Der Angriff

Wer oder was ist Südwestfalen-IT (SIT)?

Die Südwestfalen-IT (SIT) ist ein kommunales Technologie-Unternehmen, das für mehrere Verwaltungen primär in Südwestfalen IT-Dienstleistungen anbietet, darunter z.B. Serverkapazitäten, Emaildienste und andere Kommunikationskanäle, Software u.a. Die Verwaltungen nutzen diese täglich und sind auf sie angewiesen, um verschiedenste Services wie das Ausstellen von Bescheinigungen, die KFZ-Zulassung, die Veranlassung von Zahlungen etc. zu ermöglichen.

Was genau ist passiert und wie wurde reagiert? 

Die SIT ist Opfer eines Cyberangriffs mit Ransomware (sog. Erpressungstrojaner) geworden. In der Nacht von Sonntag (29.10.2023) auf Montag (30.10.2023) wurden verschlüsselte Daten auf Servern der SIT gefunden, die auf einen unautorisierten externen Zugriff hindeuten. Um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, wurden die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen und allen anderen Kunden und Partnern gekappt. Seitdem können wir als Kommune nur noch in sehr begrenztem Umfang/nicht mehr auf unsere digitalen Anwendungen zugreifen und sind nicht/nur eingeschränkt per Mail und Telefon zu erreichen.

Welche Ämter, Landkreise, Kommunen, Städte sind betroffen?

Primär betroffen sind 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und die Stadt Schwerte. 

Wer ist für den Angriff verantwortlich? Werden die Täter zur Rechenschaft gezogen?

Die genauen Umstände des Cyberangriffs sind Gegenstand forensischer Untersuchungen. Eine Anzeige bei den zuständigen Behörden ist gestellt.

Warum wird nicht einfach das Lösegeld gezahlt, damit die Systeme freigegeben werden?

Die Stadt Bad Berleburg steht mit der zuständigen Staatsanwaltschaft und den Ermittlungsbehörden in ständigem Kontakt. Aus ermittlungstaktischen Gründen kann zu dem Themenkomplex Lösegeldforderungen keine Aussage getroffen werden. Wenden Sie sich für Rückfragen an die ZAC NRW [Ansprechpartner Dr. Hebbecker 0221/477-48601; christoph.hebbecker@sta-koeln.nrw.de].

Der aktuelle Stand (22.11.2023)

Wie ist der Stand der Analyse-Arbeiten? 

Bei der Analyse der Systeme konnten wichtige Fortschritte erzielt werden. Die Südwestfalen-IT (SIT) hat dabei Spuren, die die Angreifer hinterlassen haben, identifiziert und scannt ihre eigenen Systeme wie auch die der Kreis- und Kommunalverwaltungen nach diesen Spuren. 

Darüber hinaus liegt der Südwestfalen-IT nun ein erster Untersuchungsbericht vor. Es wurde deutlich, dass durch die unverzügliche Reaktion der SIT der professionelle Angriff erfolgreich gestoppt werden und dass sich die Schadsoftware nur innerhalb eines begrenzten Bereiches verbreiten konnte. Das Schadensausmaß konnte auf diese Weise effektiv begrenzt werden. 

Wie ist der Stand bei der Wiederherstellung der Systeme? 

Die SIT macht weiter Fortschritte beim Wiederaufbau seiner Basis-Infrastruktur. Darüber hinaus liegt nun ein Konzept für den Wiederanlauf der Basis-Infrastruktur und der priorisierten Fachverfahren und Dienste vor: Bis Mitte Dezember sollen erste wesentliche Dienstleistungen in einem Notbetrieb zur Verfügung gestellt werden. Diese umfassen u.a. das Ausstellen von Ausweisen, Pässen und Führerscheinen, die Anmeldung von Geburten, Todesfällen und Hochzeiten, die Auszahlung von aktuell berechneten Sozialhilfeleistungen und Wohngeld, die Kfz-Zulassung sowie Dienste der Ausländerbehörden. 

Die Bürgerinnen und Bürger werden über den genauen Zeitpunkt der im Notbetrieb bereitgestellten Dienste rechtzeitig informiert – und auch darüber, welche Funktionen im Notbetrieb bereitgestellt werden können. 

Welche Dienstleistungen in welchen Kommunen sollen und können schnell wieder an den Start gehen? 

Der zentrale Behelfe-Koordinator der SIT hat für diejenigen Verfahren, in denen eine vorübergehende Behelfslösung gefunden werden konnte, diese bereits an die Kommunen kommuniziert. 

Wann ist mit einem „Normal-Betrieb“ in den betroffenen Kommunen zu rechnen? 

