Folgenschwerer Hackerangriff auf Südwestfalen-IT legt mehr als 70 Kommunen lahm
von Tina Siering
Nach einem folgenschweren Angriff mit Ransomware auf den kommunalen IT-Dienstleister Südwestfalen-IT sind die Verwaltungen in mehr als 70 Städten, Kreisen und Gemeinden in Nordrhein-Westfalen in großen Teilen lahmgelegt. Autos anmelden, Personalausweise oder eine Geburtsurkunde beantragen – viele alltägliche Prozesse sind aktuell für die Bürgerinnen und Bürger aus NRW nicht möglich. Die Zahlung eines Lösegelds wird in Absprache mit den betroffenen Kommunen abgelehnt, die Ermittlungen laufen.
Ende Oktober 2023 gelang der neuen, aber umso aktiveren Hackergruppe „Akira“ ein aufsehenerregender Cyberangriff auf den IT-Dienstleister Südwestfalen-IT (SIT). Wie laut der Deutschen Presseagentur DPA aus einem vertraulichen Bericht des Innenministeriums an den Landtag hervorging, gelang es den Hackern, die Server der Südwestfalen-IT zu verschlüsseln. Der Cyberangriff mit Ransomware machte eine Abschaltung der Systeme unumgänglich. Da SIT als kommunaler IT-Dienstleister tätig ist, hat dieser Angriff nicht „nur“ ein Unternehmen getroffen – vielmehr sind insgesamt 74 Kommunen in Deutschlands bevölkerungsreichstem Bundesland von erheblichen Einschränkungen betroffen. Besonders hart hat der Cyberangriff Kommunen im südlichen und östlichen Nordrhein-Westfalen getroffen. Aus den Kreisen Siegen-Wittgenstein und Olpe wurden besonders drastische Einschränkungen gemeldet. Zahlreiche Bürgerbüros mussten ihren Betrieb einstellen, digitale Verwaltungsprozesse wurden in einem „Notfall-Workaround“ auf Papier umgestellt. Auch einige Wochen nach dem Angriff können viele Dienstleistungen noch immer nur bedingt angeboten werden, die Auswirkungen auf die Bürgerinnen und Bürger des Landes sind immens.
Was über das Hackerkollektiv „Akira“ bekannt ist
Die kriminelle Cybervereinigung „Akira“ wurde erstmals im März 2023 durch Sicherheitsexperten beobachtet und gilt somit als recht neue Ransomware-Gruppe. Akira setzt auf das Ransomware-as-a-Service-Modell, greift also auf Tools und Services zurück, die als Dienstleistung von anderen Cyberkriminellen gegen monatliche Abo-Gebühren bereitgestellt werden. Akira hat sich darauf spezialisiert, in IT-Systeme einzudringen, dort Daten zu exfiltrieren und Anwendungen zu verschlüsseln. In der Folge fordert die Gruppe ein Lösegeld, dessen Höhe im Fall des Angriffs auf SIT aktuell noch nicht bekannt ist. Wird das Lösegeld nicht gezahlt, werden die Daten sowie die Namen der Unternehmen im Darknet auf der Leak-Seite von Akira veröffentlicht. Gemäß der Akira-Site konnte die Gruppe seit März rund 63 Unternehmen und Organisationen kompromittieren, der größte Teil davon sind kleine und mittelständische Unternehmen.
Nicht nur das Vorgehen von Akira erinnert stark an die gefürchtete, mittlerweile aber aufgelöste Cybercrime-Gruppe Conti. IT-Security-Experten konnten feststellen, dass die von Akira verwendete Ransomware ähnliche Funktionen wie die der Conti-Gruppe aufweist. Zudem setzt Akira, wie Conti zuvor auch, auf den sogenannten ChaCha-Algorithmus zum Verschlüsseln der Daten in den kompromittierten Systemen. Es ist naheliegend, dass sich einige der ehemaligen Conti-Mitglieder anderen RaaS-Gruppen angeschlossen haben – und Umständen auch Akira.
