Neun Tage nach dem Hackerangriff auf den Dienstleister Südwestfalen IT sind wichtige Teile der Stadtverwaltung Bergisch Gladbach lahmgelegt, auch das Zahlungswesen ist umfangreich betroffen. In der Not werden Überweisungsträger und Fax reaktiviert. Die Stadt berief ihren „Stab für außergewöhnliche Ereignisse“ ein und informiert detailliert über die Folgen für die Bürgerschaft. Die Südwestfalen IT signalisiert, dass mit schnellen Lösungen nicht zu rechnen ist.
Aktualisierung 9.11.: Südwestfalen-IT (SIT) teilt mit, es habe die erste Phase der forensischen Analysen der eigenen Systeme abgeschlossen und untersuche jetzt alle Kundensysteme. Bis Ende der Woche werde geklärt, welche Fachverfahren zuerst bearbeitet werden, danach könne mit der schrittweisen Wiederherstellung der Systeme begonnen werden. SIT sei zuversichtlich, erste alternative Lösungen bei den betroffenen Verwaltungen ab der kommenden Woche einsetzen zu können. Von Stadt und Kreis gibt es nichts Neues, viele Aufgaben können nicht erledigt werden.
In der Nacht von Sonntag auf Montag vor gut einer Woche hatten Erpresser das System von Südwestfalen IT (SIT) gekapert und alle Daten verschlüsselt, daraufhin hatte der kommunale Dienstleister alle Leitungen gekappt. Mindestens 72 Kommunen verloren mit diesem Cyberangriff auf einen Schlag mehr oder weniger große Teile ihrer IT-Infrastruktur.
Die Stadt Bergisch Gladbach (und auch der Rheinisch-Bergische Kreis und die anderen Gemeinden im Kreis) sind nicht ganz so hart betroffen, aber auch hier fallen seit nunmehr neun Tagen wichtige Dienstleistungen aus. Die Gemeinde Odenthal hatte sogar die eigene Website verloren, stellt auf einer Notseite jetzt aber eine umfangreiche Liste der verfügbaren Dienste bereit. Auch Wermelskirchen musste eine Notseite und neue Mailadressen aufbauen.
Auf Anfrage aktualisierte jetzt auch die Stadtverwaltung Bergisch Gladbach ihre Liste der Dienstleistungen, die akut betroffen sind – vom Standesamt über Bürgerbüro bis hin zur Stadtkasse.
Folgen bislang nicht absehbar
Allerdings sind die Folgen noch immer nicht absehbar, niemand kann sagen, ob und in welchem Umfang die Südwestfalen IT ihre Arbeit wieder aufnehmen kann, ob auch Rechner außerhalb des Unternehmens betroffen sind, ob Daten von Bürger:innen abgeflossen sind – und einiges mehr (Details zu Aussagen von SIT siehe unten).
IT-Sicherheitsexperten weisen daraufhin, dass in ähnlichen Fällen betroffene Unternehmen ihr gesamtes IT-System inklusive der Hardware neu aufbauen mussten, 2020f war auch Miltenyi Biotec von einer solchen umfassenden Attacke getroffen und für Wochen nahezu komplett lahmgelegt worden.
„Wir nehmen das Problem sehr ernst. Deshalb wollen wir vorbereitet sein und behandeln das Thema mit höchster Priorität“, sagt jetzt Bergisch Gladbachs Kämmerer Thore Eggert, der zugleich Leiter des „Stabs für außergewöhnliche Ereignisse“ (SAE) der Stadt ist. Bereits am Dienstag vor einer Woche war der „Operative Stab“ zusammengetreten, heute tagte auch der mit mehr Kompetenzen ausgestattete SAE.
Die Stadt hoffe zwar, so Eggert, „dass die SIT die Probleme kurzfristig beheben kann, damit alle Services schnell wieder vollumfänglich zur Verfügung stehen.“ Gleichzeitig kümmert sich der SAE jetzt aber um Übergangslösungen und denkt offenbar auch über langfristige Alternativen zu SIT nach.
Stadt kann Zahlungen nur manuell durchführen
Das ist der aktuelle Stand:
Bürgerbüro: Alle Termine im Bürgerbüro sind abgesagt. Die Mitarbeiter:innen können nur per Telefon informieren. Das Online-Terminportal des Bürgerbüros ist erreichbar, doch ist nicht vorhersehbar, ob ein neuer Termin gehalten werden kann. In dringenden Fällen und bei besonderen Problemstellungen ist das Bürgerbüro telefonisch (02202/142322) oder per Mail (buergerbuero@stadt-gl.de) erreichbar.
Die Außenstellen des Bürgerbüros in Refrath und Bensberg sind geschlossen.
