Häufige Fragen

Zurzeit erreichen uns viele Fragen zum Cyberangriff auf die Südwestfalen IT (SIT) und zur aktuellen Situation in Burscheid als betroffene Kommune. Diese Fragen können nur von der SIT beantwortet werden, da diese der Stadt Burscheid die betroffene Infrastruktur und die betroffenen Fachanwendungen zur Verfügung stellt. Wir veröffentlichen daher hier die Antworten der SIT.

Was ist genau passiert und wie wurde reagiert?
Die SIT ist Opfer eines Cyberangriffs mit Ransomware (sog. Erpressungstrojaner) geworden. In der Nacht von Sonntag (29.10.2023) auf Montag (30.10.2023) wurden verschlüsselte Daten auf Servern der SIT gefunden, die auf einen unautorisierten externen Zugriff hindeuten. Die Stadt Burscheid wurde selbst nicht angegriffen. Um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, wurden die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen – auch Burscheid – und allen anderen Kunden und Partnern gekappt. Seitdem können wir als Kommune nur noch sehr begrenzt unsere digitalen Anwendungen zugreifen. Seit dem 30.11.2023 ist die Stadt Burscheid wieder per E-Mail zu erreichen.

Wie ist der aktuelle Stand bei der Wiederherstellung der Systeme?
Unsere Verwaltung kann bereits wieder teilweise in eingeschränktem Umfang auf benötigte Dienste und Programme zugreifen, die für einen reibungslosen Ablauf benötigt werden.

Generell gilt: Die Südwestfalen-IT hat die Voraussetzungen für den Basisbetrieb die ersten priorisierten Fachverfahren geschaffen – diese werden nun schrittweise in Betrieb genommen.

Basisbetrieb bedeutet, dass diese Fachverfahren teilweise mit reduzierter Funktionalität wieder anlaufen – sie werden also nach wie vor noch eingeschränkt sein. Wir bitten deshalb um Verständnis dafür, dass noch nicht alle Dienste sofort wieder angeboten werden können. Es kann weiterhin zu längeren Bearbeitungszeiten und Ausfällen kommen, während wir den Rückstau der in den vergangenen Wochen angefallenen Arbeiten erledigen.

Wann und in welcher Reihenfolge welche Dienste im Basisbetrieb für die Bürgerinnen und Bürger wieder verfügbar sind, teilen wir Ihnen über unsere Kommunikationskanäle mit. Bitte nutzen Sie bis dahin ggf. weiterhin die eingerichteten Behelfslösungen.

Hier finden Sie einen Überblick über die in Burscheid zurzeit verfügbaren Dienstleistungen.

Wann können erste Verwaltungsdienste wieder regulär angeboten werden?
Mit den Kreisen und Kommunen hat die Südwestfalen-IT einen Zeitplan abgestimmt. Danach werden die ersten wesentlichen Fachverfahren, die bislang im Basisbetrieb laufen, bis zum Ende des ersten Quartals 2024 in den Normalbetrieb überführt.

Darüber hinaus hat die Südwestfalen-IT gemeinsam mit den Kommunen die Priorisierung für eine zweite Welle von insgesamt 16 Fachverfahren vorgenommen. Basierend darauf hat die Südwestfalen-IT einen entsprechenden Plan erarbeitet, der den Kommunen Mitte Januar 2024 vorgelegt und von ihnen freigegeben wurde. Sobald die internen Tests und die Qualitätssicherung mit den Kommunen erfolgreich abgeschlossen sind, werden die Verfahren – wie auch in der ersten Welle – schrittweise für den Pilotbetrieb in einigen Kommunen freigegeben. Die Südwestfalen-IT wird uns als Kommune informieren, sobald erste konkrete Zeitpläne absehbar sind. Auf Basis dessen informieren wir dann alle Bürgerinnen und Bürger.

Wann und in welcher Reihenfolge welche Dienste im Basisbetrieb für die Bürgerinnen und Bürger wieder verfügbar sind, teilen wir Ihnen über unsere Kommunikationskanäle mit. Bitte nutzen Sie bis dahin ggf. weiterhin die eingerichteten Behelfslösungen.

Wann ist mit einem „Normal-Betrieb“ in den betroffenen Kommunen zu rechnen?
Viele Hauptanliegen der Bürgerinnen und Bürger können durch den Basisbetrieb der Fachverfahren bzw. etablierte Behelfslösungen wieder bearbeitet werden

Der Zeitpunkt, ab wann ein Normalbetrieb läuft, ist derzeit leider noch nicht absehbar.

Warum dauert die Wiederherstellung der Arbeitsfähigkeit/der Systeme so lange?
Bei dem Ransomware-Angriff auf die Südwestfalen-IT handelt es sich um den bundesweit größten Vorfall dieser Art bisher. Der Fall wird auch durch die hinzugezogene Staatsanwaltschaft als hochkomplex betrachtet.

Die Dauer des Wiederanlaufprozesses hängt in hohem Maß von der Art des Angriffs sowie der Größe und Komplexität des Unternehmens ab. Die Südwestfalen-IT hat 72 Verbandsmitglieder und bedient diese über 22.000 Arbeitsplätze mit IT-Infrastruktur und 160 Fachverfahren. Darüber hinaus bedient sie weitere, externe Kunden mit IT-Dienstleistungen. Bevor wiederhergestellte bzw. wiederanlaufende Server in Betrieb genommen werden oder zurückgesicherte Daten freigegeben werden können, müssen umfangreiche organisatorische und technische Sicherheitsanforderungen erfüllt werden. Dies erfordert Zeit und Sorgfalt.

In Summe arbeiten rund 170 Personen bei der Südwestfalen-IT an der Bewältigung der Auswirkungen des Cyberangriffs, unterstützt werden sie hierbei von neun externen Dienstleistern.

Sind (personenbezogene) Daten abgeflossen? Wurden (personenbezogene) Daten im Darknet veröffentlicht? Kann eine nachträgliche Veröffentlichung personenbezogener Daten von den Angreifenden stattfinden?
Bei der forensischen Analyse durch externe, BSI-zertifizierte Cyber-Security-Experten (Firma r-tec) konnten keine Hinweise für einen Abfluss von Daten festgestellt werden. Darüber hinaus wird seit dem Vorfall das Darkweb auf Hinweise auf einen Datenabfluss beobachtet. Auch dabei konnten keine Hinweise für einen Datenabfluss festgestellt werden. Eine absolute Garantie, dass keine Daten abgeflossen sind, kann trotz allem nicht gegeben werden. Eine potenzielle Veröffentlichung von Daten bleibt möglich, wird aber durch die Firma r-tec nach aktuellem Stand für unwahrscheinlich gehalten.

Stand: 25.01.2024

Aktuelle Meldungen gibt die Südwestenfalen IT auf ihrer eigenen Notfall-Internetseite bekannt.