Im Juli 2023 erlebte Südwestfalen-IT (SIT), ein wichtiger IT-Dienstleister für mehr als 70 Kommunen in Nordrhein-Westfalen, einen schweren Ransomware-Angriff. Die Angreifer, die zur Gruppe „Akira“ gehören, nutzten eine Schwachstelle in der VPN-Infrastruktur der SIT, um unbefugten Zugang zu erhalten. Dieser Vorfall führte zu erheblichen Störungen in den IT-Systemen der betroffenen Kommunen und machte deutlich, wie verwundbar öffentliche IT-Dienstleister gegenüber Cyberbedrohungen sind.

Die Schwachstelle und der Angriff

Die Angreifer profitierten von der fehlenden Multi-Faktor-Authentifizierung (MFA), die den Zugang zum internen Netzwerk erleichterte. Einmal eingedrungen, verschlüsselten die Hacker zahlreiche Systeme, was zu einem kompletten Ausfall der IT-Infrastruktur führte. Dieser Angriff hat die Schwächen in der Sicherheit von kommunalen IT-Dienstleistern aufgezeigt und die dringende Notwendigkeit einer besseren Absicherung betont.

Sofortmaßnahmen und Reaktion

Nach der Entdeckung des Angriffs reagierte SIT schnell und setzte folgende Maßnahmen um:

• Systeme heruntergefahren und isoliert: So konnte die Ausbreitung des Angriffs gestoppt werden.
• Externe Cybersicherheitsexperten hinzugezogen: Diese analysierten den Vorfall und halfen, den Schaden zu begrenzen.
• Sicherung der Backups: Glücklicherweise waren die Backups unversehrt, sodass ein vollständiger Datenverlust vermieden wurde.

Wiederherstellung der Systeme

Die Wiederherstellung der IT-Infrastruktur war ein komplexer und zeitaufwändiger Prozess. Es dauerte bis zum 30. September 2024, bis der Normalbetrieb wieder aufgenommen werden konnte. Die Wiederherstellungskosten und zusätzlichen Sicherheitsmaßnahmen beliefen sich auf etwa 2,8 Millionen Euro. Für 2025 sind noch weitere Investitionen geplant, um die IT-Sicherheit langfristig zu verbessern.

Umfassende Sicherheitsmaßnahmen zur Prävention

Um solche Angriffe in Zukunft zu verhindern, hat SIT folgende Sicherheitsvorkehrungen getroffen:

• Flächendeckende Multi-Faktor-Authentifizierung: Diese Maßnahme schützt den Zugang zu den Systemen und erhöht die Sicherheit erheblich.
• Stärkere Segmentierung der IT-Systeme: Dadurch können Angriffe auf einen Bereich des Systems besser isoliert und gestoppt werden.
• Verstärkte Zusammenarbeit mit anderen kommunalen IT-Dienstleistern: Eine engere Zusammenarbeit hilft, im Ernstfall schneller zu reagieren und Lösungen zu finden.

Fazit: Cybersicherheit für kommunale IT-Dienstleister ist unerlässlich

Der Angriff auf die Südwestfalen-IT verdeutlicht, wie wichtig es ist, dass kommunale IT-Dienstleister ihre Sicherheitsvorkehrungen regelmäßig überprüfen und anpassen. Nur durch moderne Sicherheitslösungen, regelmäßige Schulungen und präventive Maßnahmen können zukünftige Cyberangriffe abgewehrt und der Betrieb der IT-Infrastruktur gesichert werden.