Forensischer Bericht zum Hackerangriff auf Südwestfalen IT
Lokalzeit Südwestfalen. 26.01.2024. 01:54 Min.. Verfügbar bis 26.01.2026. WDR. Von Mike Külpmann.
Hackerangriff: Südwestfalen-IT räumt schwere Sicherheitslücken ein
Stand: 26.01.2024, 09:05 Uhr
Fast drei Monate nach dem Hackerangriff auf den Dienstleister Südwestfalen-IT ist klar: Der Hauptzugang des Unternehmens war einem forensischen Bericht zufolge nur unzureichend geschützt. Persönliche Daten von Einwohnern sind laut Unternehmen aber nicht abgeflossen.
Von Mike Külpmann
Nach Auffassung von IT-Experten hatten die Hacker leichtes Spiel beim kommunalen Dienstleister Südwestfalen-IT in Hemer. Das zeigt ein forensischer Bericht, den das Unternehmen am Donnerstagabend veröffentlichte. Man habe zwar schnell reagiert und den Angriff damit zügig gestoppt, heißt es darin. Das Eindringen der Hacker habe man aber nicht verhindern können.
Zugang schlecht geschützt
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.
Südwestfalen-IT hatte seinen Netzwerk-Zugang schlecht geschützt
"Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Wohl keine persönlichen Daten gestohlen
Die Hacker hätten keine Daten von Bürgerinnen und Bürgern erbeutet. Das sagte ein Unternehmenssprecher am Freitag, nachdem am Vorabend externe Cyber-Security-Experten ihren Abschlussbericht zu der Attacke einer Hackergruppe vorgelegt hatten.
Persönliche Daten von Einwohnern der betroffenen Städte, Kreise und Gemeinden seien nicht abgeflossen, betonte der Sprecher von Südwestfalen-IT in Hemer.
Große Bedrohung, wenig Geld
Claudia Plattner, die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sagte im Gespräch mit dem WDR, der vorliegende Bericht könne helfen, "klar zu machen, wo wir noch mal nachlegen müssen". Cybersicherheit habe immer noch nicht den Stellenwert, "den es haben muss, angesichts der Größe des Problems".
"Wir ordnen als BSI die Bedrohungslage weiterhin als besorgniserregend ein." Claudia Plattner, BSI-Präsidentin
Gleichzeitig hat Cybersicherheit in Deutschland offenbar ein weiteres Problem: das Geld. "Angesichts der Aufgaben, die auf uns zukommen, muss man definitiv sagen, das wird haushalterisch ganz, ganz schwer, wirklich diesen Job so machen zu können, wie man ihn eigentlich machen müsste", so Plattner.
Hackergruppe "Akira"
Verantwortlich für den Angriff auf Südwestfalen-IT war wohl "Akira", nach Expertenmeinung eine der fünf gefährlichsten Hackergruppen weltweit. Nachdem sie einmal eingedrungen war, konnte sie die Daten verschlüsseln und eine Lösegeldforderung stellen. Hinweise darauf, dass Daten geklaut oder veröffentlicht worden sind, habe man allerdings nicht.
Jetzt soll ein neuer Geschäftsführer den Vorgang aufarbeiten und die gefundenen Lecks schließen. Die Südwestfalen-IT ist ein Zweckverband von 72 Kommunen und Kreisen, die ihre IT ganz oder teilweise an den Dienstleister ausgelagert haben.
Noch kein Normalbetrieb
In Folge des Angriff waren viele Dienstleistungen wie Kfz-Zulassungen oder die Ausgabe von Personalausweisen über Wochen lahmgelegt. Das schnelle Notabschalten der Rechner habe den Angriff eindämmen können. Alle Sicherheitslücken seien nun geschlossen worden.
Erst seit kurzem hat sich die Situation spürbar gebessert. Erst Ende März sollen alle wichtigen Systeme wieder normal laufen.
Unsere Quellen:
- Bericht der Cyber-Security-Experten von r-tec
- IT-Experte Philipp Rothmann
- Südwestfalen IT
