Wer die Website der Stadt Lünen aufrufen möchte, muss auf eine extra eingerichtete Notfallseite ausweichen. Partiell hat auch die Stadt Werne Probleme mit ihrem System. Grund dafür ist ein Hackerangriff auf Südwestfalen IT, einem Dienstleister, der über 70 Kommunen betreut. Doch was war das Ziel der Hacker, wie konnten sie in das System eindringen und wann wird die Seite der Stadt wieder online sein? Fragen, die Christian Hirt beantworten kann. Hirt betreut, schult und berät Firmen in Fragen der IT-Sicherheit.
Warum es so lange dauert, bis die Seite der Stadt wieder online ist, kann er nicht verstehen. „Ich persönlich finde anderthalb Wochen schon sehr lang dafür, dass sehr viele Kommunen betroffen sind. Ich dachte, dass es bei einer Firma dieser Größe einen Notfallplan geben sollte.” Wann die richtige Seite der Stadt Lünen wieder online ist, kann der Experte nur vermuten. „Also ich persönlich gehe davon aus, dass bis Mitte beziehungsweise Ende nächster Woche (KW 46, Anmerkung d. Red.) dauern wird”, sagt Hirt.
Als Grund für den Hackerangriffes sieht Hirt den Klassiker – es geht ums Geld. „Ja, es gibt natürlich auch Hacker, die einfach nur Schaden anrichten wollen und sich dann darüber kaputtlachen, aber das ist sehr, sehr selten. Die meisten wollen halt Geld haben., Man sagt nicht umsonst: im Internet liegt das Geld”, so Hirt.
Auch das Ziel des Hackerangriffes verwundert Hirt nicht. „Die Hacker wissen ganz genau, wenn sie eine Infrastruktur treffen, dass sie da eine Menge Geld erpressen könnten. Ob die Firma sich darauf einlässt, was ich nicht hoffe, ist natürlich eine andere Sache”, erklärt Hirt, warum der Angriff wahrscheinlich auf diesen Dienstleister stattfand.
Meistens wird laut dem Experten ein Trojaner installiert, der Daten herunterlädt, um damit die Firmen zu erpressen. „Die Erpressung läuft meist so, dass die Kriminellen sagen: ‚Wenn man nicht bezahlt, dann werden wir die ersten Datensätze der Öffentlichkeit im Dark-Web zur Verfügung stellen’.” Einen Klau der Daten aus Lünen schließt Daniel Claeßen, Pressesprecher der Stadt Lünen, aus. „Es ist nur die Website betroffen. Alle anderen Systeme laufen ganz nochmal und einen Datenklau gab es nicht”, so Claeßen.
Mehrere Wege der Installation
Die Anwendungsmöglichkeiten diese Schadsoftware sind vielfältig. „Das Trojanische Pferd zum Beispiel. Mit diesem Trojaner kann man den PC übernehmen, Daten herunterladen oder auch Daten manipulieren”, weiß Hirt. Doch auch der Zugriff auf Datensätze kann beeinträchtigt werden. „Durch eine Ransomware können Daten verschlüsselt werden, nachdem der Trojaner aktiviert worden ist. Und durch diese Verschlüsselung kommt man nicht mehr an wichtige Daten ran und oft wird auch das Betriebssystem direkt gesperrt.”
Wie genau die Software installiert worden ist, lässt sich meist nur schwer herausfinden. Laut Hirt gibt es mehrere Möglichkeiten, wie die Software bei Firmen installiert werden kann. „Der häufigste Weg ist, dass die Hacker oder die Cyberkriminellen Social-Media-Profile von Mitarbeitern erforschen und dann werden Phishing Emails genau auf den Mitarbeiter angefertigt, die dann so professionell aussehen, dass man schnell darauf reinfallen kann, wenn man nicht geschult worden ist”, erklärt der Experte und führt aus: „Wenn man dann eine gefälschte Rechnung anklickt, wird ein Prozess in Gang gesetzt, und schon hat man den Salat. Die rufen dann eine externe Seite auf, wo dann die Software runtergeladen und ausgeführt wird und dann verbreitet sich der Trojaner ziemlich schnell.”
