Der Ransomware-Angriff auf den kommunalen IT-Dienstleister Südwestfalen-IT hat nicht nur die IT-Infrastruktur von über hundert Kommunen über Monate lahm gelegt. So langsam werden auch die Millionen-Schäden in einzelnen Gemeinden bekannt, die durch den Cyberangriff entstanden sind. Hier nochmals eine Nachlese dieses Sachverhalts.
Anzeige
Rückblick: Cyberangriff auf Südwestfalen-IT
Die Südwestfalen IT ist ein kommunaler IT-Dienstleister mit Sitz in Hemer und Siegen. Der Fokus der Südwestfalen–IT liegt auf dem E-Government. Von Sonntag auf Montag, den 30. Oktober 2023, gab es einen Ransomware-Angriff auf die Südwestfalen IT. In dessen Folge waren mehr als hundert Kommunen, die ihre IT-Dienste über diesen Dienstleister abwickelten, betroffen und verwaltungsmäßig offline. Ich hatte hier im Blog den Vorfall zeitnah begleitet (siehe auch Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen). Es war einer der gravierenden Cybervorfälle bei kommunalen IT-Dienstleistern in Deutschland.
Hieß es erst, dass man "bald" erste Fachverfahren wieder freischalten wolle (siehe Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten), erwies sich dies als Wunschdenken. Die Kommunen versanken im Chaos und die Südwestfalen IT musste die Hosen bezüglich der Ursachen für den Ransomware-Angriff herunterlassen. Ich hatte den Forensik-Bericht im Beitrag Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1 aufgegriffen. Der Wiederanlauf dauert ein Jahr, bis alle Dienste wieder verfügbar sind.
Finanzielles Desaster für Kommunen
Für die betroffenen Kommunen hat der Vorfall auch in Zukunft gravierende Folgen. Der Kreis Siegen-Wittgenstein plant jetzt mit 1,4 Mio. € eine darin enthaltene 40%ige Erhöhung der Verbandsumlage an die SIT für 2025 ein. Das geht aus nachfolgendem Tweet und diesem Artikel (Paywall) hervor.
Anzeige
Der Hochsauerlandkreis schätzte im April 2024 in einem Bericht des Landrats den Gesamtschaden des IT-Ausfalls für die Zeit vom 30.10.2023 bis zum 29.02.2024 auf etwa 1,5 Mio. Euro. Spannend dürfte auch die Frage der Haftung des Zweckverbands in dieser Angelegenheit werden. Die Kommunen, die ihre IT an die Südwestfalen-IT ausgelagert hatten, sind Mitglieder im Zweckverband. Jens Lange weist in nachfolgendem Tweet auf die Haftungsfrage hin.
Insgesamt entwickelt sich der Ransomware-Vorfall der Südwestfalen-IT für alle Beteiligten zum finanziellen Desaster, dessen Folgen noch nicht absehbar werden. Nur eines ist sicher: Es wird teurer.
Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT; Stand Januar 2024
Südwestfalen IT: Cybervorfall nachbearbeitet – andere machen es besser
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2
Golem-Artikel: Erkenntnisse zum Cybervorfall bei Südwestfalen-IT
Kommunal IT-Dienstleister Südwestfalen-IT nach Cybervorfall und CrowdStrike Bremsspuren endlich wieder arbeitsfähig
Anzeige
Es wird Zeit für ein Sondervermögen.
Spannend. Mir stellt sich die Frage, wann dieser Paragraph aufgenommen worden ist. Heute würde wohl niemand mehr so eine Haftung inkludieren.
Ist diese Klausel denn tatsächlich relevant?
Am Ende des Tages ist es doch ein Nullsummenspiel bzw. linke-Tasche-rechte-Tasche-Geschäft: Wenn SIT z.B. 2 Fantastillionen Schadenersatz leisten muss kommt das Geld dafür von genau den Begünstigten/Forderen dieses Schadenersatzes – bestenfalls wird der entstandene Schaden gleichmässiger umgelegt (und somit Gemeinden mit funktionierenden Notfallplänen um den finanziellen Nutzen daraus gebracht).
Diese unprofessionelle, ranzige IT ist nicht nur typisch für Kommunen, sondern auch für andere öffentliche Institutionen wie Unis, Krankenhäuser etc.
Das passiert immer, wenn man IT nicht mehr als Ingenieurstätigkeit begreift und Inkompetenz aus politischen oder finanziellen Gründen laufen lässt. Den Preis zahlen wir am Ende alle.
