Nach dem Cyberangriff Mitte Oktober, bei dem ein Teil der Serverarchitektur durch einen externen Angreifer verschlüsselt wurden, kam es zu massiven Einschränkungen für die kommunalen Verwaltungen der Träger: insbesondere der Landeshauptstadt Schwerin, dem Landkreis Ludwigslust-Parchim und mehreren Ämtern/ Städten im Landkreisraum.
Sechs Wochen nach dem Angriff befindet sich der IT-Dienstleister im Übergang zu einem „stabilen Notbetreib“. Doch wie bewältigt man eine derartige Krisensituation?
„Unsere Notfallpläne haben funktioniert“ berichtet Matthias Effenberger Vorstand/Geschäftsführer der KSM/SIS und erläutert hierzu das Vorgehen zur Krisenbewältigung:
Was waren die ersten Schritte?
Unsere Mitarbeitenden im Rechenzentrum haben vorbildlich reagiert, unverzüglich sämtliche IT-Systeme vom Netz getrennt und anschließend kontrolliert heruntergefahren. Weiterhin wurde ein Krisenstab einberufen, der bereits wenige Stunden später die Koordination aller erforderlichen Maßnahmen aufgenommen hat. Natürlich wurden auch die Polizei und die entsprechenden Sicherheitsbehörden als auch der Landesdatenschutz informiert. Über unseren Versicherer konnten im Laufe des ersten Tages spezialisierte Cyber-Forensiker eingebunden werden, die gemeinsam mit unseren IT-Spezialisten unverzüglich mit der Untersuchung und Analyse begonnen haben. Durch die ergriffenen Sofortmaßnahmen wurde ein weiteres Ausbreiten des Schadens verhindert. Eine Herausforderung war, die sehr dynamischen Informationen zu sortieren und alternative Kommunikationswege aufzubauen.
Wie wurde der „technische Notbetrieb“ für die Kunden und Träger organisiert?
In den ersten Tagen konnten wir den Kunden und Trägern zwar punktuell autarke Technik bereitstellen, jedoch zunächst ohne Zugriff auf Daten oder Postfächer. Den Zugriff auf die Mail-Postfächer haben wir parallel organisiert. Darüber hinaus mussten Notlösungen zur Absicherung der kritischen Zahlläufe organisiert werden, insbesondere für Sozialleistungen aber auch für Lohn- und Gehaltszahlungen.
Nachdem die Serversysteme forensisch untersucht wurden, musste zunächst die Arbeitsfähigkeit und auch der Serverzugriff für unsere Anwendungsbetreuer hergestellt werden. Parallel musste ein Scan- und Freigabeprozess für die über 4.000 Clients aufgesetzt werden. Für die Aufnahme des IT-Betriebes, spielte die Anbindung an das Landesdatennetz CN-LAVINE, eine zentrale Rolle. Mittlerweile sind bereits über 90 % der Clients wieder am Netz.
Aktuell arbeiten wir an der Herstellung des stabilen Notbetriebes und am Wiederanlauf der Fachverfahren unter Berücksichtigung der verschiedenen Abhängigkeiten und technischen Restriktionen. Hier waren gehärtetete Sicherheitsanforderungen für den Notbetrieb als auch der hohe Digitalisierungsgrad bei unseren Trägern und Kunden zu berücksichtigen.
Wann ist ein Übergang zum „Normalbetrieb“ realistisch?
„Technischen Notbetrieb“ bedeutet im ersten Schritt zunächst, dass Fachanwendungen mit ihren jeweiligen Basisfunktionen zur Verfügung stehen. Einschränkungen gibt vor allem in den noch nicht zur Verfügung stehenden Schnittstellen zu Vor- oder nachgelagerten Systemen. Von Tag zu Tag verzeichnen wir hier einzelne Erfolge. Bis zum Übergang in einen „Normalbetrieb“ wird es jedoch noch mehrere Wochen, auch bis in das Jahr 2022 dauern.