Der Zeitpunkt, ab wann ein Normalbetrieb läuft, ist derzeit nicht absehbar. Die SIT hat bereits am 01.11.2023 einen Behelfe-Koordinator eingesetzt, der mit Hochdruck daran arbeitet, den betroffenen Kommunen in der Zwischenzeit trotzdem zu ermöglichen, den Bürgerinnen und Bürgern wesentliche öffentliche Dienstleistungen anbieten zu können. 

Um schrittweise wieder in den Normal-Betrieb zu kommen, hat die SIT eine Prioritätenliste an Fachverfahren in enger Abstimmung mit den Vertreter*innen von Kreisen und Kommunen erarbeitet. Die Fachverfahren, die in diesem Prozess priorisiert bearbeitet werden, sollen es dann den Kommunen z.B. wieder ermöglichen, Geburten und Sterbefälle zu registrieren, Eheschließungen anzumelden, sie zur Haushaltsplanung und Budgetierung zu befähigen, die Kfz-Zulassung und Führerschein-Ausgabe zu ermöglichen, Sozialhilfe-Leistungen auszuzahlen, Asylanträge zu bearbeiten sowie Aufenthaltstitel und Arbeitserlaubnisse auszustellen. 

Die Bürgerinnen und Bürger werden über den genauen Zeitpunkt der im Notbetrieb bereitgestellten Dienste rechtzeitig informiert – und auch darüber, welche Funktionen im Notbetrieb bereitgestellt werden können.

Bedeutung des Angriffs für Verwaltungsleistungen

Was bedeutet das für die Verwaltung meiner Stadt/Kommune?

Inzwischen konnten für die Kreise Siegen-Wittgenstein und Olpe eine Not-Telefonie an den Haupthäusern unter den Hauptrufnummern eingerichtet werden. Weite Teile des Märkischen Kreises, des Hochsauerlandkreises sowie des Kreises Soest sind telefonisch ebenfalls angebunden. Auch wenn die Verwaltungen, Städte und Kreise selbst nicht gehackt wurden, so bedeutet dies in der Konsequenz für Sie, dass die meisten Verwaltungsleistungen weiterhin nur eingeschränkt oder nicht verfügbar sind.

Wir bedauern den Ausfall zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die Ihnen dieser Vorfall verursacht. Wir arbeiten gemeinsam mit IT-Spezialisten den mit Hochdruck daran, den Schaden zu begrenzen, Lösungen schnellstmöglich auf den Weg zu bringen und hoffen auf Ihre Geduld und Ihr Verständnis, bis wir Ihnen neue Informationen geben können.

Wie kann ich die Verwaltung meiner Stadt jetzt erreichen? Wo erhalte ich Updates und neue Informationen?

Wir haben umgehend eine Notfall-Website erstellt, die Sie unter der Adresse www.blb-digital.de finden. Dort erhalten Sie immer eine Übersicht der aktuellen Informationen. Außerdem halten wir Sie über unsere Social-Media-Kanäle (Facebook, Instagram und Telegram) sowie über Veröffentlichungen in der Tagespresse auf dem Laufenden. 

Was tut die Stadt Bad Berleburg um das Problem zu beheben?

Seit dem 30.10.2023 arbeiten mehrere Krisenstäbe bei der SIT rund um die Uhr daran, den Umfang des entstandenen Schadens zu einzuschätzen, diesen auf ein Mindestmaß zu begrenzen sowie die ersten Dienstleistungen wieder verfügbar zu machen. Unsere Verwaltung unterstützt die SIT und IT-Spezialisten dort, wo wir können. Alle Teams arbeiten gemeinsam mit Hochdruck daran, um die Situation aufzuklären und so schnell wie möglich, Schritt für Schritt wieder einsatzbereit zu werden.

Welche Auswirkung hat der Angriff auf die Arbeit in Verwaltungen?

Da zunächst ermittelt werden muss, welche IT-Systeme im Einzelnen vom Angriff betroffen sind, mussten als Vorsichtsmaßnahme alle Dienste und Systeme abgeschaltet werden. Dies geschah zum Schutze möglicherweise noch nicht betroffener Abteilungen. Daher können die Verwaltungen momentan nur in sehr kleinem Umfang auf ihre Rechner und kaum auf benötigte Dienste und Programme zugreifen, die für einen reibungslosen Ablauf benötigt werden.

Um dennoch funktionierende Zwischenlösungen zu etablieren, hat die SIT am 1.11.2023 einen Behelfe-Koordinator beauftragt, der die Kommunen untereinander vernetzt und nach Lösungen sucht, damit Verwaltungsdienste möglichst schnell wieder zur Verfügung stehen. Sobald wir mehr Informationen haben, lassen wir Sie dies wissen.

Welche Dienste sind vom Hackerangriff derzeit betroffen und nicht verfügbar?

