Navigation

MK weiter offline: Cyberangriff mit Erpressungstrojaner

Veröffentlicht: Dienstag, 31.10.2023 11:46

Seit Montag, den 30. Oktober sind viele kommunale Verwaltungen im Märkischen Kreis lahmgelegt. Jetzt steht fest: Die Südwestfalen-IT (SIT), ein kommunaler IT-Dienstleister, ist Ziel eines Cyberangriffs mit einem Erpressungstrojaner geworden. In Zusammenhang mit diesem Trojaner steht laut SIT auch eine Lösegeldforderung (Ransomware) im Raum. Hier gibt es regelmäßige Updates.

Symbolbild Cyberangriff
© Symbolbild: matejmo (Getty Images Signature / Canva)

Update 01.11.2023: Kreisverwaltung öffnet wieder

Die Kreisverwaltung und alle Nebenstellen werden die Türen ab Donnerstag, 2. November, wieder für den Publikumsverkehr öffnen, unter anderem für Gespräche und Beratungen. Die telefonische Erreichbarkeit bleibt weiterhin gegeben. Daher wird darum gebeten, dringende Anliegen auch weiterhin telefonisch zu klären.

Da Systeme und Fachanwendungen offline sind, werden die Bürgerbüros in Lüdenscheid und Iserlohn am Donnerstag und Freitag, 2. und 3. November, ebenso wie die Ausländerbehörde für den Publikumsverkehr geschlossen bleiben. Sie sind aber weiterhin telefonisch erreichbar. Kunden mit Terminen werden gebeten, nicht zu den Zulassungsstellen oder zur Ausländerbehörde zu kommen. Weiterhin können keine Termine online vereinbart werden. Nicht betroffen ist die Kreisleitstelle: sie bleibt bei Notrufen uneingeschränkt erreichbar.

Viele Rathäuser im Märkischen Kreis sind weiter offline - der Angriff

Am Montag, den 30.Oktober waren plötzlich die meisten Kommunen im Märkischen Kreis offline. Grund dafür ist ein Cyberangriff auf die Südwestfalen-IT, einen kommunalen IT-Dienstleister, der für viele Kommunen in ganz NRW verantwortlich ist. Der Angriff ist in der Nacht von Sonntag auf Montag aufgefallen. Dabei wurden verschlüsselte Daten auf Servern der SIT gefunden, die auf einen unautorisierten externen Zugriff hinweisen. Wegen des Cyberangriffs hat die SIT Sicherheitsmaßnahmen ergriffen. Um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, wurden die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen gekappt. Infolgedessen können die Verwaltungen derzeit nicht auf die von der SIT bereitgestellten Fachverfahren und Infrastrukturen (z.B. Programme) zugreifen und sind in ihren Dienstleistungen für die Bürger stark eingeschränkt. Es wurden also alle Systeme heruntergefahren und das beeinträchtigt jetzt eben auch die Kommunen, die ihre Daten und Programme von der SIT beziehen und dort verarbeiten lassen.

Nicht nur der Märkische Kreis ist betroffen

Primär betroffen sind die 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige externe Kunden im Bundesgebiet. Sie haben keinen Internetzugang und können viele ihrer Dienstleistungen nicht anbieten.

Neue Erkenntnisse: Erpressertrojaner mit möglicher Lösegeldforderung

Die SIT arbeitet nach eigenen Angaben eng mit dem LKA, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und externen Sicherheitsdienstleistern zusammen, um den Angriff zu klären, sein Ausmaß zu ermitteln und die Sicherheit ihrer Infrastruktur zu erhöhen. Weitere Informationen werden von der SIT bereitgestellt, sobald neue Erkenntnisse vorliegen. Außerdem ermittelt inzwischen auch die ZAC - die Zentral- und Ansprechstelle Cyberkriminalität in NRW von der Staatsanwaltschaft Köln in enger Zusammenarbeit mit der Polizei Dortmund. Aus ermittlungstaktischen Gründen wollen sich Staatsanwaltschaft und Polizei aber gegenüber Radio MK nicht zu möglichen Lösegeldforderungen äußern. Die SIT spricht auf ihrer Webseite aber von einem Angriff mit sogenannter "Ransomware" (Ransom, engl. = Lösegeld).