Es ist einfach nur traurig.
Gilt m.M. nicht nur für "andere öffentliche Institutionen" sondern für 99% der Klein- und kleineren Mittelbetriebe und mehr. Wie sollen diese es auch stemmen – dafür ist die Materie heute viel zu komplex und die Masse an Fachpersonal zur Betreuung kann es gar nicht geben.
Es wird Zeit, dass ein findiger Entwickler entsprechende "sichere" Software programmiert – ich weiß es heißt: Absolut sichere Software wird es niemals geben. Ohne gehts aber nur mehr schlecht als recht.
Das ist alles nicht nur traurig, sondern in höchstem Maße bedenklich. Insbesondere wenn ich das auf internationale Ebene hoch potenziere.
„Wie sollen diese es auch stemmen – dafür ist die Materie heute viel zu komplex und die Masse an Fachpersonal zur Betreuung kann es gar nicht geben."
Mal abgesehen davon, dass ich da in meinem Umfeld auch kaum den Willen erkennen kann, es zu stemmen, hätte echte Ingenieure eine solche Komplexität meines Erachtens nicht aufgebaut.
Noch als Nachtrag: An Fachpersonal würde kein Mangel bestehen, wäre man damit richtig umgegangen.
Ich habe viele Jahre die sogenannten "Stellengesuche" der SIT als Beispiel in meinen Vorträgen herangezogen, wie man Fachpersonal eben genau nicht sucht. Mein Lieblingsbeispiel: Rechenzentrum Administration 3rd Level mit einem bunten Strauß an Anforderungen. Aber nur TVöD 9 zahlen wollen, maximal nur 2-3 Jahres Verträge, private Pkw Nutzung abverlangen und mit Obstkorb und kostenlosem Kaffee/Getränken winken. Von Gestaltung und Weiterentwicklung sieht man selten was.
Die SIT und andere kommunale Konstrukte sind meiner Erfahrung nichts anderes als politisch gewollte Profitcenter. Billig und Billigst… von daher alles geliefert wie bestellt.
Von meinem Arbeitskollegen aus Iserlohn bekam ich diese Woche berichtet, dass kommunale Fachanwendungen (z.B. Pkw-Kennzeichen Reservierung) immer noch nicht laufen.
Am meisten stört mich aber die Unfähigkeit und Renitenz selbstkritisch mit sich umzugehen. Ein Post-Mortem oder Lessons-Learned? Fehlanzeige! Es wird sich selbst auf die Schultern geklopft. Die Backups gelobt: Hey wenn nach einem Jahr Zeugs Dinge immer noch nicht laufen, dann war und ist möglicherweise das Backup und die Konzepte einfach nur kacke!
Auch wenn vieles bei der SIT echt schief läuft und gelaufen ist…
Die haben aktuell drei mal rz stellen draußen alle EG10.
Vielleicht haben doch ein bißchen was gelernt ;)
Wow! TvÖD 10? Das sind in der höchsten Stufe 6 knapp 66K brutto, also irgendwas um die 40-45K netto per anno. Damit gewinnst Du keine fähigen Admin, der Dir ein ein Rechenzentrum managed.
Ein RZ Adminstrator ist für mich eh ein Oxymoron, eine aussterbende Spezies, die in einem Rechenzentrum nichts verloren hat.
Da gibt es nur noch günstige Operatoren in der Range 35-40K, die täglich kaputte Platten aus RAIDs ziehen, ab und an neue Racks aufbauen und Kabel unter den Böden legen.
Und da gibt es DevOps, die idealerweise an einer Automatisierung programmieren, täglich Zeugs testen, deployen und Metriken entwickeln und optimieren. Die Einstiegsgehälter beginnen dort wo die bei der SIT TvÖD aufhören und reichen hoch bis 85K, mit Personalverantwortung sogar höher bis an die 100K.
Die SIT sucht nichts anderes als bessere Operatoren. Denn die technischen Entscheidungen und Weichenstellungen werden woanders getroffen. Von Politikern und Bürgermeistern im Verwaltungsrat, die leider von Technik wenig bis gar keine Ahnung haben.
Und das ist das strukturelle Problem solcher kommunalen Dienstleister. Die SIT ist da nicht allein. Du findest kein gutes 1st Class Personal, wenn die Entscheider bestenfalls 2nd oder 3rd Class sind.
Wie sollen sie es stemmen?