Das Serviceportal der Stadt ist offline.
Der komplette Zahlungssystem der Stadt ist betroffen, „wesentliche Zahlungen“ werden zur Zeit in Form einer Notlösung manuell durchgeführt. Trotz allen Bemühungen kann es zu Verzögerungen kommen. Auch Lastschrifteinzüge (Abbuchungen) von Seiten der Stadtkasse werden aktuell nicht ausgeführt. Betroffene können darüber nicht informiert werden. Eine Perspektive, ob und wann die elektronischen Systeme wieder funktionieren, gibt es nicht.
Standesamt: Urkundenausstellungen sind derzeit nicht möglich. Anmeldungen zur Eheschließung können nur eingeschränkt entgegengenommen werden und sind auf dringende Fälle beschränkt. Neue, verbindliche Terminreservierungen für die Eheschließung über den Online-Buchungskalender TKO sind nicht möglich. Bereits bestehende und vereinbarte Eheschließungstermine finden jedoch statt; Paare erhalten auch ihre Eheurkunde. Das Standesamt bittet, nur in begründeten Ausnahmefällen Kontakt aufzunehmen und von Sachstandsanfragen abzusehen.
Das besondere elektronische Behördenpostfach (beBPo), das in erster Linie der rechtssicheren Kommunikation mit der Justiz sowie Anwälten und Notaren dient, ist ausgefallen. Versender erhalten ggf. keine Benachrichtigung über eine fehlgeschlagene Übermittlung. Ersatzweise ist die städtische Rechtsabteilung unter der zentralen Nr. 02202 / 14702315 per Telefax erreichbar.
Führungszeugnisse können online direkt beim Bundesamt für Justiz (www.bundesjustizamt.de) beantragt werden.
Knappe Auskünfte vom Kreis
Auch der Rheinisch-Bergische Kreis musste seine Dienstleistungen einschränken. Seit Montag vergangener Woche sind die KFZ-Zulassungsbehörde, die Ausländerbehörde, das Sozialamt sowie den Bereich Elterngeld betroffen. Auch Dienstleistungen im Bereich Schwerbehindertenangelegenheiten seien momentan nicht verfügbar, heißt es in einer knappen Mitteilung auf der Website des Kreises.
Da der Kreis über eine eigene EDV verfüge seien es vor allem die Schnittstellen zu Land und Bund, die der Kreisverwaltung Probleme bereiten, teilt die Pressestelle auf Anfrage mit. Daher seien alle Dienstleistungen, bei denen Abfragen bei Landes- oder Bundesbehörden erforderlich, nicht verfügbar. Auch der Kreis arbeite mit Hochdruck an einer alternativen Lösung – und informiere so bald wie möglich.
Alle Kommunen haben das Problem, dass Südwestfalen IT so gut wie nicht kommuniziert; auf der Website des Unternehmens werden zwar tägliche Updates versprochen, was aber nicht geschieht. Eine nach außen erkennbare Krisenkommunikation findet nicht statt.
Informationssperre bei SIT
Laut SIT-Website wurde „in Abstimmung mit dem LKA und der Zentral- und Ansprechstelle Cybercrime (ZAC-NRW) der Staatsanwaltschaft Köln“ eine Informationssperre verhängt, „um den Kriminellen keine Anhaltspunkte zu möglichen weiteren Verwundbarkeiten zu liefern“.
Es sei jedoch ein Krisenstab gebildet worden, dem auch externe IT-Forensiker angehören. Dieser Krisenstab stehe „täglich im intensiven Austausch mit den IT-Verantwortlichen aller Kreisverwaltungen des Verbandsgebiets“.
Laut SIT werden nach und nach alle Produktivsysteme einzeln überprüft. Dabei solle schnellst möglich für einzelne Systeme eine Infektion ausgeschlossen werden. Erst wenn neue, verschärfte Sicherheitsstandards erarbeitet und umgesetzt seien könne mit der Wiederinbetriebnahme der nicht betroffenen Systeme begonnen werden. „Im Interesse aller geht hierbei Sicherheit vor Geschwindigkeit“, betont das Unternehmen.
Bereits in der vergangenen Woche hatte ZAC-NRW die Ermittlungen an sich gezogen und am Montag bestätigt, dass es sich um Erpresser handele. Zu ihnen bestehe jedoch kein Kontakt.
Wo ist denn der Notfallplan sowohl des Dienstleisters als auch der Stadt und des Kreises. Notfallpläne gibt es in fast allen größeren Unternehmen. Aber beim IT-Dienstleister als auch bei der Stadt und dem Kreis ist auch in der 2. Woche des Ausfalls kaum eine Besserung zu sehen. Hier ist dann auch die Frage nach welchen Kriterien der IT-Dienstleister ausgesucht wurde. Wurden z.B. Backups vorgehalten, wurden Notfalltests gemacht? Alles ganz normale Sachen in der freien Wirtschaft. Willkommen in der digitalen Welt der Komunen.
