Nach Cyberangriff: Südwestfalen-IT will sich tiefgreifend reformieren

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die neue Geschäftsführung der Südwestfalen-IT (SIT) fordert nach dem verheerenden Cyberangriff auf den kommunalen IT-Dienstleister tiefgreifende Konsequenzen. Das Unternehmen müsse seine Organisationsstruktur verändern, um schneller auf Herausforderungen reagieren zu können, sagte Geschäftsführer Mirco Pinske in einem Interview mit c't. Außerdem forderte Pinske die Bundesregierung auf, auch Kommunen zur Einhaltung der NIS2-Richtlinie zu verpflichten. Pinske hatte die Leitung der SIT im Februar 2024 übernommen, rund drei Monate nach dem Cyberangriff.

Der Angriff auf die SIT war der bislang folgenreichste im öffentlichen Sektor: Die Verwaltung von über 70 Städten und Gemeinden wurde lahmgelegt, insgesamt waren 1,6 Millionen Bürger von den Folgen betroffen. Erst elf Monate nach dem Angriff konnte die SIT die Rückkehr in den "Normalmodus" melden.

Lokalpolitiker entscheiden

Als Lehre aus dem Angriff und dem aufwendigen Wiederaufbau der IT-Infrastruktur fordert SIT-Geschäftsführer Mirco Pinske unter anderem eine Reform der Organisationsstruktur des IT-Dienstleisters. "Viele Entscheidungen, die in vielen anderen Organisationsformen die Geschäftsführung trifft, muss bei der SIT ein Verbandsgremium treffen", sagte Pinske im Interview mit c't. Das vollständige Interview lesen Sie im c't-Newsletter D.digital.

Die SIT ist wie auch andere kommunale IT-Dienstleister als Zweckverband organisiert. Bei der SIT liegen grundlegende Entscheidungsbefugnisse wie die Festlegung der Strategie bei der Verbandsversammlung. Darin sitzen 119 Vertreter der Mitgliedskommunen, zum Beispiel Landräte und Bürgermeister. Ein weiteres Gremium, der Verwaltungsrat, entscheidet laut Satzung (PDF) zum Beispiel über die "von den Verbandsmitgliedern zu beachtenden Sicherheitsstandards".

Das Portfolio soll schrumpfen

Im Bereich der IT-Sicherheit hat die SIT zahlreiche Maßnahmen getroffen, um die Wahrscheinlichkeit eines erneuten Ausfalls zu minimieren. Zum Beispiel wurde der VPN-Zugang verbandsweit vereinheitlicht und durch Multi-Faktor-Authentifizierung gesichert, wie das Unternehmen Ende Oktober meldete. Für 2025 sind demnach weitere Investitionen in IT-Sicherheit "in hoch 6-stelliger Höhe" geplant. Vor Kurzem wurde außerdem bekannt, dass die SIT auch personelle Konsequenzen aus dem Vorfall gezogen hat.

Pinske will zudem die Vielfalt der von der SIT angebotenen Anwendungen reduzieren, um die Angriffsfläche zu verkleinern und einen eventuellen Wiederaufbau zu beschleunigen. Aktuell betreibe man 160 Anwendungen, sagte er im Interview. Die Politik forderte er auf, auch die Kommunen zur Einhaltung der NIS-2-Richtlinie zu verpflichten: "Nur dann werden auch die entsprechenden Gelder für IT-Sicherheit priorisiert." Der Deutsche Städte- und Gemeindebund hat sich gegen eine solche Verpflichtung ausgesprochen.

(cwo)