Der Angriff
Wer oder was ist Südwestfalen-IT (SIT)?
Die Südwestfalen-IT (SIT) ist ein kommunales Technologie-Unternehmen, das für mehrere Verwaltungen primär in Südwestfalen IT-Dienstleistungen anbietet, darunter z.B. Serverkapazitäten, Emaildienste und andere Kommunikationskanäle, Software u.a.. Die Verwaltungen nutzen diese täglich und sind auf sie angewiesen, um verschiedenste Services wie das Ausstellen von Bescheinigungen, die KFZ-Zulassung, die Veranlassung von Zahlungen etc. zu ermöglichen.
Was genau ist passiert und wie wurde reagiert?
Die SIT ist Opfer eines Cyberangriffs mit Ransomware (sog. Erpressungstrojaner) geworden. In der Nacht von Sonntag (29.10.2023) auf Montag (30.10.2023) wurden verschlüsselte Daten auf Servern der SIT gefunden, die auf einen unautorisierten externen Zugriff hindeuten. Um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, wurden die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen und allen anderen Kunden und Partnern gekappt. Seitdem können wir als Kommune nur noch in sehr begrenztem Umfang/nicht mehr auf unsere digitalen Anwendungen zugreifen und sind nicht per E-Mail zu erreichen.
Welche Ämter, Landkreise, Kommunen, Städte sind betroffen?
Primär betroffen sind 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und die Stadt Schwerte.
Wer ist für den Angriff verantwortlich? Werden die Täter zur Rechenschaft gezogen?
Die genauen Umstände des Cyberangriffs sind Gegenstand forensischer Untersuchungen. Eine Anzeige bei den zuständigen Behörden ist gestellt.
Bedeutung des Angriffs für Verwaltungsleistungen
Was bedeutet das für die Verwaltung meiner Stadt/Kommune?
Auch wenn die Verwaltungen, Städte und Kreise selbst nicht gehackt wurden, so bedeutet dies in der Konsequenz für Sie, dass die meisten Verwaltungsleistungen momentan nicht oder nur eingeschränkt verfügbar sind. Evtl. können Sie Ihre Verwaltung weder telefonisch noch per Mail erreichen. Wenn Sie einen Termin haben, nehmen Sie diesen bitte nicht wahr.
Wir bedauern den Ausfall zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die Ihnen dieser Vorfall verursacht. Wir arbeiten gemeinsam mit IT-Spezialisten den mit Hochdruck daran, den Schaden zu begrenzen, Lösungen schnellstmöglich auf den Weg zu bringen und hoffen auf Ihre Geduld und Ihr Verständnis, bis wir Ihnen neue Informationen geben können.
Was tut die Stadt Fröndenberg/Ruhr, um das Problem zu beheben?
Seit dem 30.10.2023 arbeiten mehrere Krisenstäbe bei der SIT rund um die Uhr daran, den Umfang des entstandenen Schadens zu einzuschätzen, diesen auf ein Mindestmaß zu begrenzen sowie die ersten Dienstleistungen wieder verfügbar zu machen. Unsere Verwaltung unterstützt die SIT und IT-Spezialisten dort, wo wir können. Alle Teams arbeiten gemeinsam mit Hochdruck daran, um die Situation aufzuklären und so schnell wie möglich, Schritt für Schritt wieder einsatzbereit zu werden.
Welche Auswirkung hat der Angriff auf die Arbeit in Verwaltungen?
Da zunächst ermittelt werden muss, welche IT-Systeme im Einzelnen vom Angriff betroffen sind, mussten als Vorsichtsmaßnahme alle Dienste und Systeme abgeschaltet werden. Dies geschah zum Schutze möglicherweise noch nicht betroffener Abteilungen. Daher können die Verwaltungen momentan nur in sehr kleinem Umfang auf ihre Rechner und kaum auf benötigte Dienste und Programme zugreifen, die für einen reibungslosen Ablauf benötigt werden.
Um dennoch funktionierende Zwischenlösungen zu etablieren, hat die SIT am 1.11.2023 einen Behelfe-Koordinator beauftragt, der die Kommunen untereinander vernetzt und nach Lösungen sucht, damit Verwaltungsdienste möglichst schnell wieder zur Verfügung stehen. Sobald wir mehr Informationen haben, lassen wir Sie dies wissen.
