Wie ist der aktuelle Stand bei der Wiederherstellung der Systeme?
Bei dem Cyberangriff auf die Südwestfalen-IT Ende Oktober handelte es sich um einen der größten Angriffe auf die öffentliche Verwaltung, die es in Deutschland bisher gab. Auch wenn die Verwaltungen, Städte und Kreise selbst nicht gehackt wurden, so bedeutet dies in der Konsequenz, dass einige Verwaltungsleistungen weiterhin nur eingeschränkt bzw. nicht verfügbar sind. Seit dem 30.10.2023 arbeiten die IT-Verantwortlichen unserer Verwaltung sowie die Südwestfalen-IT gemeinsam mit Hochdruck daran, die Systeme und damit verbundene Dienstleistungen wieder verfügbar zu machen.
Bis unsere Verwaltung wieder regulär arbeiten kann, wird es länger dauern als erwartet. Aufgrund nochmals deutlich erhöhter Sicherheitsanforderungen und komplexer, ineinandergreifender IT-Systeme kann die Südwestfalen-IT noch nicht verlässlich sagen, wann die ersten Fachanwendungen wieder zuverlässig funktionieren. Zeitpläne für jede einzelne Kommune sind erst schrittweise zu erwarten. Die Ursache dafür liegt ausdrücklich nicht bei uns als Kommunen – wir können erst Pläne vorlegen, wenn die Südwestfalen-IT uns die Voraussetzungen dafür schafft.
Deshalb müssen Sie als Bürgerinnen und Bürger leider weiterhin mit eingeschränkten Dienstleistungen und längeren Wartezeiten rechnen. Wir bedauern das zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die Ihnen dieser Vorfall verursacht.
In Summe arbeiten rund 170 Personen bei der Südwestfalen-IT an der Bewältigung der Auswirkungen des Cyberangriffs, unterstützt werden sie hierbei von neun externen Dienstleistern. Natürlich wird das Team der Südwestfalen-IT auch über die Feiertage und zwischen den Jahren weiter an der Wiederherstellung zentraler Funktionen arbeiten.
Welche Dienste sind verfügbar bzw. nicht verfügbar?
Unsere Verwaltung kann weiterhin nur in eingeschränktem Umfang auf benötigte Dienste und Programme zugreifen, die für einen reibungslosen Ablauf benötigt werden. Um dennoch funktionierende Zwischenlösungen zu etablieren, hat die Südwestfalen-IT einen Behelfskoordinator beauftragt, der die Kommunen untereinander vernetzt und nach Lösungen sucht, damit Verwaltungsdienste möglichst schnell wieder zur Verfügung stehen.
Wichtig für Sie ist, dass Feuer- und Rettungsdienste erreichbar sind, Notrufnummern funktionieren und das Ordnungsamt seinen Pflichten nachgeht.
Wann können erste Verwaltungsdienste wieder regulär angeboten werden?
Die Südwestfalen-IT hat die Voraussetzungen für den Basisbetrieb der priorisierten Fachverfahren geschaffen. Hierbei ist es wichtig zu betonen, dass Basisbetrieb bedeutet, dass diese Fachverfahren mit reduzierter Funktionalität wieder anlaufen – sie werden also nach wie vor noch eingeschränkt sein. Die betreffenden Fachverfahren werden innerhalb der nächsten Wochen durch die Kommunen schrittweise in Betrieb genommen.
Die freigegebenen Fachverfahren im Pilotbetrieb umfassen die Bereiche Finanz-, Standesamts und Sozialwesen sowie Melde- und Kraftfahrzeugwesen. Im Norden des Verbandsgebiets konnte bereits mit dem Basisbetrieb für das Meldeauskunftssystem für Sicherheitsbehörden und im Sozialwesen begonnen werden.
Wir bitten Sie um Verständnis dafür, dass trotz dieser Freigabe noch nicht alle Dienste sofort wieder angeboten werden können. Es kann weiterhin zu längeren Bearbeitungszeiten und Ausfällen kommen, während wir den Rückstau der in den vergangenen Wochen angefallenen Arbeiten erledigen und die Südwestfalen-IT weiter am Aufbau der benötigten Infrastruktur arbeitet. Wann und in welcher Reihenfolge welche Dienste im Basisbetrieb für die Bürgerinnen und Bürger wieder verfügbar sind, teilen wir Ihnen über unsere Kommunikationskanäle mit.
Wie geht es 2024 weiter? Wann ist mit einem „Normal-Betrieb“ in den betroffenen Kommunen zu rechnen?
