Cyberangriff – Interview mit Matthias Effenberger vom 3. November 2021

Sabrina Jozwig 3. November 2021
Portrait von Matthias Effenberger // Geschäftsführer SIS // Vorstand KSM © SIS/KSM
Matthias Effenberger // Geschäftsführer SIS // Vorstand KSM

Am 15.10.2021 wurden Teile der Serversysteme der SIS/KSM durch einen Cyberangriff verschlüsselt. Zwei Wochen nach dem Angriff sprachen wir mit Geschäftsführer / Vorstand Matthias Effenberger:

Herr Effenberger, Sie als SIS/KSM und auch Ihre kommunalen Kunden und Träger sind schwer vom IT-Ausfall betroffen, wie sieht die aktuelle Situation aus?

Wie bereits verschiedentlich vermeldet, wurden Teile unserer Serversysteme verschlüsselt, woraufhin wir zur Verhinderung eines weiteren Ausbreitens aus Risikogesichtspunkten zunächst unverzüglich sämtliche Systeme vom Netz getrennt und anschließend kontrolliert heruntergefahren haben. In der Folge haben unsere IT-Spezialisten sehr besonnen und professionell agiert, externe IT-Forensiker hinzugezogen und haben unverzüglich mit der Analyse und Untersuchung der Systeme begonnen. In Anbetracht des hohen Digitalisierungsgrades unserer Kunden und Träger müssen die komplexen Abhängigkeiten und Schnittstellen zwischen den einzelnen Fachverfahren berücksichtigt werden. Erste Serversysteme konnten wir aber bereits in der vergangenen Woche wieder in Betrieb nehmen, die ersten Rechner laufen wieder und Kunden und Träger konnten systemgestützte Zahlungsläufe durchführen. Dies ist die Grundlage zum Aufbau eines technischen Notbetriebs, sowohl für unsere Applicationmanager, als auch im nächsten Schritt für die Key-User unserer Kunden und Träger. Darüber hinaus müssen auch sämtliche Clients, d.h. im Einsatz befindliche Notebooks und PCs forensisch untersucht werden, inwiefern eine Kontamination erfolgt ist. Hier reden wir über ca. 4.000 Endgeräte, aber auch hier sind wir in der vergangenen Woche gut vorangekommen, haben eine Strategie entwickelt und werden die Überprüfungen in dieser Woche fortsetzen. Ein wichtiger Schritt zur Wiederherstellung der Arbeitsfähigkeit wird die Freischaltung der Zugänge u.a. zum Landesdatennetz CN-LAVINE sein, hier laufen die entsprechend vorgegebenen Prüfmechanismen. Parallel zu den intensiven forensischen Analysen konnten wir erste Sofortmaßnahmen zur Einrichtung und Sicherstellung eines technischen Notbetriebes umsetzen. Neben dem bereits etablierten Krisenstab wurden hierzu weitere Arbeitsgruppen zu verschiedenen Themengebieten und Fachverfahren gebildet, welche die realisierbaren Schritte mit den Key-Usern und Ansprechpartnern der Kunden und Träger abstimmen werden. Natürlich müssen sich hier die Abläufe, Prozesse und Informationsflüsse auch erst einspielen. Parallel laufen die Ermittlungen der eingeschalteten Strafverfolgungsbehörden.

In den Medien wurde bisher von einem Verschlüsselungstrojaner bzw. Schadsoftware berichtet. Können Sie kurz den Unterschied erklären? Gibt es bereits technische Erkenntnisse, durch welche Sicherheitslücke die Software in das System gelangen konnte?

Richtig ist, dass eine softwaregesteuerte Verschlüsselung von einzelnen Servern stattgefunden hat und hierbei insbesondere Windows-Server angesteuert wurden. Dabei handelt es sich nach jetzigem Kenntnisstand jedoch nicht um einen Trojaner, also ein Programm, welches andere Programme, oft so genannte Malware, auf dem befallenen Servern oder Computern ungefragt installiert, sondern um eine legale Verschlüsselungssoftware welche auch im normalen Geschäftsbetrieb von Unternehmen zum Einsatz kommt. Spezielle Schadsoftware, die eigenständig Daten verschlüsselt und sich weiter ausbreitet, wurde zum jetzigen Zeitpunkt nicht identifiziert. Die forensischen Untersuchungen zum Tathergang und somit auch zur Umgehung von Sicherheitsmechanismen dauern noch an. Vorliegende Erkenntnisse werden unsererseits ausschließlich den Ermittlungsbehörden übergeben und werden aus ermittlungstaktischen Gründen nicht veröffentlicht. Insofern distanzieren wir uns auch von jeglichen Spekulationen, u.a. auch in Bezug auf das von der Öffentlichkeit lancierte Tool Mimikatz. Unser Fokus liegt auf der sicheren Wiederherstellung des IT-Betriebes.

