Häufig gestellte Fragen

Der Angriff

Wer oder was ist Südwestfalen-IT?

Die Südwestfalen-IT ist ein kommunales Technologie-Unternehmen, das für mehrere Verwaltungen primär in Südwestfalen IT-Dienstleistungen anbietet, darunter z.B. Serverkapazitäten, Emaildienste und andere Kommunikationskanäle, Software u.a.. Die Verwaltungen nutzen diese täglich und sind auf sie angewiesen, um verschiedenste Services wie das Ausstellen von Bescheinigungen, die Veranlassung von Zahlungen etc. zu ermöglichen.

Was genau ist passiert und wie wurde reagiert?

Die Südwestfalen-IT ist Opfer eines Cyberangriffs mit Ransomware (sog. Erpressungstrojaner) geworden. In der Nacht von Sonntag (29.10.2023) auf Montag (30.10.2023) wurden verschlüsselte Daten auf Servern der Südwestfalen-IT gefunden, die auf einen unautorisierten externen Zugriff hindeuten. Um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, wurden die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen und allen anderen Kunden und Partnern gekappt. Seitdem können wir als Kommune nicht mehr auf unsere digitalen Anwendungen zugreifen und sind nur eingeschränkt per E-Mail und Telefon zu erreichen.

Welche Ämter, Landkreise, Kommunen, Städte sind betroffen?

Primär betroffen sind 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und die Stadt Schwerte.

Wer ist für den Angriff verantwortlich? Werden die Täter zur Rechenschaft gezogen?

Die genauen Umstände des Cyberangriffs sind Gegenstand forensischer Untersuchungen. Eine Anzeige bei den zuständigen Behörden ist gestellt.

Warum wird nicht einfach das Lösegeld gezahlt, damit die Systeme freigegeben werden?

Die Südwestfalen-IT steht mit der zuständigen Staatsanwaltschaft und den Ermittlungsbehörden in ständigem Kontakt. Aus ermittlungstaktischen Gründen kann zu dem Themenkomplex Lösegeldforderungen keine Aussage getroffen werden. Wenden Sie sich für Rückfragen an die ZAC NRW [Ansprechpartner Dr. Hebbecker 0221/477-48601; christoph.hebbecker@sta-koeln.nrw.de].


Bedeutung des Angriffs für Verwaltungsleistungen

Was bedeutet das für die Verwaltung meiner Stadt/Kommune?

Auch wenn die Verwaltungen, Städte und Kreise selbst nicht gehackt wurden, so bedeutet dies in der Konsequenz für Sie, dass die meisten Verwaltungsleistungen momentan nicht oder nur eingeschränkt verfügbar sind.

Wie kann ich die Verwaltung meiner Stadt jetzt erreichen? Wo erhalten ich Updates und neue Informationen?

Die Stadt Netphen hat umgehend diese Notfall-Website erstellt. Hier erhalten Sie immer eine Übersicht der aktuellen Informationen. Außerdem halten wir Sie über unsere Social-Media-Kanäle sowie über Veröffentlichungen in der Tagespresse auf dem Laufenden.

Was tut die Stadt Netphen, um das Problem zu beheben?

Seit dem 30.10.2023 arbeiten mehrere Krisenstäbe bei der Südwestfalen-IT rund um die Uhr daran, den Umfang des entstandenen Schadens zu einzuschätzen, diesen auf ein Mindestmaß zu begrenzen sowie die ersten Dienstleistungen wieder verfügbar zu machen. Unsere Verwaltung unterstützt die Südwestfalen-IT und IT-Spezialisten dort, wo wir können. Alle Teams arbeiten gemeinsam mit Hochdruck daran, um die Situation aufzuklären und so schnell wie möglich, Schritt für Schritt wieder einsatzbereit zu werden.

Welche Auswirkung hat der Angriff auf die Arbeit in Verwaltungen?

