt und diese ausgedruckt. Er verwahrt sie nun als Papierdokumente zu Hause im Safe.