ErfahrungsberichtWir wurden gehackt, was nun?
Bei der Verwaltungsdigitalisierung ist die nordrhein-westfälische Stadt Witten im Ennepe-Ruhr-Kreis gut aufgestellt. Sichtbar wird das beim Thema E-Akte: Hier kann die Wittener Verwaltung vorne mitspielen. Die IT wird weitgehend selbstständig betrieben. Als am Sonntag, den 17. Oktober 2021 gegen 8:30 Uhr die Feuerwehr bei mir als Wittener IT-Leiter anrief, war gleich klar, dass dies nichts Gutes bedeuten kann. Die Feuerwehr berichtete mir, dass sie Probleme mit ihren Daten habe und auch das Telefonieren nicht wirklich gut funktioniere. Zu diesem Zeitpunkt konnte ich mich noch auf unsere städtischen Systeme aufschalten und nach dem Fehler suchen. Auf den ersten Blick war zu sehen, dass unser zentrales Speichersystem (SAN) voll und dort kein Platz für weitere Daten war. Gemeinsam mit dem Abteilungsleiter Technik versuchte ich herauszufinden, was den kompletten Speicher verbraucht haben könnte.
Schnell fanden sich dann auf dem SAN neben jeder virtuellen Festplatte so genannte Ransom Notes. In diesen wurde uns mitgeteilt, dass unsere Daten verschlüsselt worden waren. Es folgte eine E-Mail-Adresse, an die wir uns wenden sollten, wenn wir unsere Daten wiederhaben wollen. In einem solchen Augenblick ist das Leben als IT-Leiter nicht mehr schön.
Notfallhandbuch war vorhanden
Für die Stadt Witten existiert ein Notfallhandbuch, das verschiedene Szenarien beschreibt. In diesem wurde zwar nicht unser konkreter Störfall geschildert, aber zumindest war dort aufgelistet, wer zu informieren und wie generell vorzugehen ist. Diesem Ablauf folgend habe ich also zunächst den zuständigen Dezernenten angerufen, dieser wiederum hat den Bürgermeister informiert, der dann den „Stab für außergewöhnliche Ereignisse – SAE“ einberufen hat. Diesem Krisenstab der Stadt Witten gehören neben dem Bürgermeister der zuständige Dezernent, die Organisations- und Personalchefin, die Pressestelle, die IT und die Feuerwehr an, welche die Organisation des SAE übernommen hat.
Parallel wurde der LKA-Lagedienst von mir über den Vorfall informiert. In der Folge erschienen im Laufe des Tages verschiedenste Polizeidienststellen in Witten. Zusätzlich habe ich Kontakt zu einem IT-Sicherheitsunternehmen aufgenommen, da mir schon zu diesem Zeitpunkt klar war, dass die Stadt bei der Ursachenanalyse sowie der Wiederherstellung ihrer Systeme Unterstützung benötigen würde.
Die polizeilichen Maßnahmen beschränkten sich im Wesentlichen auf die Sicherstellung von Beweismaterial. Am Sonntagabend war dies weitgehend abgeschlossen – und endete mit der Feststellung, dass unser Fall nicht die Kritische Infrastruktur (KRITIS) beträfe. Die polizeilichen Maßnahmen wurden daher an die zuständige lokale Dienststelle abgegeben. Durch die Feststellung, dass wir nicht als KRITIS einzustufen sind, war dann auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht für uns zuständig. Tatsächlich waren am Ende die einzig Zuständigen wir selbst – es gab keinerlei externe behördliche Unterstützung.
Umfassendes Schadenbild
Das Schadenbild war absolut umfassend. Denn die IT der Stadt Witten ist nahezu vollständig virtualisiert. Alle Daten liegen auf dem SAN. Die Cyber-Attacke hatte also zur Folge, dass sämtliche Daten und Systeme verschlüsselt und nicht mehr funktionsfähig waren. Auch die Datensicherung wurde angegriffen – es waren nur noch die Daten auf den Magnetbändern vorhanden. Die Stadt Witten hatte somit von einem Tag auf den anderen keine IT-Systeme mehr. Wie soll eine Verwaltung in einem solchen Fall reagieren? Eine erste wichtige Frage lautete, wie wir den Angriff kommunizieren wollen. Noch am Sonntag fiel die Entscheidung, mit der Situation offen umzugehen. Die Öffentlichkeit wurde daher über unsere Website – die extern gehostet ist – sowie die städtischen Social-Media-Kanäle darüber informiert, dass das Rathaus am Montag geschlossen bleiben muss.
