1 Jahr nach dem Cyberangriff – Interview mit Matthias Effenberger

Luisa Rupprecht 14. Oktober 2022
Portrait von Matthias Effenberger // Geschäftsführer SIS // Vorstand KSM © SIS/KSM
Matthias Effenberger // Geschäftsführer SIS // Vorstand KSM

Vor genau einem Jahr, am 15.10.2021 wurden Teile der Serversysteme der SIS – Schweriner IT- und Servicegesellschaft mbH (SIS) & KSM Kommunalservice Mecklenburg AöR (KSM) durch einen Cyberangriff verschlüsselt. Für die Landeshauptstadt Schwerin und den Landkreis Ludwigslust-Parchim sowie für mehrere Ämter und Städte in Westmecklenburg, als auch für eine Reihe kommunaler Unternehmen resultierten über Wochen Einschränkungen in den Verwaltungsabläufen und im Bürger- bzw. Kundenverkehr.

1 Jahr danach sprachen wir mit Geschäftsführer / Vorstand Matthias Effenberger über die aktuelle Situation und seinen Rückblick.

Herr Effenberger, ein Jahr nach dem Cyberangriff – laufen mittlerweile alle Systeme wieder?

Ja, bereits Anfang April konnten wir quasi wieder in den Normalbetrieb übergehen, auch wenn im Hintergrund immer noch Arbeiten an unserer Netzwerk- und Systemarchitektur erforderlich waren. Für unsere Kunden und Träger gab es aber nur noch wenige Auswirkungen.

Welche Maßnahmen haben Sie abgeleitet, um die IT-Systeme sicherer zu machen?

Bereits mit dem Wiederanlauf der Systeme wurde der Grundstein für die Umsetzung einer so genannte Zero-Trust-Strategie gelegt, aus der wir eine Vielzahl von Einzelmaßnahmen abgeleitet haben. Diese reichen von Erweiterungen und Erneuerungen der Netzwerk- und Systemkomponenten bis hin zu einer Implementierung von zusätzlichen Firewallsystemen. Darüber hinaus sind die Sensibilisierungsmaßnahmen bei den Nutzern ausgedehnt worden. Dennoch möchte ich betonen, dass wir auch vor dem Cyberangriff bereits umfangreiche Sicherheitsinstrumente im Einsatz hatten.

Fühlen Sie sich in Anbetracht der aktuellen Sicherheitslage ausreichend geschützt?

Das Thema Cyberkriminalität ist nicht zuletzt durch den Krieg in der Ukraine im vergangen Jahr mehr und mehr in den medialen Fokus gerückt. Klar ist aber auch, eine 100%-ige Sicherheit wird es nicht geben können. Kriminelle Angreifer werden weiter versuchen, bestehende Schutzmechanismen bewusst zu umgehen, um Zugriff auf kritische Infrastrukturen zu erlangen, dies zeigen auch die verschiedenen Cyberangriffe aus dem vergangen Jahr. Insgesamt denke ich aber, dass wir sicherheitstechnisch gut aufgestellt sind.

Sind die Ermittlungen der Sicherheitsbehörden abgeschlossen und konnte ein Täter ausfindig gemacht werden?

Die Staatsanwaltschaft hält sich zu etwaigen Ermittlungsergebnissen verständlicher Weise bedeckt. Die Ermittlungen dauern weiterhin noch an. Die uns vorliegenden Erkenntnisse aus den forensischen Untersuchungen haben wir beim Wiederanlauf berücksichtigen können.

Konnten durch die forensischen Analysen die Ursachen für den Angriff aufgezeigt werden?

Über die Motivation der Angreifer kann auch weiterhin nur spekuliert werden. Die Forensiker gehen davon aus, dass wir eher zufällig ausgewählt wurden und es sich hierbei nicht um einen gezielten Angriff gehandelt hat. Wir wissen inzwischen, dass es sich um einen Identitätsdiebstahl an einem dezentralen Standort im Rahmen des laufenden Betriebes handelte, wodurch die Angreifer Zugriff auf unsere Systeme erlangten.

Lässt sich der entstandene Schaden mittlerweile beziffern?

Die Schadenabwicklung mit unserer Cyberversicherung ist dahingehend noch nicht abgeschlossen. Einerseits sind uns natürlich erhebliche Kosten zur Wiederherstellung der Systeme entstanden. Andererseits kam es durch den Ausfall zu einer temporären Betriebs-unterbrechung für unsere Kunden und Träger. Insgesamt ist der Schaden aber sicherlich siebenstellig.