Können Sie schon abschätzen, inwiefern beim Wiederaufbau der Systeme auf entsprechende Backups zurückgegriffen werden kann?

Auch wenn zunächst sämtliche Systeme vom Netz getrennt und heruntergefahren wurden, heißt dies nicht, dass sämtliche Daten verschlüsselt wurden. Nach aktuellem Stand gehen wir davon aus, dass sämtliche Datenbestände als Backup verfügbar sind und zur Wiederherstellung der Systeme genutzt werden können. Hier zahlt sich unser strenges Datensicherungskonzept aus. Selbstverständlich müssen aber auch diese Backups zunächst forensisch durch unsere Experten untersucht werden, um sie zur kontrollierten Wiederherstellung heranzuziehen.

Üblicherweise ist es das Ziel der Angreifer, Geld zu erpressen, um die verschlüsselten Daten frei zu kaufen? Gibt es eine Lösegeldforderung oder Hinweise zu dem oder den Angreifern?

Wie bereits informiert, wurden durch uns die zuständigen Sicherheitsbehörden unmittelbar nach dem Vorfall verständigt und die Staatsanwaltschaft hat die entsprechenden Ermittlungen aufgenommen. Ermittelt wird gegen Unbekannt wegen Computersabotage. Es handelt sich somit um ein laufendes Ermittlungsverfahren.

Nach Vorgabe der Staatsanwaltschaft können wir daher aus ermittlungstaktischen Gründen keine weiteren Aussagen treffen und bitten dahingehend um Verständnis.

Mancher mag jetzt befürchten, dass seine persönlichen Daten durch den Cyberangriff in falsche Hände gelangen könnten. Ist diese Sorge begründet?

Hier gilt es, die finalen Ermittlungsergebnisse und Analysen unserer IT-Experten und IT-Spezialisten abzuwarten. Zum jetzigen Zeitpunkt haben wir aber keinerlei Erkenntnisse, dass ein Abfluss externer personengebundener Daten vorliegt, können dies aber auch noch nicht vollständig ausschließen. Insofern wurden auch umgehend die entsprechenden Meldungen an den Landesdatenschutzbeauftragten gemacht und es erfolgen entsprechende Informationen seitens der datenschutzrechtlich zuständigen Stellen.

Digitalisierung der Kommunen ist einer Ihrer Leitgedanken im SIS/KSM-Verbund – viele Fachverfahren und Prozesse wurden bereits digitalisiert. Was bedeutet das in dieser Situation?

In der Tat haben wir in unserem Verbund sowohl bei den kommunalen Unternehmen als auch bei den von uns betreuten Kommunalverwaltungen einen hohen Digitalisierungsgrad mit automatisierten Prozessen und Verknüpfungen erreicht. Dies führt natürlich dazu, dass IT-Strukturen und Fachverfahrensverknüpfungen zunehmend komplexer sind. Insofern werden die Einschränkungen insbesondere in den Bereichen spürbar, in denen die Bearbeitungsprozesse bereits weitgehend digital erfolgen oder auf digitale Akten oder Datenbanken zugegriffen werden muss. Dies betrifft leider auch recht viele Services rund um die Bürgerbüros der Verwaltungen und auch die Online-Bürgerservices. Aber auch in den internen Abläufen, wie der Rechnungsbearbeitung oder der e-Vergabe kommt es zu Verzögerungen.

Einerseits wurden durch unsere Kunden und Träger analoge Wege gefunden, um Services weiter anbieten zu können. Auf der anderen Seite arbeiten wir mit Hochdruck am Aufbau eines technischen Notbetriebes. Hier wurden bereits verschiedene Arbeitsgruppen und Task-Forces zu einzelnen Fachverfahren initiiert und haben ihre Arbeit aufgenommen.

Wie die derzeitige Medienpräsenz zeigt, ist eine grundlegende Zunahme der Cyberangriffe zu beobachten, sicherlich auch in Folge der fortschreitenden Digitalisierung. Dies zeigt nicht zuletzt auch der aktuelle Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Was bedeuten die Einschränkungen im Notbetrieb für Ihre Kunden und Träger?

Bei der Betrachtung ist zwischen analogem Notbetrieb, d.h. ohne Zugriff auf Fachverfahren und Anwendungen und einem technischen Notbetrieb zu unterscheiden. Bei letzterem versuchen wir an ausgewählten Arbeitsplätzen einen teilweisen bzw. funktional eingeschränkten Zugriff auf die Fachverfahren herzustellen, vorzugsweise am Standort des jeweiligen Kunden/Trägers, voraussichtlich nicht an allen Arbeitsplätzen. Dies ist aber jeweils an verschiedene technische Restriktionen gekoppelt und wird bei uns in den nächsten Wochen erhebliche interne und externe Ressourcen binden. Bei über 200 Fachverfahren können die Zugriffsmöglichkeiten auch nicht alle zeitgleich wiederhergestellt werden. Daneben wird es aber zunächst auch analoge Wege im Notbetrieb geben müssen. Darüber hinaus konnten mit Hilfe anderer Städte und Ämter in den vergangenen Wochen Möglichkeiten der Amtshilfe als Notlösung aufgebaut werden. Hier möchte ich mich bei allen Beteiligten für die unkomplizierte Unterstützung bedanken.

