Ransomware legt Verwaltung von Schwerin und benachbartem Landkreis lahm

In der Nacht wurde auf Systemen des kommunalen IT-Dienstleisters eine Ransomware entdeckt und daraufhin alles heruntergefahren. Bürgerämter sind geschlossen.

In Pocket speichern vorlesen Druckansicht 98 Kommentare lesen

(Bild: aslysun/Shutterstock.com)

Lesezeit: 3 Min.

In Schwerin und dem angrenzenden Landkreis Ludwigslust-Parchim hat offenbar ein Verschlüsselungstrojaner weite Teile der öffentlichen Verwaltung lahmgelegt. Die Schadsoftware wurde in der vergangenen Nacht auf den Systemen des kommunalen Unternehmens KSM/SIS entdeckt, das die IT-Dienste für die Verwaltung der Landeshauptstadt Mecklenburg-Vorpommerns und den Landkreis sowie Versorgungsbetriebe stellt. In Schwerin tagt ein Krisenstab, die Sicherheitsbehörden wurden hinzugezogen.

"Unser kommunale IT-Dienstleister KSM/SIS hat seit heute Nacht einen Angriff mit einer Schadsoftware registriert und musste daraufhin sämtliche IT-Systeme des Verbundes herunterfahren", sagte der Schweriner Oberbürgermeister Rico Badenschier (SPD). Zu weiteren Einzelheiten machen die Verantwortlichen derzeit noch keine Angaben. Dafür sei es "zum derzeitigen Zeitpunkt zu früh", sagte Badenschier. "Der Krisenstab der SIS/KSM wird alle notwendigen Maßnahmen einleiten und regelmäßig informieren."

Der Angriff hat die Bürgerdienste der Stadt und des Landkreises weitgehend lahmgelegt. "Faktisch geht im Moment in den Häusern der Kreisverwaltung keine Dienstleistung", erklärte der Landrat von Ludwigslust-Parchim, Stefan Sternberg (SPD), gegenüber dem NDR. Bürgerbüros und andere Einrichtungen wie die Kfz-Zulassungsstelle seien geschlossen. Auch andere kommunale Betriebe wie Verkehrsgesellschaft Ludwigslust-Parchim (VLP) seien betroffen. Feuerwehr und Rettungsdienste funktionierten aber weitestgehend normal.

"Wir haben aus jetziger Sicht erstmal gar keinen Zugriff", sagte Sternberg. Sämtliche Systeme seien heruntergefahren worden. Derzeit versuchen die Spezialisten, das Ausmaß des Schadens zu ermessen. "Wir müssen jetzt schauen, Server für Server, wo haben wir verschlüsselte Daten und wie sind die verschlüsselt." Das erfolge im Austausch mit der Polizei und weiteren Sicherheitsbehörden.

Der Angriff auf den zentralen IT-Dienstleister der Kommunen lasse ein sehr gezieltes Vorgehen vermuten, erklärte der SPD-Politiker weiter. Eine Lösegeldforderung sei bisher noch nicht eingegangen. Offen ist, ob Daten abgeflossen sind. "Wir gehen nicht davon aus, dass wir ein Datenleck haben", sagte Sternberg. Bisher sehe es so aus, "dass wir eine Software haben, die Programme verschlüsselt".

Noch gibt es keine Hinweise, welche Schadsoftware zum Einsatz gekommen ist. Allerdings könnte sich die Annahme des Landrats, dass keine Daten abgeflossen sind, noch als falsch herausstellen. Hinter solchen Ransomware-Attacken stecken oft koordinierte Teams von mehreren Angreifern, die sich in aller Ruhe auf den Zielsystemen umsehen und Daten kopieren, bevor sie die eigentliche Verschlüsselungssoftware auslösen.

Anfang Juli war der Landkreis Anhalt-Bitterfeld Ziel einer Ransomware-Attacke und hatte den Katastrophenfall ausgerufen – bundesweit der Erste wegen eines Cyberangriffs. Der Katatrophenstatus soll so lange aufrechterhalten bleiben, bis das Netz wiederhergestellt ist. Der Fall zeigt auch, wie lange so ein Angriff nachwirken kann: In Anhalt-Bitterfeld ist man vorsichtig optimistisch, dass die Attacke bis Jahresende abgehakt sei.

(vbr)