Nach Ransomware-Angriff: Südwestfalen-IT und Kommunen lehnen Lösegeldzahlung ab

Der kommunale IT-Dienstleister Südwestfalen-IT lehnt die Zahlung eines Lösegelds nach einem Ransomware-Angriff in Absprache mit den betroffenen Kommunen ab.

In Pocket speichern vorlesen Druckansicht 155 Kommentare lesen
Creative,Code,Skull,Hologram,On,Modern,Computer,Background,,Cybercrime,And

(Bild: Pixels Hunter/Shutterstock.com)

Lesezeit: 2 Min.

Der Ende Oktober mit Ransomware angegriffene kommunale IT-Dienstleister Südwestfalen-IT (SIT) lehnt der Polizei Dortmund zufolge und in Absprache mit den über 70 betroffenen Kommunen sowohl Verhandlungen mit, als auch eine Lösegeldzahlung an die Erpresser ab. Hinter dem Angriff stecke eine Cybercrime-Gruppe, die sich selbst "Akira" nennt. Das geht aus einem vertraulichen Bericht des Innenministeriums an den Landtag hervor, berichtet die Deutsche Presse-Agentur.

Die Angreifer haben dem vertraulichen Bericht zufolge die Server der Südwestfalen-IT verschlüsselt und in einer hinterlassenen Nachricht um eine Kontaktaufnahme im Darknet verlangt. Eine konkrete Summe nannte "Akira", die laut dem IT-Sicherheitsunternehmen Logpoint zwar erst seit März aktiv ist, aber seitdem zu "einer der aktivsten kriminellen Vereinigung im Bereich Internet-Erpressung geworden" ist, demnach bislang nicht.

Der Ransomware-Angriff habe eine Abschaltung der Systeme erzwungen, das wiederum erheblich einschränkende Auswirkungen auf 74 Kommunen habe, so das Innenministerium. Getroffen habe es vorwiegend Kommunen im südlichen und östlichen Nordrhein-Westfalen, so die Zentral- und Ansprechstelle Cybercrime (ZAC). Besonders schlimme Folgen gebe es für die Kreise Siegen-Wittgenstein und Olpe. Während einige Dienstleistungen – zum Teil eingeschränkt – weiterhin angeboten werden könnten und die Arbeiten an alternativen Lösungen begonnen hätten, berichten einige Kommunen von einem verstärkten Ausweichen auf Papierdokumente.

Direkt betroffen sei bislang nur SIT – auf den "Akira"-Seiten im Darknet wurden demnach aber keine Daten des kommunalen IT-Dienstleisters veröffentlicht. Ob überhaupt Daten abgegriffen wurden und wann die Systeme wieder anlaufen, sei noch offen.

SIT berichtet von dem Abschluss einer ersten Phase forensischer Analysen der betroffenen Systeme. Mit den gewonnenen Erfahrungen sollen nun alle Kundensysteme untersucht werden. Mitglieder eines erweiterten Krisenstabs sollen eine "Priorisierung der wiederherzustellenden Fachverfahren fertigstellen". Anschließend könne mit der "schrittweisen Wiederherstellung der Systeme" begonnen und erste Workarounds in den nächsten Wochen eingeführt werden, so die SIT.

(bme)