Hirt vermutet, dass diese Methode verwendet wurde, um bei Südwestfalen IT Zugriff auf die Systeme zu bekommen. „Deswegen musste vermutlich dort das System auch komplett runtergefahren werden“, begründet er seine Vermutung.
Homeoffice kann Sicherheitsrisiko sein
Außerdem können auch Mitarbeiter aus dem Homeoffice ein Sicherheitsrisiko sein. Diese nutzen kompromittierte Mitarbeiterzugänge, um auf die Systeme in der Firma zuzugreifen. „Man nutzt einen VPN-Zugang, damit man intern auf die Firma zugreifen kann und die anderen Zugriffe geblockt werden. Wenn die Passwörter ziemlich schwach sind oder man keine Zwei-Faktoren-Authentifikation nutzt, ist es sehr einfach, solche Zugänge zu kompromittieren und dann über diese Zugänge, die meistens Administrationsrechte haben, auf das Netzwerk zuzugreifen und zum Beispiel Schadsoftware zu installieren.“
Eine weitere Möglichkeit ist das Nutzen einer Sicherheitslücke. Doch diese Variante hält Hirt für unwahrscheinlich. „Normalerweise sollte eine Firma mit so einer großen Verantwortung externe Dienstleister haben, die alle zwei bis drei Jahre Penetrationstests machen, wo Sicherheitslücken aufgedeckt und geschlossen werden können“, mein Hirt. Als am unwahrscheinlichsten sieht Christian Hirt die Möglichkeit, dass die Software direkt von einem Mitarbeiter, der der Firma schaden möchte, installiert wurde.
Backup als möglicher Schutz
Der Experte ist der Meinung, dass man sich als Stadt Lünen einfach für den Fall schützen kann, falls die Systeme mal wieder heruntergefahren werden müssen. „Der Stadt würde ich empfehlen, noch einen zweiten Dienstleister zu haben, wo das gleiche System läuft wie beim ersten. Solange das erste System läuft, bleibt das zweite natürlich offline”, rät Hirt der Stadt Lünen. Ein ähnliches Verfahren aus mehreren verschiedenen Servern nutzt die Bundeswehr, um immer online zu bleiben.
Die Stadt Lünen hat seit dem 6. November eine Notfallseite eingerichtet, die für den Fall eines erneuten Ausfalls aktiviert werden kann. Diese ist, abhängig von dem Browser, über https://notfallseite.sit.nrw/luenen oder http://luenen.de aufrufbar. „Wir arbeiten daran, die Zugänglichkeit zu unserer provisorischen Homepage zu erleichtern sowie das Service- und Informationsangebot für die Bürgerinnen und Bürger so gut wie möglich auszubauen”, sagt der Pressesprecher der Stadt Lünen, Daniel Claeßen.
Auch Werne betroffen
Während in Lünen die Website von dem Hackerangriff betroffen ist, sind es in Werne nur wenige Bereich der Stadt. Daniel Köster, Abteilungsleiter Datenverarbeitung der Stadt Werne, erklärt kurz nach dem Cyberangriff am 30. Oktober gegenüber der Redaktion: „Die Stadt Werne nutzt nur vereinzelt Dienste der SIT, welche demzufolge momentan nicht genutzt werden können.“
Konkret ist in Werne das Standesamt betroffen. „Die gute Nachricht: Angemeldete Trauungen finden wie geplant statt. Die Verwaltung arbeitet bereits an Lösungen, um die Dienstleistungen auch ohne die SIT-Anwendungen zur Verfügung zu stellen“, heißt es auf der Website der Stadt Werne am Donnerstag (2. November).
Auswirkungen auf Kommunen
Insgesamt sind laut bisherigem Kenntnisstand 72 Kommunen, vornehmlich in Südwestfalen, von dem Hackerangriff auf Südwestfalen IT betroffen. Viele dieser Kommunen sehen sich großen Problemen gegenübergestellt. Laut der Westfalenpost kann zum Beispiel in Meschede keine Abbuchungen machen, für die die Stadt ein SEPA-Lastschrift Mandat erteilt bekommen hat. Das bedeutet, dass verschiedene Steuern aber auch zum Beispiel Kindergartenbeiträge erst zu einem späteren Zeitpunkt abgehoben werden können.
Cyberangriff auf Kommunen - Lösegeldforderungen: Website der Stadt Lünen weiter nicht erreichbar