Frau Kache, genau so ist es.
Wer bei der schönen neuen digitalen Welt nicht mitmacht, ist „Oldschool“.
Ich gratuliere Ihnen zu Ihrem Kommentar, liebe Frau Kache! Sie sprechen mir aus der Seele.
Schon heute gerät man manchmal an so etwas wie Künstliche Intelligenz, wie z.B. bei manchen Anrufbeantwortern, deren IQ dann oft einfach zu niedrig ist, um vernünftig auf den Anrufer einzugehen.
Auf der anderen Seite muss ich sagen, dass es Digitalisierung gibt, auf die ich nicht verzichten möchte, wie z.B. die Möglichkeit, auf einem Computer zu schreiben. Ohne diese Möglichkeit wäre mir die Veröffentlichung meiner Bücher nicht möglich gewesen. Aber diese Möglichkeit habe ich selber gewählt.
Schlimm ist es, wie Sie zu Recht sagen, wenn einem diese Möglichkeit der Wahl genommen wird. Und auch da haben Sie vollkommen Recht: Die Frage der Sicherheit ist ziemlich ungelöst. Da tut der Gesetzgeber m.E. viel zu wenig.
Aber was soll der Gesetzgeber da mehr tun? Alles an dieser Attacke (und an vielen anderen) ist strafbar – an den Gesetzen kann es eher nicht liegen.
Ich denke (und stimme dem zu), da ist eher mit gemeint, dass die öffentlichen Stellen und auch Betriebe dazu verpflichtet (und unterstützt) werden, ihre Systeme besser abzusichern.
Es wird an allen Stellen über Datenschutz gefaselt (der dann angeblich dies und jenes verböte), bei der operativen Sicherheit ist es aber nicht weit her. Solange halbwegs talentierte Kriminelle Gigabyte-weise Daten „heraustragen“ können oder unverschlüsselte Festplatten von Behörden-Rechnern immer noch nicht nur im Elektroschrott sondern auch auf Restrampen zum Kaufen landen, ist das eher ein Feigenblatt.
Nicht nur die (kürzlich vom Bund wieder gekürzten) Gelder fehlen hier, sondern auch (entsprechend bezahlte) besetzte Stellen, Prioritäten und Kompetenzen und der Wille zur Umsetzung. Ein digitales System, dass nur die bisherigen Verwaltungsabläufe 1:1 unverändert abbilden darf, ist zumeist sehr aufwendig, ineffizient und teuer, alleine weil es spezifisch für jeden Standort angepasst und gewartet werden muss. Eine effektive digitale Umsetzung bedarf auch einiger Neuerungen im Arbeitsablauf und Strukturen, ja, vielleicht auch stellenweise die Umstrukturierung von Arbeitsstellen.
Die Aufgaben einer kommunalen und städtischen Verwaltung sollten deutschlandweit, zumindest landesweit, recht vergleichbar sein: Ummeldung hier, Kfz-Zulassung da und Kindergeld dort… Insofern ist die Zentralisierung auf einen größeren Dienstleister prinzipiell sinnvoll, da man Synergien schafft. Leider scheint der gewählte nicht sonderlich kompetent zu sein.
Eine Lösung für dieses Dilemma Zentralisierung vs. Single-Point-of-Failure könnte bspw. OpenSource sein. Warum sollte Software, die aus öffentlichen Geldern bezahlt wird, nicht auch öffentlich sein. Zum einen findet man somit vermutlich Experten, die freiwillig und unbezahlt mitarbeiten oder die Sicherheit überprüfen, als auch ggf. Mitstreiter aus anderen Ländern, Staaten, Gewerbe.
Dann besteht auch die Möglichkeit, diese Software als Kommune selbst zu hosten (lassen), sodass nicht dutzende Kommunen betroffen sind, wenn dort ein Zugang abhanden kommt.
Wenn man noch träumen darf: Bei Standard-Software (Office, Grafikprogramme, Browser, Buchhaltung, Terminvergabe, Ressourcen-Management,…) sind die Synergien noch größer. Man stelle sich vor, was alles gutes mit den Milliarden gemacht werden könnte, die Staaten Jahr für Jahr an Microsoft, Adobe, SAP,… zahlen.
Es ist wegen des Subsidiaritätsprinzips natürlich immer etwas schwierig, in einem Bereich bundeseinheitliche Regelungen zu schaffen, in dem die Länder und Kommunen das Sagen haben. Aber möglicherweise kann hier die europäische NIS-2-Richtlinie schon eine Verbesserung bringen – bleibt abzuwarten, wie sich die Umsetzung in Deutschland mit dem NIS2UmsuCG auswirkt.
