Cyberattacke auf S-IT: Schaden ist noch nicht zu beziffern

Kreis Olpe/Südwestfalen. Der Schaden, der durch die kriminelle Cyberattacke auf den kommunalen Dienstleister Südwestfalen-IT (S-IT) und deren Folgen entstanden ist, lässt sich noch nicht beziffern. Das erklärte der Pressesprecher der S-IT, Marcus Ewald, am Freitagmittag, 26. Januar, in einem Webmeeting mit Medienvertretern.

Wann alle Systeme der Kommunen wieder so funktionieren wie vor dem Angriff, ist noch nicht absehbar. Die Abwicklung der Europawahl am 9. Juni sei aber gesichert und habe höchste Priorität.

Der durch die Attacke entstandene Schaden werde von einer externen Kanzlei bewertet, sagte Ewald. Die Kommunen, die dem S-IT-Zweckverband angehören, müssten dann einen Verteilungsschlüssel vereinbaren, nach dem die Kosten umgelegt würden. Ewald bestätigte, dass es zum Zeitpunkt des Angriffs keinen Geschäftsführer der S-IT gegeben habe, sondern nur einen stellvertretenden Geschäftsführer, der erst seit 1. Oktober 2023 im Amt war.

Auf die Frage, ob Unzufriedenheit und Frust vieler S-IT-Mitarbeiter, wie im Arbeitgeber-Bewertungsportal „kununu“ nachzulesen ist, die Qualität der Arbeit und damit eventuell auch die Sicherheit beeinträchtigt hätten, sagte Ewald:

„Die S-IT ist durch Fusion entstanden und hatte großen Integrationsbedarf. Menschliches Versagen hat aber nicht die entscheidende Rolle gespielt.“ Der neue Geschäftsführer, der am 1. Februar den Dienst beginnt, habe „eine große Aufgabe“, um die Vorgänge aufzuarbeiten und die erforderlichen Konsequenzen zu ziehen.

Dass der Cyberangriff nicht noch größere Auswirkungen habe, sei dem schnellen Eingreifen zu verdanken, so Ewald. „Wir haben sofort den Stecker gezogen.“ Wichtig sei, dass alle Daten noch vorhanden seien, denn es gebe ein Backup vom 27. Oktober, also nur zwei Tage vor dem Angriff. Aufgabe sei es jetzt, „die Systeme neu und anders aufzuspielen, damit ein Angriff so nicht noch einmal passieren kann.“

Ewald beantwortete auch Rückfragen zu dem forensischen Bericht über die Attacke, der am Donnerstagabend vorgelegt worden war (LokalPlus berichtete). Dass der als „vertraulich“ gekennzeichnete Bericht den Medien zur Verfügung gestellt wurde, begründete Ewald so: „Wir wollen für Transparenz sorgen. Transparenz ist der einzige Weg, um Vertrauen wiederherzustellen.“

Dass die Kriminellen in die S-IT-Systeme eindringen konnten, liegt zum einen an der verwundbaren Software der eingesetzten Firewall und an dem Fehlen einer Zwei-Faktor-Authentifizierung. Über VPN-Verbindungen (Virtuelles Privates Netzwerk) loggten sich die Täter zwischen dem 18. und 29. Oktober mit IP-Adressen aus den USA und aus den Niederlanden immer wieder ein. „Es folgten Zugriffe auf insgesamt 22 weitere Systeme. Dies deutet auf ein koordiniertes Vorgehen eines länger vorbereiteten Angriffs hin“, so der Bericht.

Die externen IT-Spezialisten stellten fest, dass das Administrator-Kennwort für die betroffene Domain „intra.lan“ seit dem Jahr 2014 in entschlüsselbarer Textform hinterlegt war. So konnte prinzipiell jeder Angreifer mit Domänen-Zugangsdaten das Kennwort auslesen.

Seit dem 30. Oktober überwachen die Cyber-Experten der beauftragten Firma r-tec den Blog der Angreifergruppe „Akira“. In diesem Blog werden auch erfolgreiche Angriffe auf Organisationen sowie Leaks von Daten betroffener Opfer veröffentlicht. Bislang wurde die Südwestfalen-IT dort nicht erwähnt.

Darüber hinaus wird spezielle Darkweb-Monitoring-Software eingesetzt, um das Darkweb nach mit der Südwestfalen-IT in Verbindung stehenden Angaben zu durchsuchen. Auch das habe bisher keine Hinweise auf die Veröffentlichung von Daten erbracht. Einschränkend heißt es aber im Bericht: „Eine absolute Garantie, dass keine Daten abgeflossen sind, kann trotz allem nicht gegeben werden.“