Das steckt hinter dem Begriff "Ransomware"

Das Bundesamt für Sicherheit in der Informationstechnik setzt Ransomware - bzw. Erpressersoftware - auch per Definition mit einer Lösegeldforderung gleich. Mit Ransomware wird der Zugriff auf Daten und Systeme eingeschränkt - entweder durch komplette Sperrung oder Verschlüsselung bestimmter Nutzerdaten. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt.

Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden.
Die Südwestfalen-IT (SIT) spricht auf ihrer Webseite von einem Erpressungstrojaner.© Südwestfalen-IT (SIT
Die Südwestfalen-IT (SIT) spricht auf ihrer Webseite von einem Erpressungstrojaner.
© Südwestfalen-IT (SIT

Stab für außergewöhnliche Ereignisse der Stadt Lüdenscheid kommt zusammen

In Lüdenscheid bleibt auch am Dienstag, 31. Oktober, die Stadtverwaltung für den Publikumsverkehr geschlossen. Nach wie vor ist die Verwaltung per E-Mail nicht von außen erreichbar. Telefonisch sind die Mitarbeitenden für Bürgerinnen und Bürger aber erreichbar. Die Sitzung des Jugendhilfeausschusses am 31.10. um 17 Uhr im Ratssaal und auch die Sitzung des Bau- und Verkehrsausschusses am Freitag, 3. November, um 17 Uhr im Ratssaal, finden wie geplant statt. Am 30.10. - dem Tag des Cyberangriffs - war die Ratssitzung noch abgesagt worden. Im Laufe des Dienstags (31.10.) tritt der Stab für außergewöhnliche Ereignisse der Stadt Lüdenscheid (SAE) zusammen.

So erreicht ihr die Städte

Kommunikation per Telefon und Notfall-E-Mail-Adressen möglich. Nach dem Cyberangriff auf den kommunalen IT-Dienstleister Südwestfalen-IT bleiben die Systeme der Stadt Iserlohn weiterhin vom Netz getrennt. Das heißt, dass sämtliche Buchungs- und Informationsportale auf der städtischen Internetseite, wie zum Beispiel der Bücherei-Katalog OBAC, das VHS-Buchungssystem, die Datenbank für den Verkauf von Theaterkarten oder die Terminbuchung für den Bürgerservice nach wie vor nicht?Zur Verfügung stehen . Die Stadt Iserlohn hatte gestern bereits darum gebeten, Termine beim Bürgerservice am 31.Oktober nicht wahrzunehmen. Die Südwestfalen-IT hat bislang keine zeitliche Perspektive und auch noch keine Einschätzung der betroffenen Systeme. Fürs erste kann die externe Kommunikation über folgende Notfall-E-Mail-Adressen erfolgen:

  • buergermeister@bcm-iserlohn.de
  • ordnungsamt@bcm-iserlohn.de
  • jugendamt@bcm-iserlohn.de
  • meldewesen@bcm-iserlohn.de
  • standesamt@bcm-iserlohn.de
  • personal@bcm-iserlohn.de
  • finanzen@bcm-iserlohn.de
  • soziales@bcm-iserlohn.de
  • bauverwaltung@bcm-iserlohn.de
  • it@bcm-iserlohn.de
  • presse@bcm-iserlohn.de
  • feuerwehr@bcm-iserlohn.de

Die Telefonanlage des Rathauses mit der zentralen Rufnummer 02371 217-0 funktioniert bereits seit Montagnachmittag (30.10.) wieder. Zudem sind aktuell folgende Durchwahlen verschiedener Einrichtungen zu erreichen:

  • Bürgerservice, 217-1666
  • Standesamt, 217-1278
  • Kinder- und Jugendbüro, 217-2239
  • Jugendamt, 217-2100
  • Bereich Soziales, 217-2042 u. 217-1621
  • Schulverwaltung, 217-1857
  • Sportbüro, 217-2250
  • Offener Ganztag, 217-2263
  • Seniorenzentrum Waldstadt Iserlohn 80900

Die Telefone der Kulturinstitute sind unter den bekannten Rufnummern erreichbar. Die Telefonnummern und E-Mail-Adressen werden auch über die Social Media-Kanäle der Stadt Iserlohn veröffentlicht.