Lt. MS ist das ganz einfach:
Geht in unsere Cloud, lass das unsere Profis machen, die bekannter Weise niemals Fehler machen oder zugeben und zahlt tüchtig dafür.
Euer Vorteil:
Wenn etwas mal nicht klappt, dann ist das unsere Schuld und ihr seit fein raus und dürft ins Wochenende. Cheffe zahlt.
Das Problem ist – meiner Erfahrung nach – woanders.
Von Computern im Allgemeinen und Software im Besonderen wird erwartet, dass sie ohne große Einarbeitung und Vorsichtsmaßnahmen von Jedem verwendet werden können.
Würden wir mit den gleichen Erwartungen an Bau- oder Industriemaschinen herangehen, gäbe es nicht nur einen akuten Mangel an Fachkräften…
Wir brauchen Software, die einzelne Aufgaben für geschulte Mitarbeiter mit vorhandenem Augenmaß und Sicherheitsempfinden löst, keine eierlegenden Wollmilchsäue, die keiner mehr überblicken, geschweige denn sicher nutzen kann…
@Alex
Zu:
"Diese unprofessionelle, ranzige IT ist nicht nur typisch für Kommunen"
Sorry, aber bitte nicht alle Kommunen in einen Topf werfen!
Es gibt auch zahlreiche Kommunen, die gewissenhaft arbeiten und z. B. CISIS12 zertifiziert sind, regelmäßige Sicherheitsaudits durchführen, ein ISMS-Team aufstellen, eine Cyberversicherung abgeschlossen haben und Notfallpläne (inkl. Test im Jahresrhythmus) vorhalten.
Ich fragte mal eine Assistentin bei einer Magenspiegelung, wie sie eigentlich dieses Instrument mit all seinen feinen Gelenken jemals sauber bekommen.
"Das kommt in den Autoklaven."
"Aber der holt den Dreck doch nicht aus all den feinen Ritzen raus?"
"Ja, klar, aber es ist dann keimfreier Dreck."
Ich wusste gar nicht wie elastisch mein Kiefergelenk ist als mein Kinn auf dem Tisch aufschlug…
Daran wurde ich erinnert dass das ja nicht nicht nur Software sei, sondern zertifizierter Dre…Software.
Jens Lange gibt es übrigens auch auf einer freien Plattform und nicht auf der *** gelöscht – tut hier nichts zur Sache ***: https://social.tchncs.de/@jela
Hier auch der Link zu dem verlinkten PDF mit der Satzung zum Nachlesen:
https://www.bra.nrw.de/system/files/media/document/file/2023_ausgabe_04_amtsblatt_bezirksregierung_arnsberg.pdf
Irgendwie habe ich Probleme mit den verschiedenen Begrifflichkeiten, die in einen Topf geworfen werden. Die einen schreiben von Kosten (1.4 Mio, Kreis Siegen), die anderen von Schäden (1,5 Mio, HSK). Was denn nun?
Wenn von Schäden die Rede ist, wie beziffern sich diese eigentlich bei Beamten und Angestellten im öffentlichen Dienst? Wurden irgendwo neue Etats oder Posten geschaffen oder zusätzliches Personal angestellt? Meines Wissens nicht. Schon eher wurde kurzerhand eine eigene Schatten-IT in den Kommunen hochgezogen, um z.B. überhaupt mit etwas ins Internet zu gehen. Und ich denke eher nicht, dass da jetzt alle sich die teuersten Apple Geräte gekauft haben. Und wenn auch, die Geräte haben nach einem Jahr immer noch einen Wert, den ich mit der konservativ geschätzt mit der Hälfte des Kaufpreises ansetzen würde. Wo sind da also die Mio "versenkt" worden?
Warum fragt eigentlich keiner nach den Köpfen des Verwaltungsrates, der Controllling und Aufsicht über die SIT führte? Hier zur Erinnerung die Aufgaben:
(…)
c) das strategische Controlling,
d) die Fortschreibung der IT-Strategie (…)
e) die Festlegung der von den Verbandsmitgliedern zu beachtenden Sicherheitsstandards und -maßnahmen zur Gewährleistung eines angemessenen Schutzes der Systeme und personenbezogenen Daten vor Missbrauch, Manipulation und Zerstörung innerhalb des Verbandes,
f) die Ernennung, Anstellung, Beförderung, Änderung der Anstellungsverträge und Entlassung der Mitglieder der Geschäftsführung sowie die Festlegung der allgemeinen Grundsätze, nach denen die Geschäftsführung erfolgt,
g) die Entscheidung in beamtenrechtlichen, arbeitsrechtlichen
und personalvertretungsrechtlichen Angelegenheiten, soweit sie von der obersten Dienstbehörde übertragen werden können,
(..)