Die Situation unterscheidet sich je nach Verwaltung. Unsere Verwaltung und die SIT arbeiten mit Hochdruck daran, einen funktionierenden Notbetrieb aufzubauen. Die ersten Dienste werden ab Mitte Dezember im Notbetrieb anlaufen. Wichtig für Sie ist, dass Feuer- und Rettungsdienste erreichbar sind, Notrufnummern funktionieren und das Ordnungsamt seinen Pflichten nachgeht.

Wie lange werden die Dienste noch gestört sein?

Die Teams der SIT arbeiten rund um die Uhr an der Prüfung und Wiederherstellung aller Systeme. Gleichzeitig wurden neue Sicherheitsrichtlinien erarbeitet und werden schrittweise umgesetzt. Erst wenn Systeme als unbedenklich eingestuft wurden und die neuen Sicherheitsrichtlinien in Kraft sind, kann mit der Wiederinbetriebnahme begonnen werden. Dies wird derzeit vorbereitet, sodass ab Mitte Dezember die ersten Dienste wieder im Notbetrieb angeboten werden. Wo es derzeit möglich und zielführend ist, unterstützen IT-Experten sie dabei. Die Bürgerinnen und Bürger werden über den genauen Zeitpunkt der im Notbetrieb bereitgestellten Dienste rechtzeitig informiert – und auch darüber, welche Funktionen im Notbetrieb bereitgestellt werden können.

Wir sind uns bewusst, dass die aktuelle Situation äußerst ärgerlich ist, Sie direkt betrifft und in Ihrem Alltag stark beeinträchtigt. Wir bedauern den Ausfall zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die dieser Vorfall verursacht. Alle arbeiten mit Hochdruck daran, den Schaden zu begrenzen und Lösungen schnellstmöglich auf den Weg zu bringen. Hierfür bitten wir Sie um Geduld und Ihr Verständnis, bis wir Ihnen neue Informationen geben können. 

Kann ich mich mit meinem Anliegen an eine der umliegenden Verwaltungen wenden?

Derzeit prüfen wir für eine Vielzahl an Verwaltungsleistungen, ob es möglich ist, Ihr Anliegen über Verwaltungen in Ihrer Nähe abwickeln zu lassen, um auf diese Weise eine vorläufige, gangbare Behelfslösung zu finden.

Wir bedauern den Ausfall zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die dieser Vorfall verursacht. Sobald wir mehr Informationen zur möglichen Umsetzung und dem Vorgehen haben, setzen wir Sie dazu in Kenntnis.

Priorisierung von Verwaltungsleistungen

Wie lautet der aktuelle Plan für den Wiederanlauf des IT-Betriebs und der Dienstleistungen der Kreise und Kommunen? 

Der aktuelle Plan der SIT wird in enger Abstimmung mit den betroffenen Kreisen und Kommunen entwickelt und fortlaufend angepasst. Darin wird der Aufbau der Basisinfrastruktur sowie die Wiederherstellung von wichtigen Diensten priorisiert. Diese sollen es dann den Kommunen z.B. wieder ermöglichen, Geburten und Sterbefälle zu registrieren, Eheschließungen anzumelden, sie zur Haushaltsplanung und Budgetierung zu befähigen, die KFZ-Zulassung und Führerschein-Ausgabe zu ermöglichen, Sozialhilfe-Leistungen auszuzahlen, Asylanträge zu bearbeiten sowie Aufenthaltstitel und Arbeitserlaubnisse auszustellen. Für die Kreise Siegen-Wittgenstein und Olpe steht eine Not-Telefonie an den Haupthäusern unter den Hauptrufnummern zur Verfügung. Weite Teile des Märkischen Kreises, des Hochsauerlandkreises sowie des Kreises Soest sind telefonisch ebenfalls angebunden. 

Bis wann rechnet die SIT mit einer weitgehenden Wiederherstellung der wichtigsten Dienste? 

Die SIT arbeitet derzeit unter Hochdruck daran, die von den Kreisen und Kommunen priorisierten Dienste so schnell wie möglich wieder anzubieten. Die SIT wird bekannt geben, sobald ein Zeitplan für die Wiederherstellung absehbar ist. 

Wie betrifft der Angriff mich persönlich?

 Sind meine persönlichen Daten sicher? Wurden Passwörter gestohlen? Muss ich meine Passwörter ändern? Sollte ich meine Bank informieren? Soll ich meine Kreditkarten sperren lassen? Wurden auch sensible Daten wie Sozialversicherungsnummern entwendet? 

Alle Teams arbeiten mit Hochdruck daran, den erfolgten Angriff, die Vorgehensweise und den Schaden besser zu verstehen und einzuschätzen. Das Darknet wird auf Datenabflüsse hin beobachtet. Nach aktuellem Kenntnisstand gibt es keine Hinweise darauf, dass Daten abgeflossen sind. Eine abschließende Einschätzung der IT-Experten steht noch aus. 