Ansonsten hat sich ein Weg bewährt, wie er im Baubereich mit der MBO und der MVV-TB begangen wurde: Die zuständige Landesministerkonferenz stellt eine Musterverordnung auf, die dann von den Ländern entweder ganz oder angepasst an spezifische Bedürfnisse übernommen wird. Das schafft im Wesentlichen bundeseinheitliche Regelungen, die aber die Länderzuständigkeit nicht einschränken oder aushebeln.
Dass Open-Source-Software den undurchschaubaren „Standard“-Programmen der Software-Riesen mit ihren ebenso undurchschaubaren Geschäftsinteressen einerseits und individuell programmierten, nur regional eingesetzten Insellösungen andererseits vorzuziehen wäre, sehe ich genauso.
Schöne digitale Welt.. In 15 Jahren weiß niemand mehr, wie was manuell gemacht wird.. Altes Wissen geht sowas von verloren.. Es gibt schon heute keinen Autoatlas mehr an Tankstellen..Nicht nur bei Cyberangriffen, sondern auch Überflutungen o. ä… Ähnlich sieht es doch aus wenn alles auf Elektronik umgestellt ist.. Na ja.. Aufzuhalten ist es nicht mehr.. Aber was mich stört, ist das jeder, vor allem auch unwissende ältere Menschen (Wozu ich mich ausdrücklich zu zähle) in die digitale Welt rein gezwungen wird.. Sonst ist man abgehängt.. Soviel zu Teilhabegesetz.. Ich will selbst entscheiden wo ich digital mit gehe…und außerdem ist es ein offenes Geheimnis, dass bei der Sicherheit gespart wird.. Na herzlichen Glückwunsch.. Schöne digitale Welt..
Wir wollen ja alle immer mehr Digitalisierung. Richtig umgesetzt, kann und soll diese unser Leben ja erleichtern. Soweit bin ich ganz dafür. Aber dieses Beispiel zeigt wieder einmal deutlich, was passiert, wenn man diesen Weg weiter beschreitet…
Was machen wir in 10, 20, 30, 40 Jahren, wenn KI oder Technologie XYZ die Digitalisierung ähnlich beeinflusst haben werden, wie Smartphones zum Beispiel? Eines ist klar, die Verbrecher werden sich an die neuen Techs anpassen und nicht aufhören, ihre ‚krummen Dinger‘ zu drehen, um dort Kapital herauszuschlagen. Weichen wir dann immer noch auf Telefax aus?
Da wird mir echt Bammel, wenn ich da so drüber nachdenke…
Der öffentliche Dienst wird nicht drumherum kommen für IT Gehälter mehr zu zahlen. Das wird der alten Garde der Volljuristen nicht gefallen, aber ich wüsste nicht, wir es sonst besser werden kann.
Die Zeit zurückzudrehen und wieder mit Papierakten und Faxgeräten zu arbeiten, kann nicht die Lösung sein. Es fehlt jetzt schon überall an Personal, so dass es zwingend notwendig ist, automatisierbare Abläufe von Maschinen erledigen zu lassen.
Es rächt sich jetzt vielmehr, dass das Thema Digitalisierung der Behörden in Deutschland seit Jahrzehnten verschlafen, belächelt und stiefmütterlich behandelt wird. Und der Bund hat erst kürzlich angekündigt, den Geldhahn weiter abzudrehen.
Ein dazu passender Kommentar findet sich bei Heise: https://www.heise.de/meinung/Kommentar-Die-analoge-Verwaltung-als-tickende-Zeitbombe-9356396.html
Zitat: „Die völlig vermurkste Digitalisierung der deutschen Verwaltung wird absehbar nicht weniger als die gesamte Republik lahmlegen.“
„Aber dieses Beispiel zeigt wieder einmal deutlich, was passiert, wenn man diesen Weg weiter beschreitet“ – Das Beispiel zeigt eher, was passsiert, wenn man es nicht richtig macht. Es ist ja kein gottgegebenes Schicksal, bei der Digitalisierung auf die Nase zu fallen.
Seit Jahren warnen so unterschiedliche Stellen wie BSI, CCC, Bitcom und viele andere davor, das Thema Cybersicherheit auf die leichte Schulter zu nehmen. Und es gibt schließlich bewährte und immer wieder neue Methoden, Systeme abzusichern. Wenn man aber im Wettlauf mit den Cyberkriminellen nasebohrend neben dem Startblock stehenbleibt, dann muss man sich nicht wundern, wenn man von den Gangstern abgehängt wird.