Zwei Arbeitswochen sind vergangen, doch sowohl bei der primär von dem Hacker-Angriff betroffenen Südwestfalen IT wie bei den angeschlossenen Kommunen bleiben die Systeme weiterhin ausgeschaltet. Die Stadt Bergisch Gladbach greift so weit wie möglich auf manuelle Verfahren zurück und kümmert sich um langfristige Alternativen. Erste Informationen über die Täter sind nicht beruhigend.
Hinweis der Redaktion, 13.11.: Inzwischen gibt es zwei Updates, die Stadt hat sich zu den anstehenden Zahlungen zur Monatsmitte geäußert, der Kreis u.a. zur Arbeit von KFZ-Zulassungsstelle und zum Elterngeld.
Die Pressestelle der Südwestfalen IT (SIT) hält ihr Versprechen, täglich über den Stand bei dem von Erpressern überfallenen Unternehmen zu berichten. In den vergangenen Tagen und auch heute sieht das so aus: „Am heutigen Tag haben wir keine neuen Informationen für die Öffentlichkeit.“
Am Donnerstag hatte SIT immerhin berichtet, dass „die erste Phase der forensischen Analysen der betroffenen Systeme abgeschlossen“ sei. Die dabei gewonnenen Erkenntnisse würden nun genutzt, „um alle Kundensysteme in einem systematischen Prozess zu untersuchen“. Dann werde entschieden, welche Fachverfahren zuerst wieder hergestellt werden. SIT sei „zuversichtlich, dass bereits nächste Woche die ersten Workarounds wieder einsatzfähig sind und die Bürgerinnen und Bürger einige Dienstleistungen wieder nutzen können.“
Pragmatische Lösungen, alternative Anbieter
Darauf kann und will die Stadt Bergisch Gladbach nicht warten. „Da weiterhin nicht bekannt ist, wann das Problem der SIT gelöst wird, können wir aktuell nur von Woche zu Woche planen“, sagt Thore Eggert, Kämmerer und Leiter des städtischen Krisenstabs SAE.
weitere Beiträge zum Thema
Die Stadtverwaltung arbeite mit großem Einsatz „an pragmatischen Lösungen, um möglichst viele Abläufe auch ohne die IT-Dienste der SIT umsetzen zu können“, betont Eggert. Einige Tätigkeiten würden wieder manuell durchgeführt, war jedoch mit längeren Bearbeitungszeiten verbunden ist.
Zudem wird sich in den zwei Wochen bereits ein großer Rückstau der Vorgänge bei der Stadt und der ebenfalls zum Teil betroffenen Kreisverwaltung gebildet haben. Dazu macht die Stadt keine Angaben.
Die Stadt hat sich auch auf den Fall eingestellt, dass die Programme bei SIT länger ausfallen, berichtete Eggert. Der Krisenstab suche dafür nach „alternativen Lösungen“. Womit offenbar alternative IT-Anbieter gemeint sind.
Was geht – und was nicht
Auf der städtischen Website informiert die Stadt, welche Bereiche betroffen sind – viel Bewegung hat es dort in den vergangenen Tagen nicht gegeben. Nach wie vor sind alle Termine in den Bürgerbüros abgesagt. Zwar können Online neue Termine gebucht werden – ob diese dann auch stattfinden, ist jedoch weiterhin offen.
Betroffen sind auch die Zahlungssysteme der Stadt, Überweisungen müssen per Hand ausgefüllt werden, hatte die Stadt am Dienstag auf Anfrage des Bürgerportals bestätigt. Auch das Lastschriftverfahren ist betroffen. Einige der besonders schwer getroffenen Gemeinden in Südwestfalen haben bereits angekündigt, Abbuchungen zum Steuertermin 15.11. nicht durchführen zu können.
Auch die Stadt Bergisch Gladbach hat diesen Termin im Blick, sammele aber noch Informationen und werde sie am Montag veröffentlichen, teilt die Pressestelle auf Nachfrage mit. Unmittelbar Betroffene, die etwas veranlassen müssten bzw. zu informieren sind, seien direkt kontaktiert worden.
Die Informationen auf der Website des Rheinisch-Bergischen Kreises sind sehr spärlich. Dort heißt es: „Aufgrund einer technischen Störung des Kommunaldienstleisters Südwestfalen-IT (SIT) sind bestimmte Dienstleistungen der Kreisverwaltung derzeit eingeschränkt. Dies betrifft die Zulassungsbehörden im Kreis, die Fahrerlaubnisbehörde, die Ausländerbehörde, das Sozialamt sowie den Bereich Elterngeld. Dienstleistungen im Bereich Schwerbehindertenangelegenheiten sind momentan nicht verfügbar.“
Stadt- und Kreisverwaltung sind telefonisch und per Mail erreichbar.