Können Sie schon abschätzen, wann die Systeme wieder hochgefahren werden können? Wann ist mit einem „normalen“ Betrieb zu rechnen?

Auch wenn wir die ersten Schritte in den vergangenen Tagen gut absolviert haben, liegt noch ein langer Weg bis zum Normalbetrieb vor uns. Wir sprechen hier von einem Marathon mit einigen Sprintelementen. Der Notbetrieb wird zumindest noch mehrere Wochen in Anspruch nehmen. Ein Übergang in den Normalbetrieb wird es wohl erst im kommenden Jahr geben und es werden sicherlich auch einige Nacharbeiten erforderlich werden. Nichtsdestotrotz bin ich zuversichtlich, dass wir die Lage gemeinsam mit unseren Mitarbeitern, Trägern und Kunden in den Griff bekommen. Die ersten Wochen im Krisenmodus stimmen mich hier optimistisch.

In den vergangenen Jahren haben sich verschiedene Kommunen und kommunale Unternehmen der SIS/KSM angeschlossen. Ist diese Entwicklung der IT-Zentralisierung weiterhin der richtige Schritt?

Dies kann ich trotz der schwierigen Situation in der wir uns derzeit befinden mit einem klaren ja beantworten. Auch wenn wir dieses Mal trotz großer Vorkehrungen getroffen wurden, zeigt es auch, wie wichtig IT-Sicherheit im kommunalen Raum mit seiner Vielfältigkeit geworden ist. Und es kann jeden treffen. Durch unsere in den vergangenen Jahren aufgebaute zentrale IT-Infrastruktur und unsere vielfältigen Sicherungsmaßnahmen sind wir hoffentlich möglichst schnell und auch professionell in der Lage, eine eingeschränkte Funktionsfähigkeit herzustellen. Im vorliegenden Extremfall mit Abschaltung sämtlicher Systeme konnten wir innerhalb weniger Stunden die forensische Schadensanalyse aufnehmen, 14 Tage später sprechen wir bereits über den Wiederanlauf von Fachverfahren aus gesicherten Backups. Wichtige Zahlungsläufe konnten zudem im Notbetrieb durchgeführt werden. Ein Angriff auf einzelne Kommunalverwaltungen oder kommunale Unternehmen hätte in der heutigen digitalen Zeit wahrscheinlich weitaus größere Schäden und langfristigere Ausfälle nach sich gezogen. Insofern ist die Bündelung der kommunalen IT-Ressourcen auch weiterhin die richtige Entscheidung. Es wird auch in Zukunft unter verschärfter Berücksichtigung von Sicherheits- und Verfügbarkeitsaspekten darauf ankommen, auf kommunaler Ebene zusammenzuarbeiten.

Wurde in den vergangenen Jahren an der IT-Sicherheit gespart?

Nein, das denke ich nicht. Auch in den vergangenen Jahren haben wir jedes Jahr viel Geld in unsere IT-Systeme und entsprechende Schutzmechanismen investiert. Eine 100%-ige Sicherheit wird es aber nicht geben. Kriminelle Angreifer werden weiter versuchen, bestehende Schutzmechanismen bewusst zu umgehen. IT-Sicherheit ist zu einer Art Wettlauf geworden. Wir waren sicherheitstechnisch gut aufgestellt und hatten hier bildlich gesprochen, nicht nur einen löchrigen Zaun.

Dennoch werden wir natürlich im Rahmen der Wiederherstellung der Systeme weiterhin in Sicherheitstools investieren und entsprechende Vorkehrungen treffen, um uns für die Zukunft noch besser aufzustellen.

Waren Sie auf eine derartige Krisensituation vorbereitet?

Im Prinzip ja, auch wenn man auf eine derartige Situation natürlich nur begrenzt vorbereitet sein kann. Unsere für derartige Situationen vorbereiteten Notfallpläne haben funktioniert und der Krisenstab war innerhalb von nur wenigen Stunden arbeitsfähig. Die unverzüglich eingeleiteten Sofortmaßnahmen im Bereich IT-Infrastruktur haben ein weiteres Ausbreiten des Schadens verhindert und die erforderlichen forensischen Untersuchungen sind mit Unterstützung von Cyberexperten noch am gleichen Tag angelaufen. Unsere Mitarbeiter und Mitarbeiterinnen leisten hier in dieser Ausnahmesituation ganz tolle Arbeit.

zurück Alle Nachrichten