SIT meldet erste Fortschritte in der Schadensbeseitigung
Da der kommunale IT-Dienstleister in enger Absprache mit den betroffenen Kommunen die Zahlung eines Lösegelds an Akira verweigert, sind die betroffenen Server bis heute verschlüsselt. Dennoch konnte SIT erste Fortschritte in der Aufarbeitung des Sicherheitsvorfalls vermelden. Gemäß einer eigens eingerichteten Notfall-Website konnte die SIT die erste Phase einer forensischen Analyse der betroffenen Systeme erfolgreich abschließen. Die gewonnenen Einblicke in den Vorfall werden aktuell dafür verwendet, alle Kundensysteme systematisch zu untersuchen. In einem nächsten Schritt wird gemeinsam mit den Mitgliedern eines erweiterten Krisenstabs festgelegt, mit welcher Priorisierung die wiederherzustellenden Fachverfahren angegangen werden. Anschließend soll mit einer schrittweisen Wiederherstellung des Gesamtsystems begonnen werden. Einige betroffene Kommunen können aktuell bereits wieder öffentliche Dienstleistungen anbieten, die allerdings immer noch auf Behelfsprozessen basieren.
Das BSI warnt: Die Gefahr von Cyberangriffen auf Kommunen wird zunehmen
Der Cyberangriff von Akira auf die SIT war zwar einer der schwersten Angriffe auf den öffentlichen Sektor in Deutschland – aber beileibe kein Einzelfall. Im Gegenteil: Wie der Kölner Staatsanwalt Christoph Hebbecker, Mitglied der zentralen Cybercrime-Einheit ZAC NRW gegenüber der Rheinischen Post berichtete, vergeht kaum ein Tag, an dem ZAC NRW nicht die Ermittlungen wegen Ransomware-Angriffen aufnehmen müsse. Unter Beschuss stehen dabei nicht nur Unternehmen aller Branchen, sondern auch Hochschulen, Krankenhäuser, Bildungseinrichtungen oder Anwaltskanzleien. Im aktuellen Lagebericht des BSI ist hierzu zu lesen, dass Cyberkriminelle einem Trend folgen – nämlich dem Weg des geringsten Widerstands. Ausgewählt werden bevorzugt die Opfer, die leicht anzugreifen sind. Oder anders gesagt: Es geraten die Organisationen ins Fadenkreuz der Hacker, die ihre IT-Systeme nicht ausreichend absichern können.
Der durch Cyberangriffe entstehende Schaden ist dabei immens. In den letzten 12 Monaten sind allein den deutschen Unternehmen Schäden von 148 Milliarden Euro entstanden. Hier noch nicht eingerechnet sind die Schäden, die den Bürgerinnen und Bürgern durch Cyberangriffe auf öffentliche Einrichtungen entstehen. Im schlimmsten Fall kann ein Cyberangriff sogar zur Gefahr für Leib und Leben werden, wenn beispielsweise kritische Infrastrukturen wie Krankenhäuser oder Energieversorger ihre Arbeit einstellen müssen. Das die Gefahr geringer wird, davon ist nicht auszugehen. Sicherheitsexperten weltweit rechnen im Gegenteil mit einer nochmals deutlich steigenden Gefahrenlage in der nahen Zukunft.
Kein Kontakt zur Hackergruppe Akira
Der Staatsanwalt Hebbecker sagte im Gespräch mit der Rheinischen Post, dass es derzeit „keinen Kontakt zur Tätergruppe“ gäbe und man auch „keine Verhandlungen über Lösegeld“ führe. Dass es zu einer Identifizierung der Täter hinter dem Ransomware-Angriff oder gar zu einer Festnahme kommt, ist unwahrscheinlich. In den seltensten Fällen gelingt es den Strafverfolgungsbehörden, die Cyberkriminellen ausfindig zu machen.