Tätergruppe identifiziert
In der Zwischenzeit ist bekannt geworden, das hinter dem Angriff eine relativ neue, offenbar hochprofessionelle Hackergruppe steckt. Die Deutsche Presseagentur berichtet aus einem vertraulichen Bericht des Innenministeriums an den Landtag, diese Gruppe nenne sich selbst Akira und sei seit März aktiv.
Die Hacker hätten die Server von Südwestfalen-IT verschlüsselt und eine Nachricht hinterlassen, dass man im Darknet Kontakt aufnehmen solle. Polizei, das Unternehmen und die betroffenen Kommunen lehnten Verhandlungen oder eine Lösegeldzahlung jedoch ab, so der Bericht des Innenministeriums.
Nach Recherchen des Nachrichtenmagazins Spiegel sind auf den Akira-Seiten im Darknet bisher keine Daten von Südwestfalen-IT aufgetaucht. Ob die Hacker die Daten nur verschlüsselt haben oder ob auch Daten abgeflossen sind ist bislang unbekannt.
Allerdings weisen Sicherheitsexperten darauf hin, dass Akira die sogenannte Double-Extortion-Taktik einsetzt: zuerst werden die Dateien von Opfern auf Server der Angreifer kopiert und danach erst verschlüsselt. Lösegeld sollen die Opfer für die Entschlüsselung zahlen oder um zu verhindern, dass die Daten veröffentlicht werden.
Inzwischen gibt es neue Updates von Stadt und Kreis:
https://in-gl.de/2023/11/13/cyber-attacke-stadt-kann-steuern-nicht-einziehen-nimmt-kredit-auf/
https://in-gl.de/2023/11/13/cyber-attacke-kreis-rhein-berg-meldet-erste-fortschritte/
Für den Rückgriff auf manuelle Verfahren verdient die Stadt ein großes Lob. Daran sollte sich der Kreis orientieren. Beispiel Zulassung von KFZ: was macht die Zulassungsbehörde hier?
Sie prüft die Versicherungs-Zusage, die der Bürger mit der EVB-Nummer mitbringt. Sie prüft, ob eine zu vergebene Nummer noch frei ist. Diese Datenbank scheint zu funktionieren, da man ein Wunschkennzeichen online abfragen kann.
Dann füllt sie den Fahrzeugschein aus und klebt die Aufkleber aufs Nummernschild. Das alles geht auch ohne einen zentralen IT-Anbieter.
Die vergebenen Nummern kann man mit einer Excel-Liste festhalten , den Fahrzeugschein mit Schreibmaschine oder per Hand ausfüllen.
Alternativ könnte man auch zulassen, dass der Fahrer den Fahrzeugbrief mitführt und die Zulassung mit einem Schreiben bestätigen. Natürlich muss man die Daten zu einem späteren Zeitpunkt in die zentrale Datenbank nachpflegen.
Wo ist das Problem? Was tun die Mitarbeiter denn zur Zeit?
Es gibt doch auch seit 1 September die Möglichkeit KFZ Online anzumelden. Halt nur nicht in den kleineren Kommunen .. Das scheint auch so ausgelegt zu sein das man auch für andere Zulassen kann (z.b. Vermieter oder Flotte) .. Plakette kommt per Post bis dahin muss sichtbar hinter die Scheibe ein entsprechender Ausdruck Platziert werden. Warum wird das nicht genutzt ? Zur Not in 2 Terminen ? 1. Termin Daten abgeben. 2. Termin Ausdruck abholen.
Hallo, meine Frage ist für eine Verwandte, die einen Geschäftswagen anmelden muss.
Keine Chance, oder gibt es eine Ausweichmöglichkeit. Das Autohaus ist ratlos.
Schöne Grüße und eine gute Woche
Soweit uns bekannt gibt es in Rhein-Berg (und auch und den anderen betroffenen Kommunen) derzeit keine Möglichkeiten. Wir haben aber bei der Kreisverwaltung nachgefragt, wie es weitergehen soll.