Wie schätzen Sie die aktuelle IT-Sicherheitslage ein?

Die Sicherheitslage ist weiterhin angespannt, was auch die regelmäßigen Statusberichte des BSI – Bundesamt für Sicherheit in der Informationstechnik belegen. Unser IT-Sicherheitsteam bewertet täglich die Lage und reagiert kurzfristig auf entsprechende Warnmeldungen. Desweiteren stehen wir im ständigen Kontakt zum CERT M-V (Computer Emergency Center) beim Innenministerium Mecklenburg-Vorpommern. Auch von den Softwareherstellern und Dienstleistern erhalten wir regelmäßige Informationen bezüglich erforderlicher sicherheitsrelevanter Updates. Auch hier ist die Sensibilität hinsichtlich möglicher Angriffe stark gewachsen.

Was sagen Sie zu den aktuellen Verstrickungen des BSI-Vorsitzenden?

Auch ich habe hier lediglich aus den Medien von den Rechercheergebnissen erfahren, vertraue hier aber darauf, dass die zuständigen Ansprechpartner auf Bundesebene die Sachlage kritisch prüfen und beurteilen werden.

Blicken wir noch einmal zurück. Wie bewerten Sie die Krisenbewältigung aus heutiger Sicht?

Ich bin unheimlich stolz, auf das was wir in dieser Krise geleistet haben. Damit meine ich zum Einem unsere Mitarbeiterinnen und Mitarbeiter, aber auch die vertrauensvolle Zusammenarbeit mit den Krisenstäben und unseren Ansprechpartnern bei unseren Kunden und bei den von uns betreuten Kommunalverwaltungen. Uns ist es gelungen, in sehr kurzer Zeit Notlösungen aufzubauen und Basisdienste wieder zur Verfügung zu stellen. Das in wenigen Stunden angelaufene Krisenmanagement hat im Zusammenspiel mit den externen Cyberspezialisten hier sehr gut funktioniert. Die unverzüglich eingeleiteten Sofortmaßnahmen im Bereich IT-Infrastruktur haben zudem ein weiteres Ausbreiten des Schadens verhindert und mit den forensischen Untersuchungen konnte noch am gleichen Tag begonnen werden. Für alle Beteiligten war es eine sehr intensive Zeit.

Haben sich weitere Konsequenzen für Ihre tägliche Arbeit ergeben?

Durch den Cyberangriff wurde uns allen nochmals verdeutlich, dass die öffentliche Verwaltung und die kommunalen Unternehmen durch den Einsatz von Informationstechnik vor stetig wachsenden Herausforderungen stehen. Die zunehmende Komplexität der Vernetzung durch fortschreitende Digitalisierung und damit einhergehende Bedrohungen für die Informationssicherheit erfordern immer größere Anstrengungen und immer höhere Kompetenz, um ein sicheres Agieren der Verwaltungsmitarbeitenden mit Bürger- und Unternehmensdaten zu gewährleisten und eine Absicherung der IT-Systeme sicherzustellen. Hier hat sich das interkommunale Zusammenarbeitsmodell der SIS als kommunaler IT-Dienstleister und der KSM als kommunaler Aufgabenträger mit den gebündelten Kompetenzen und dem benötigten Know-how bewährt.

Wir haben dabei weitere Maßnahmen ergriffen, um Mitarbeitende und Führungskräfte unserer Kunden und Träger systematisch in Sachen Gefahren etwaiger Cyberattacken zu sensibilisieren und Alarmzeichen zu erkennen. Daher wird unser Fokus auch weiterhin auf den Schutz der Daten der Bürgerinnen und Bürger und der Gewährleistung eines sicheren laufenden Betriebes liegen, einschließlich etwaiger Notfallszenarien und Sicherheitskonzepte. Dies müssen wir bei allen Digitalisierungsbestrebungen in Verwaltung und kommunalen Gesellschaften immer berücksichtigen.

Ein sicherer Umgang aller Nutzer mit IT ist eine der wesentlichen Voraussetzungen für wirksame Cyber-Sicherheit.

Herr Effenberger, vielen Dank für das Gespräch.

zurück Alle Nachrichten