Wie lange werden die Dienste noch gestört sein?
Bevor Ihnen unsere Dienstleistungen wieder wie gewohnt angeboten werden können, muss die SIT auch zu Ihrem Schutze sicherstellen, dass alle Systeme frei von schädlicher Software sind. Die Teams der SIT arbeiten rund um die Uhr an der Prüfung und Wiederherstellung aller Systeme. Gleichzeitig wurden neue Sicherheitsrichtlinien erarbeitet und schrittweise umgesetzt. Erst wenn Systeme als unbedenklich eingestuft wurden und die neuen Sicherheitsrichtlinien in Kraft sind, kann mit der Wiederinbetriebnahme begonnen werden. Wo es derzeit möglich und zielführend ist, unterstützen unsere IT-Experten sie dabei.
Wir sind uns bewusst, dass die aktuelle Situation äußerst ärgerlich ist, Sie direkt betrifft und in Ihrem Alltag stark beeinträchtigt. Wir bedauern den Ausfall zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die dieser Vorfall verursacht. Alle arbeiten mit Hochdruck daran, den Schaden zu begrenzen und Lösungen schnellstmöglich auf den Weg zu bringen. Hierfür bitten wir Sie um Geduld und Ihr Verständnis, bis wir Ihnen neue Informationen geben können.
Wie betrifft der Angriff mich persönlich?
Sind meine persönlichen Daten sicher? Wurden Passwörter gestohlen? Muss ich meine Passwörter ändern? Sollte ich meine Bank informieren? Soll ich meine Kreditkarten sperren lassen? Wurden auch sensible Daten wie Sozialversicherungsnummern entwendet?
Alle Teams arbeiten mit Hochdruck daran, den erfolgten Angriff, die Vorgehensweise und den Schaden besser zu verstehen und einzuschätzen. Nach aktuellem Kenntnisstand kann ein Abfluss von Daten nicht ausgeschlossen werden. Eine abschließende Einschätzung der IT-Experten steht noch aus.
Wir sind uns bewusst, dass die aktuelle Situation äußerst ärgerlich ist, Sie direkt betrifft und in Ihrem Alltag stark beeinträchtigt. Wir bedauern den Ausfall zutiefst und entschuldigen uns aufrichtig für die Unannehmlichkeiten, die dieser Vorfall verursacht. Alle arbeiten mit Hochdruck daran, den Schaden zu begrenzen und Lösungen schnellstmöglich auf den Weg zu bringen. Hierfür bitten wir Sie um Geduld und Ihr Verständnis, bis wir Ihnen neue Informationen geben können.
Wie kann ich überprüfen, ob meine Daten betroffen sind?
Momentan ist es noch nicht möglich zu überprüfen, ob und welche Daten von Bürgerinnen und Bürgern direkt durch den Angriff ggf. betroffen sind. Nach aktuellem Kenntnisstand kann ein Abfluss von Daten nicht ausgeschlossen werden. Sobald wir über genauere Informationen verfügen, lassen wir Sie dies wissen.
Was kann ich tun, um mich jetzt besser zu schützen?
Generell empfehlen wir in der aktuellen Situation, sich in allen Online-Umgebungen aktuell sehr vorsichtig zu verhalten und folgende Empfehlungen zu beachten:
- Nutzen Sie den Empfehlungen des BSI folgend komplexe, sichere Passwörter. Nutzen Sie, wo möglich, eine Zwei-Faktor-Authentisierung (2FA), um Ihre Daten, Konten bei Online-Zahlungsdiensten, Konten bei Shopping-Anbietern etc. zusätzlich abzusichern.
- Halten Sie ihr Betriebssystem und die Softwareanwendungen sowie den Virenschutz auf dem aktuellsten Stand.
- Seien Sie wachsam beim Öffnen von E-Mail-Anhängen, beim Anklicken von Verlinkungen sowie bei Downloads – egal, ob Sie per Mail, Social Media, Messenger-App oder SMS von unbekannten Nummern kontaktiert werden.