Der Zustand vor allem bezüglich der Zulassungsstelle, ist nicht weiter tragbar. Es muss dringend Ausnahmegenehmigungen geben, um in einem anderen Kreis ein Fahrzeug zu zulassen. In meinem speziellen Fall, mussten bereits mehrere Taxi Fahrten zur Arbeitsstelle bezahlt werden, weil das neue Fahrzeug nicht zugelassen werden konnte!
Der Kreis hat sich gerade dazu geäußert, warum bei der KFZ-Anmeldung (noch) nichts geht:
https://in-gl.de/2023/11/13/cyber-attacke-kreis-rhein-berg-meldet-erste-fortschritte/
Dennoch ist die Handlungsweise des Kreises unterirdisch. Für zB. Pass Angelegenheiten, war es auch möglich im OBK zB. eine Alternative zu schaffen. Personal aus dem RBK arbeitet dort und nutzt die funktionierenden Systeme.
Viele Kommunen im Umkreis (Köln, RSK Meckenheim usw.) können Ihre IT uneingeschränkt nutzen. Somit stellt sich die Frage, warum kann nicht analog wie bei Pass Angelegenheiten, eine entsprechende Genehmigung erteilt werden. Die Landesregierung ist diesem Fall gefragt und sollte zügig handeln, es sind nun schon 2 Wochen und kein Zeitraum zur Inbetriebnahme absehbar!
Es muss dringend gehandelt werden!
P.S.
Vielen Dank für dir rasche Rückmeldung
Ich verstehe nicht warum der RBK nicht Seine Stempel einpackt und in eine Nachbar Kommune (Leverkusen oder köln)ausweicht, hier scheint es ja weiter hin zu funktionieren. Die haben scheinbar auf einen „besseren „ Dienstleister gesetzt.
Zitat in-gl: ,,Die Deutsche Presseagentur berichtet aus einem vertraulichen Bericht des Innenministeriums an den Landtag, diese Gruppe nenne sich selbst Akira und sei seit März aktiv. “
Na da bin Ich ja beruhigt das vertrauliche und geheime Dokumente sofort an die Medien weitergegeben werden.
Wenn die PresseAgenturen schon Zugriff auf solche hochvertraulichen Dokumente haben.
Dann sicher auch ganz andere Akteure mit mehr finanziellen Mitteln als die Redakteure
Gut das unsere Daten stets in guten Händen sind UND waren. Gut das so viel Wert auf IT Sicherheit gelegt wird. Und gut das hochprofessionel und deskret an dem Fall gearbeitet wird. Diese Internen Berichte sollten sowiso sofort an die Klatsch Presse weitergeleitet werden. (IRONIE)
Vetraulich ist nicht geheim – die „geheimen Dokumente“, die „sofort“ weitergegeben wurden, haben Sie also erfunden. Und was Sie als „hochvertraulich“ verstehen, bleibt ebenfalls reichlich nebulös. Der Rest ist Stammtisch.
Es ist überspitzt ausgedrückt Herr/ Frau Drucker.
Wikipedia schreibt: Vertraulichkeit
….Vertraulichkeit ist die Eigenschaft einer Nachricht, nur für einen beschränkten Empfängerkreis vorgesehen zu sein. Weitergabe und Veröffentlichung sind nicht erwünscht….
Der beschränkter Personenkreis sollte eigentlich sein Unternehmen SIT, Ermittler und einige in hohen politischen Posten. Besonders der Landtag in NRW.
Aber nicht das es innerhalb von paar Stunden in allen Medien ist und teilweise manche Medien sogar noch ihr eigenes Süppchen kochen.
Aber ja du hast recht. Vertraulich ist nicht ganz das gleiche im Deutschen wie Geheim. wohl aber ähnlich.
Somit ja du hast recht. Es diente als überspitzung. Weil die Medien schneller berichten als die offiziellen Stellen und Pressekonferenzen.
Das misstraue ich einfach leicht.
Die Wahrheit und die Fakten kennt man vielleicht noch gar nicht ?
Guten Abend noch danke das Sie es klar stellen.
Aber Stammtischgespräch ist es nun wirklich nicht…..
Um Himmels willen, dieser Wort-Wasserfall grenzt ja schon an Polyphrasie.
Die Stadt hantiert mit hochsensiblen Daten wie Namen und Anschriften, Geburtsdaten, Ausweis- und Steuernummern. Alles das ist geeignet, um Identitätsdiebstahl zu begehen. Dazu die Namen von Ehepartnern und Kindern, und nicht zuletzt biometrische Merkmale wie Passfotos und Fingerabdrücke, welche sich kaum ändern lassen, wenn sie erst einmal im Darknet kreisen. Es wäre schön zu erfahren, welche dieser Daten nun konkret abgeflossen sind und welche nicht.