Wir sind uns bewusst, dass die aktuelle Situation äußerst ärgerlich ist, Sie direkt betrifft und in Ihrem Alltag stark beeinträchtigt. Wir bedauern den Ausfall zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die dieser Vorfall verursacht. Alle arbeiten mit Hochdruck daran, den Schaden zu begrenzen und Lösungen schnellstmöglich auf den Weg zu bringen. Hierfür bitten wir Sie um Geduld und Ihr Verständnis, bis wir Ihnen neue Informationen geben können. 

Wie kann ich überprüfen, ob meine Daten betroffen sind? 

Momentan ist es noch nicht möglich zu überprüfen, ob und welche Daten von Bürgerinnen und Bürgern direkt durch den Angriff ggf. betroffen sind. Das Darknet wird auf Datenabflüsse hin beobachtet. Nach aktuellem Kenntnisstand gibt es keine Hinweise darauf, dass Daten abgeflossen sind. Sobald wir über genauere Informationen verfügen, lassen wir Sie dies wissen. 

Kann ich Entschädigung für erlittenen Schaden fordern? 

Wir verstehen, dass die derzeitige Ausnahmesituation Sie direkt betrifft, und wir tun in Zusammenarbeit mit der SIT alles dafür, den Schaden so gering wie möglich zu halten. Wir klären aktuell ab, an wen Sie sich bzgl. Schadensersatzforderungen wenden können und geben Ihnen eine Rückmeldung, sobald uns Informationen dazu vorliegen. 

Wir sind uns bewusst, dass die aktuelle Situation äußerst ärgerlich ist, Sie direkt betrifft und in Ihrem Alltag stark beeinträchtigt. Wir bedauern den Ausfall zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die dieser Vorfall verursacht. Wir arbeiten mit Hochdruck daran, Lösungen schnellstmöglich auf den Weg zu bringen und hoffen auf Ihre Geduld und Ihr Verständnis, bis wir Ihnen neue Informationen geben können. 

Kann ich Entschädigung für erlittenen Schaden fordern?

Wir verstehen, dass die derzeitige Ausnahmesituation Sie direkt betrifft, und wir tun in Zusammenarbeit mit der SIT alles dafür, den Schaden so gering wie möglich zu halten. Wir klären aktuell ab, an wen Sie sich bzgl. Schadensersatzforderungen wenden können und geben Ihnen eine Rückmeldung, sobald uns Informationen dazu vorliegen.

Wir sind uns bewusst, dass die aktuelle Situation äußerst ärgerlich ist, Sie direkt betrifft und in Ihrem Alltag stark beeinträchtigt. Wir bedauern den Ausfall zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die dieser Vorfall verursacht. Wir arbeiten mit Hochdruck daran, Lösungen schnellstmöglich auf den Weg zu bringen und hoffen auf Ihre Geduld und Ihr Verständnis, bis wir Ihnen neue Informationen geben können.

Wie sicher sind jetzt die Online-Dienste der Stadt Bad Berleburg?

Derzeit können wir Ihnen leider keine Online-Dienste anbieten. Wir bitten um Ihr Verständnis und arbeiten mit Hochdruck daran, diese wieder so schnell wie möglich und sicher verfügbar zu machen. 

Was kann ich tun, um mich jetzt besser zu schützen?

Generell empfehlen wir in der aktuellen Situation, sich in allen Online-Umgebungen aktuell sehr vorsichtig zu verhalten und folgende Empfehlungen zu beachten: 

-        Nutzen Sie den Empfehlungen des BSI folgend komplexe, sichere Passwörter. Nutzen Sie, wo möglich, eine Zwei-Faktor-Authentisierung (2FA), um Ihre Daten, Konten bei Online-Zahlungsdiensten, Konten bei Shopping-Anbietern etc. zusätzlich abzusichern.

-        Halten Sie ihr Betriebssystem und die Softwareanwendungen sowie den Virenschutz auf dem aktuellsten Stand.

-        Seien Sie wachsam beim Öffnen von E-Mail-Anhängen, beim Anklicken von Verlinkungen sowie bei Downloads – egal, ob Sie per Mail, Social Media, Messenger-App oder SMS von unbekannten Nummern kontaktiert werden.

Umfangreiche Empfehlungen finden Sie auch auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html

Ich habe Erfahrung in dem Bereich und kann helfen. An wen soll ich mich wenden?

Haben Sie herzlichen Dank für das freundliche Angebot. Die SIT, arbeitet seit 30.10.2023 eng mit einem Team von externen IT-Experten zusammen und steht auch mit der IT-Abteilung unserer Kommune im ständigen Austausch. Gemeinsam arbeiten sie nahezu rund um die Uhr daran, diese Ausnahmesituation schnellstmöglich zu beheben. Bitte haben Sie Verständnis, dass nur ein enger Kreis von Personen an der Aufklärung und dem Wiederaufbau arbeiten dürfen.