Für Montagmorgen war dann eine Amtsleiterrunde einberufen, wo den Kolleginnen und Kollegen die Situation erklärt wurde. Sie wurden gebeten, alle Maßnahmen – gerne auch unkonventionelle – zu ergreifen, damit der Dienstbetrieb irgendwie weitergehen kann. Denn es war zu diesem Zeitpunkt bereits klar, dass es einige Tage, wenn nicht gar Wochen dauern würde, bis in Witten wieder alles funktioniert.
Wichtig für den weiteren Ablauf war es dann, eine verlässliche Arbeitsmethode zu installieren, die auch der sehr dynamischen Lage gerecht wurde. Der SAE hat täglich, meist am späten Vormittag, getagt. Zu den wichtigsten Themen zählten dabei stets die folgenden Fragen: Wie ist der aktuelle Stand bei der Technik? Was muss priorisiert werden? Was können wir kommunizieren?
Kommunikation ist äußert wichtig
In der Rückschau lässt sich konstatieren, dass das Thema Kommunikation – und eine sinnvolle Arbeitsteilung dabei – im Fall eines Cyber-Angriffs äußerst wichtig ist. In Witten etwa war das Referat Kommunikation dafür zuständig, alle verfügbaren Informationen zu sammeln und auf allen Kanälen – intern und extern – zu verbreiten. Der Bürgermeister und der Dezernent bildeten das Gesicht nach außen, nahmen die Termine mit Presse, Funk und Fernsehen wahr und kommunizierten mit den politischen Gremien. Die Organisations- und Personalchefin und ich als IT-Leiter lieferten natürlich alle notwendigen Informationen, konnten uns ansonsten aber darauf konzentrieren, die IT wieder zum Laufen zu bekommen.
Die Wittener IT-Abteilung war im Zuge der Aufarbeitung des Cyber-Angriffs stark gefordert. Die komplette Infrastruktur musste neu aufgebaut werden – das war nur durch den hohen persönlichen Einsatz aller Beteiligten möglich. Mehr als zwei Wochen dauerte es, bis erste Dinge wie E-Mails, E-Akte und Telefon wieder funktionierten – und ungefähr einen Monat, bis wieder wichtige Dienstleistungen in nennenswerter Zahl verfügbar waren. Die Ämter fanden teilweise zwar kreative Lösungen, um ihre Aufgaben zumindest teilweise erledigen zu können, viele Dienste konnten in Witten jedoch lange Zeit nicht oder nur eingeschränkt erbracht werden. Immer gewährleistet war hingegen die Zahlbarmachung wichtiger Leistungen; teilweise wurden Zahlungen aus dem Vormonat schlicht wiederholt. Wichtig war der Stadt, die Menschen nicht ohne finanzielle Mittel dastehen zu lassen.
Wiederaufbau der IT-Systeme hat rund ein Jahr gedauert
Auf die Forderungen der Erpresser ist Witten übrigens nicht eingegangen. Der Bürgermeister hatte dazu eine klare Haltung, die vom Rat einstimmig mitgetragen wurde. Als klar war, dass es zwar dauern würde, die städtischen Daten aber auf jeden Fall aus eigener Kraft wiederhergestellt werden könnten, wurde erst gar kein Kontakt mit den Erpressern aufgenommen. Als Einfallstor für die erfolgte Cyber-Attacke machte die Stadt bei der Ursachenrecherche aus, dass im Zuge der Ausweitung der mobilen Arbeit aufgrund der Corona-Pandemie nicht konsequent auf eine Zwei-/Multi-Faktor-Authentifizierung (MFA) geachtet worden war. Jeder Verwaltung ist daher dringend zu empfehlen, keinerlei Remote-Zugriff ohne MFA zuzulassen. Ohne jede Ausnahme.