Die Südwestfalen-IT hat gemeinsam mit den Kommunen die Priorisierung für eine zweite Welle von insgesamt 16 Fachverfahren vorgenommen. Basierend darauf erarbeitet die Südwestfalen-IT nun einen entsprechenden Plan, der Mitte Januar 2024 gemeinsam mit den Kommunen freigegeben wird. Sobald die internen Tests und die Qualitätssicherung mit den Kommunen erfolgreich abgeschlossen sind, werden die Verfahren – wie auch in der ersten Welle – schrittweise für den Pilotbetrieb in einigen Kommunen freigegeben. Die Südwestfalen-IT wird uns als Kommune informieren, sobald hier erste konkrete Zeitpläne absehbar sind. Auf Basis dessen informieren wir dann alle Bürgerinnen und Bürger.
Der Zeitpunkt, ab wann ein Normalbetrieb läuft, ist derzeit leider noch nicht absehbar.
Sicherheitsaspekte
Sind meine persönlichen Daten sicher? Wurden Passwörter gestohlen? Muss ich meine Passwörter ändern? Sollte ich meine Bank informieren? Soll ich meine Kreditkarten sperren lassen? Wurden auch sensible Daten wie Sozialversicherungsnummern entwendet? Wie kann ich überprüfen, ob meine Daten betroffen sind?
Bei der forensischen Analyse durch externe, BSI-zertifizierte Cyber-Security-Experten konnten keine Hinweise für einen Abfluss von Daten festgestellt werden. Darüber hinaus wird seit dem Vorfall das Darkweb auf Hinweise auf einen Datenabfluss beobachtet. Auch dabei konnten keine Hinweise für einen Datenabfluss festgestellt werden.
Was kann ich tun, um mich/meine Daten zu schützen?
Generell empfehlen wir Ihnen, sich in allen Online-Umgebungen sehr vorsichtig zu verhalten und folgende Empfehlungen zu beachten:
- Nutzen Sie den Empfehlungen des BSI folgend komplexe, sichere Passwörter. Nutzen Sie, wo möglich, eine Zwei-Faktor-Authentisierung (2FA), um Ihre Daten, Konten bei Online-Zahlungsdiensten, Konten bei Shopping-Anbietern etc. zusätzlich abzusichern.
- Halten Sie Ihr Betriebssystem und die Softwareanwendungen sowie den Virenschutz auf dem aktuellsten Stand.
- Seien Sie wachsam beim Öffnen von E-Mail-Anhängen, beim Anklicken von Verlinkungen sowie bei Downloads – egal, ob Sie per Mail, Social Media, Messenger-App oder SMS von unbekannten Nummern kontaktiert werden.
Umfangreiche Empfehlungen finden Sie auch auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
Infos zum Cyberangriff
Wer oder was ist Südwestfalen-IT?
Die Südwestfalen-IT ist ein kommunales Technologie-Unternehmen, das für mehrere Verwaltungen primär in Südwestfalen-IT-Dienstleistungen anbietet, darunter z.B. Serverkapazitäten, E-Mail-Dienste und andere Kommunikationskanäle, Software u.a. Die Verwaltungen nutzen diese täglich und sind auf sie angewiesen, um verschiedenste Services wie das Ausstellen von Bescheinigungen, die KFZ-Zulassung, die Veranlassung von Zahlungen etc. zu ermöglichen.
Was genau ist passiert und wie wurde reagiert?
Die Südwestfalen-IT ist Opfer eines Cyberangriffs mit Ransomware (sog. Erpressungstrojaner) geworden. In der Nacht von Sonntag (29.10.2023) auf Montag (30.10.2023) wurden verschlüsselte Daten auf Servern der Südwestfalen-IT gefunden, die auf einen unautorisierten externen Zugriff hindeuten. Um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, wurden die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen und allen anderen Kunden und Partnern gekappt. Seitdem kann die Stadt Hemer nur noch in sehr begrenztem Umfang auf unsere digitalen Anwendungen zugreifen.
Welche Ämter, Landkreise, Kommunen, Städte sind betroffen?
Primär betroffen sind 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und die Stadt Schwerte.
Wie konnte es zu dem Angriff kommen? Wurden alle Datenschutzrichtlinien und -standards eingehalten?
Die Südwestfalen-IT hat bei externen Forensikern ein entsprechendes Gutachten in Auftrag gegeben und geht davon aus, dass dieses im Januar 2024 fertig gestellt wird. Sobald hieraus Ergebnisse vorliegen, werden diese mitgeteilt.
Wer ist für den Angriff verantwortlich? Werden die Täter zur Rechenschaft gezogen?
Die genauen Umstände des Cyberangriffs sind Gegenstand forensischer Untersuchungen. Eine Anzeige bei den zuständigen Behörden ist gestellt.
BürgerEcho