Da zunächst ermittelt werden muss, welche IT-Systeme im Einzelnen vom Angriff betroffen sind, mussten als Vorsichtsmaßnahme alle Dienste und Systeme abgeschaltet werden. Dies geschah zum Schutze möglicherweise noch nicht betroffener Abteilungen. Daher können die Verwaltungen momentan nur in sehr kleinem Umfang auf ihre Rechner und kaum auf benötigte Dienste und Programme zugreifen, die für einen reibungslosen Ablauf benötigt werden.

Um dennoch funktionierende Zwischenlösungen zu etablieren, hat die Südwestfalen-IT am 01.11.2023 einen Behelfe-Koordinator beauftragt, der die Kommunen untereinander vernetzt und nach Lösungen sucht, damit Verwaltungsdienste möglichst schnell wieder zur Verfügung stehen. Sobald wir mehr Informationen haben, lassen wir Sie dies wissen.

Wie ist der Stand bei der Wiederherstellung der Systeme?

Die Südwestfalen-IT legt ein Konzept für den Wiederanlauf der Basis-Infrastruktur und der priorisierten Fachverfahren und Dienste vor: Bis Mitte Dezember fanden die ersten Pilot-Tests für die Wiederinbetriebnahme der ersten drei Verfahren in einem Basisbetrieb statt. Sie können mittlerweile im Basisbetrieb verfügbare Dienstleistungen im entsprechenden Menüpunkt einsehen. 

Was bedeutet „Basisbetrieb“?

Basisbetrieb bedeutet, dass die ersten Fachverfahren mit reduzierter Funktionalität wieder anlaufen, d.h. dass diese nach wie vor noch eingeschränkt sein werden, auch wenn manche Dienste wieder verfügbar sind, sobald sie in Pilot-Tests erfolgreich getestet wurden. So werden z.B. nicht gleich alle Dienste wieder angeboten werden können, dazu kann es außerdem zu längeren Bearbeitungszeiten und Ausfällen kommen, während wir den Rückstau der in den letzten Wochen angefallenen Arbeiten erledigen und die Südwestfalen-IT weiter am Aufbau der benötigten Infrastruktur arbeitet. Wir bitten Sie darum, weiterhin Gebrauch von den eingerichteten Behelfslösungen zu machen.

Wann ist mit einem „Normal-Betrieb“ in den betroffenen Kommunen zu rechnen? 

Der Zeitpunkt, ab wann ein Normalbetrieb läuft, ist derzeit nicht absehbar. 

Um schrittweise wieder in den Normal-Betrieb zu kommen, hat die Südwestfalen-IT eine Prioritätenliste an Fachverfahren in enger Abstimmung mit den Vertreterinnen und Vertretern von Kreisen und Kommunen erarbeitet. Die Fachverfahren, die in diesem Prozess priorisiert bearbeitet werden, sollen es dann den Kommunen z.B. wieder ermöglichen, Geburten und Sterbefälle zu registrieren, Eheschließungen anzumelden, sie zur Haushaltsplanung und Budgetierung zu befähigen, Sozialhilfe-Leistungen auszuzahlen, Asylanträge zu bearbeiten sowie Aufenthaltstitel und Arbeitserlaubnisse auszustellen.

Welche Dienstleistungen wieder im Notbetrieb bereitgestellt werden können, erfahren Sie unter dem entsprechenden Menüpunkt.

Wie betrifft der Angriff mich persönlich?

Sind meine persönlichen Daten sicher? Wurden Passwörter gestohlen? Muss ich meine Passwörter ändern? Sollte ich meine Bank informieren? Soll ich meine Kreditkarten sperren lassen? Wurden auch sensible Daten wie Sozialversicherungsnummern entwendet?

Alle Teams arbeiten mit Hochdruck daran, den erfolgten Angriff, die Vorgehensweise und den Schaden besser zu verstehen und einzuschätzen. Nach aktuellem Kenntnisstand kann ein Abfluss von Daten nicht ausgeschlossen werden. Das Darknet wird auf Datenabflüsse hin beobachtet. Nach aktuellem Kenntnisstand gibt es keine Hinweise darauf, dass Daten abgeflossen sind. 