Tja und da haben wir sie, die Fehlkonstruktion solcher kommunaler Zweckverbände. Im 28 köpfigen Gremium, auf der SIT Seite namentlich aufgeführt, sitzen politisch gewollte und von der Mitgliederversamlung formal zwar gewählte, aber in der Sache doch meist höhere Verwaltungsmenschen und die Bürgermeister selbst, die sich die Sitzungsgelder und die Entscheidungsgewalt über Posten und Pöstchen natürlich nicht entgehen lassen wollen. Ich schätze die technische Expertise dieses Gremiums entspricht eher die eines Backsteines denn ich finde hier kein Leistungsprinzip vor. Bei Stichproben einzelner Personen habe ich eine Fülle von weiteren Aufgaben, Ämtern und Verantwortlichen vorgefunden, Geschäftsführung von gGmbHs, Gesellschafter, etc.
Wie im ausgehenden Sowjet-Sozialismus wird hier mit Vetternwirtschaft, Korruption und organisiertem Missmanagement operiert. Daran hat sich nach dem Ransomware-Vorfall nichts geändert und daran wird sich auch nichts ändern.
Und von den 28 von den Kommunen entsendeten Menschen im Verwaltungsrat wird auch keiner gegen sich selbst klagen. Warum auch, ist ja nicht das eigene Geld, was ausgegeben wird.
Für mich sind Konstrukte wie die SIT strukturell ungeeignet.
Man kann den Kommunen hier wenig vorwerfen. Meiner Meinung nach haben die Kommunen das einzig richtige gemacht und ihre IT an einen Dienstleister abgegeben. Der Zustand der IT wäre sehr viel schlimmer, wenn da jede kleine Kommune ihre eigene Suppe kocht. Da macht dann der Kassenleiter nebenbei noch bisschen IT und dementsprechend würde das auch aussehen.
Der IT-Dienstleister hat hier ein richtigen Bock geschossen, um es mal vorsichtig auszudrücken. Das führt aber dazu, dass in der gesamten Branche ein Umdenken stattfindet und IT-Sicherheit sehr viel höher angegangen wird als vorher. Aber auch dafür müssen dann erstmal Gelder da sein. Man kämpft da gerade an sehr vielen Fronten, zum einen soll die Digitalisierung in der Verwaltung umgesetzt werden (kostet viel Geld) und zum anderen sollen zum Teil historisch gewachsene Strukturen aufgelöst und abgesichert werden, zusätzlich am besten noch sämtliche Sicherheitsrichtlinien umsetzen inkl. SIEM/SOC und Co. (kostet auch sehr viel Geld). Politisch wird dann gefordert, dass man die Digitalisierung vorantreibt, da man damit ggf. auch Wahlkampf machen kann.
Mit solchen Phrasen schlagen wir uns seit den 2000er Jahren durch. Ich erinnere an die unsägliche europäische Dienstleistungsrichtlinie. Hat alles nicht funktioniert. Die öffentlich rechtlichen Konstrukte wie Zweckverbände oder Anstalten des öR sind zum Scheitern verurteilt. Ich bin gegenteiliger Auffassung Jede Kommune sollte für sich selbst sorgen!
Natürlich ist es für Kommunen sinnvoll, von ihnen selbst nicht effizient zu erfüllende Aufgaben auszulagern. Zunächst ist auch egal, ob an einen Zweckverband, an dem die Kommune selber beteiligt ist oder einen kommerziellen Dienstleister.
ABER sie sollten sich des Wertes dieser Aufgaben bewußt sein und dementsprechend aufmerksam bei Vergabe und Aufsicht sein. IT ist was anderes als Heimatbund. Da sollten qualifizierte und motivierte Leute die Kontrolle vornehmen und nicht solche, die sich über Jahre oder Jahrzehnte in ihren Ratsfraktionen nach vorne gesessen haben.
[/Frustventil geschlossen]
Kleines Update: Laut Lokalradio können für den Märkischen Kreis ab heute wieder Wunschkennzeichen beantragt werden.
Schön, dass sie alle über einen Kamm scheren.
Ähm – also ICH als Steuerzahler hafte dafür. Bitte Produkthaftung für Software einführen.
https://www.theregister.com/2024/09/20/cisa_sloppy_vendors_cybercrime_villains/