Der Wiederaufbau ihrer IT-Systeme hat die Stadt Witten insgesamt rund ein Jahr gekostet. Das war allerdings der Tatsache geschuldet, dass die Systeme und Netze dabei auch gleich auf den aktuellen Stand der Sicherheitstechnik gebracht wurden, was bei einem Kernsystem mit circa 1.000 Arbeitsplätzen, vielen Standorten und 27 Schulen naturgemäß sehr zeitaufwendig ist.
Dieser Beitrag ist in der Ausgabe Oktober 2023 von Kommune21 im Schwerpunkt IT-Sicherheit erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.
Materna Virtual Solution: Sicheres ultramobiles Arbeiten
[18.12.2024] Das BSI hat Apples indigo und Samsungs Knox in diesem Jahr für den Einsatz bei Verschlusssachen zugelassen. Materna Virtual Solution sieht darin Vorteile für Behörden: mehr Sicherheit und Flexibilität und einen Zuwachs an geeigneten Fachanwendungen. mehr...
SEP/Databund: Kooperation für IT-Sicherheit
[29.11.2024] SEP, Hersteller der Datensicherungslösung SEP sesam, ist jetzt Mitglied des Databund. Die in Deutschland entwickelte Backup-Lösung wird bereits von zahlreichen öffentlichen Institutionen eingesetzt. Mit dem Beitritt zu Databund will SEP den Austausch mit anderen Akteuren der öffentlichen Verwaltung fördern. mehr...
Fraunhofer IGD / ekom21: Cybergefährdungslagen visualisieren
[21.11.2024] Neue interaktive Visualisierungen von IT-Gefährdungslagen sollen in einem Forschungsprojekt des Fraunhofer-Instituts für Graphische Datenverarbeitung IGD und des IT-Dienstleisters ekom21 entstehen. Das vom Land Hessen geförderte Vorhaben berücksichtigt auch die Bedürfnisse kleinerer Institutionen wie Kommunen. mehr...
Märkischer Kreis: Neue IT-Projekte im Fokus
[20.11.2024] Grünes Licht für die Haushaltsansätze im Bereich Digitalisierung und IT gab der Ausschuss für Digitalisierung und E-Government des Märkischen Kreises. Geplant sind Investitionen in IT-Sicherheit, Netzwerkinfrastruktur und den weiteren Ausbau digitaler Services. mehr...
BSI: Bericht zur Lage der IT-Sicherheit
[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...
LivEye: Sicherheitsüberwachung auf Weihnachtsmärkten
[08.11.2024] Für die Sicherheitsüberwachung auf Weihnachtsmärkten hat das Unternehmen LivEye ein neues Konzept entwickelt, das Datenschutz und effektive Gefahrenabwehr kombiniert. mehr...
Hessen: Höhere Cybersicherheit
[05.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
SIT: Ein Jahr nach dem Ransomware-Angriff
[04.11.2024] Ein Jahr nach der Cyberattacke auf die Südwestfalen-IT haben die Mitarbeitenden gemeinsam mit den IT-Teams betroffener Kommunen die Systeme wiederhergestellt. Um künftig besser gegen Cyberbedrohungen geschützt zu sein, fordert Geschäftsführer Mirco Pinske klarere gesetzliche Regelungen – etwa die Berücksichtigung kommunaler IT-Dienstleister in der NIS2-Richtlinie. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[04.11.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt SicherKommunal. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
Lösungen: Cybersicherheit stärken
[13.09.2024] Die NIS2-Richtlinie bietet die Chance, die IT-Sicherheit auf ein deutlich höheres Level zu heben, ist aber auch mit Herausforderungen verbunden. Kommunen benötigen zudem Lösungen, die speziellen IT-Sicherheitsanforderungen genügen. mehr...
BSI: IT-Sicherheitskennzeichen für Zoom
[11.09.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...
IT-Sicherheit: Feuerwehr und Firewall
[02.09.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...
Schwandorf: Siegel für IT-Sicherheit
[29.08.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...
Interview: Wertvolle Lehren gezogen
[14.08.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...
München: Hauptabteilung für IT-Sicherheit
[02.08.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...