Gerade bei den biometrischen Daten haben Experten immer Bedenken über die Datensammelwut des Staates geäußert, was von der Politik aber stets als Panikmache abgetan wurde. Jetzt haben wir den Salat!
Die biometrischen Daten werden nach Aushändigung des Ausweises gelöscht, das ist gesetzlich festgelegt: https://www.gesetze-im-internet.de/pauswg/__26.html
Betroffen von einem Zugriff auf diese Daten können also lediglich Personen sein, deren Ausweisantrag gerade in Bearbeitung ist.
Danke, das ist wenigstens etwas beruhigend. Aber auch die übrigen Daten können in den falschen Händen immer noch für reichlich Probleme sorgen.
Laut dem folgenden Artikel wurden eventuelle Lösegeldzahlungen übrigens abgelehnt: https://www.heise.de/news/Nach-Ransomware-Angriff-Suedwestfalen-IT-und-Kommunen-lehnen-Loesegeldzahlung-ab-9386564.html
Dass kein Lösegeld gezahlt wird, ist bei Ransomeware-Angriffen empfohlene und gängige Praxis. Zudem kann das Zahlen von Lösegeld unter bestimmten Umständen sogar einen Straftatbestand begründen, etwa die Unterstützung einer kriminellen Vereinigung, die Finanzierung von Terrorismus oder den Verstoß gegen Embargo-Maßnahmen.
Es ist so bedauerlich und traurig. Folge ist für mich als Bürger der Stadt, das ich nun auf mein Bankkonto besonders achten muß, meine Adresse, Email in kriminelle Hände gelangt ist, und wegen ich zudem noch mehr auf Phishinmails achten muß. Diese Datenverlust macht mich zu einem Angriffziel. Und warum?
Weil die Stadt verantwortungslos alle meine Daten in einen sehr großen Rechencenter, wahrscheinlich günstiger als ein eigenes Rechencenter gegeben hat. Weil die Stadt den Rechencentrumsanbieter offenbar zu wenig überwacht hat?
Weil die Bundesregierung den Handel mit Cyptowährungen zulässt und Banken diese virtuelle Währung in harte Währung umtauschen. Ohne diese vollkommen wertlose Währung wären Cyberangriffe nicht wirtschaftlich und bestimmt auch nicht im großen Stil organisiert.
Ich bin sehr traurig über diese Lage und drücke der Stadt die Daumen, das Sieger die Zukunft eine bessere Datenablage bzw. Sicherung und Rücksicherung betreibt. Vor allen Dingen sollte die Stadt den Anbieter sorgfältiger auswählen.
Es ist für eine IT Firma für öffentliche Auftrag Geber unfassbar, das keine Backups existieren, die innerhalb einer Woche von admin des Systems wiederhergestellt werden könnten.
Die Schadensersatz Klage muss die sit in den Konkurs führen.
Und muss im Sinne der Steuerzahler Bürger auch gemacht werden.
Und dann bitte professionell wieder aufbauen.
Die Südwestfalen IT ist keine Firma sondern ein öffentlich-rechtliches Rechenzentrum. Sie kann keinen Konkurs machen.
Und selbstverständlich existieren Backups. Die Wiederherstellung kann schnell erfolgen. Sie hat nach Meldungen noch nicht begonnen.
Die erste Zeit nach so einem Angriff dient der so genannten Forensik. Da wird der Umfang des Schadens festgestellt, die Art des Angriffs und nach Spuren der Täter gesucht. Es geht darum, gerichtsfeste Daten zu erhalten.
Der „professionelle“ Wiederaufbau ist sicher längst in Planung. Die Frage ist immer noch, wie die Täter in das RZ gelangt sind. Das soll dann in Zukunft nicht mehr passieren.
Frank Werner
Das mit dem öffentlich-rechtlichen Rechenzentrum erklärt dann schon einiges. Kann man nicht einen einzigen Arbeitsplatz erstmal wieder ans laufen bringen und im Mehrschicht betrieb dann dort die IT Lastigen dinge befördern ? noch 1 Woche und wir sind dann schon bei 1 Monat Total Ausfall..
Wie im Artikel beschrieben sind die Rechner der Stadtverwaltung nicht betroffen, sondern werden weiterhin genutzt. Es fehlen einige der Programme („Fachverfahren“) und einige der Zugänge zu übergeordneten Behörden und damit der Zugriff auf wichtige Daten.