Wie kann ich überprüfen, ob meine Daten betroffen sind?

Momentan ist es noch nicht möglich zu überprüfen, ob und welche Daten von Bürgerinnen und Bürgern direkt durch den Angriff ggf. betroffen sind. Nach aktuellem Kenntnisstand kann ein Abfluss von Daten nicht ausgeschlossen werden. Sobald wir über genauere Informationen verfügen, lassen wir Sie dies wissen.

Kann ich Entschädigung für erlittenen Schaden fordern?

Wir verstehen, dass die derzeitige Ausnahmesituation Sie direkt betrifft, und wir tun in Zusammenarbeit mit der Südwestfalen-IT alles dafür, den Schaden so gering wie möglich zu halten. Wir klären aktuell ab, an wen Sie sich bzgl. Schadensersatzforderungen wenden können und geben Ihnen eine Rückmeldung, sobald uns Informationen dazu vorliegen.

Was kann ich tun, um mich jetzt besser zu schützen?

Generell empfehlen wir in der aktuellen Situation, sich in allen Online-Umgebungen aktuell sehr vorsichtig zu verhalten und folgende Empfehlungen zu beachten:

  • Nutzen Sie den Empfehlungen des BSI folgend komplexe, sichere Passwörter. Nutzen Sie, wo möglich, eine Zwei-Faktor-Authentisierung (2FA), um Ihre Daten, Konten bei Online-Zahlungsdiensten, Konten bei Shopping-Anbietern etc. zusätzlich abzusichern.
  • Halten Sie ihr Betriebssystem und die Softwareanwendungen sowie den Virenschutz auf dem aktuellsten Stand.
  • Seien Sie wachsam beim Öffnen von E-Mail-Anhängen, beim Anklicken von Verlinkungen sowie bei Downloads – egal, ob Sie per Mail, Social Media, Messenger-App oder SMS von unbekannten Nummern kontaktiert werden.

Umfangreiche Empfehlungen finden Sie auch auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI): www.bsi.bund.de

Ich habe Erfahrung in dem Bereich und kann helfen. An wen soll ich mich wenden?

Haben Sie herzlichen Dank für das freundliche Angebot. Die Südwestfalen-IT, arbeitet seit 30.10.2023 eng mit einem Team von externen IT-Experten zusammen und steht auch mit der IT-Abteilung unserer Kommune im ständigen Austausch. Gemeinsam arbeiten sie nahezu rund um die Uhr daran, diese Ausnahmesituation schnellstmöglich zu beheben. Bitte haben Sie Verständnis, dass nur ein enger Kreis von Personen an der Aufklärung und dem Wiederaufbau arbeiten dürfen.

Priorisierung von Diensten

Wie lautet der aktuelle Plan für den Wiederanlauf des IT-Betriebs und der Dienstleistungen der Kreise und Kommunen?

Der aktuelle Plan der Südwestfalen-IT wird in enger Abstimmung mit den betroffenen Kreisen und Kommunen entwickelt und fortlaufend angepasst. Darin wird der Aufbau der Basisinfrastruktur sowie die Wiederherstellung von wichtigen Diensten priorisiert. Diese sollen es dann den Kommunen z.B. wieder ermöglichen, Geburten und Sterbefälle zu registrieren, Eheschließungen anzumelden, sie zur Haushaltsplanung und Budgetierung zu befähigen, die KFZ-Zulassung und Führerschein-Ausgabe zu ermöglichen, Sozialhilfe-Leistungen auszuzahlen, Asylanträge zu bearbeiten sowie Aufenthaltstitel und Arbeitserlaubnisse auszustellen. Für die Kreise Siegen-Wittgenstein und Olpe steht eine Not-Telefonie an den Haupthäusern unter den Hauptrufnummern zur Verfügung.