Ein Hackerangriff mit großen Folgen hat mehr als 70 Städte, Gemeinden und Kreise in Nordrhein-Westfalen in vielen Bereichen lahmgelegt.

Das neue Auto kann nicht angemeldet, der Führerschein nicht abgeholt werden. Die Geburtsurkunde lässt auf sich warten, ebenso der neue Personalausweis. Die Aufenthaltserlaubnis gibt es allenfalls als provisorisches Dokument. Seit Tagen sind Dienstleistungen von mehr als 70 Kommunen in Nordrhein-Westfalen auf einen Streich lahmgelegt. Bürgerbüros wurden komplett geschlossen.

Ein gezielter Hackerangriff hat die Verwaltungen schwer aus dem Takt gebracht, mühsame Notlösungen sind im Aufbau. Es war nicht der erste Hackerangriff auf die öffentliche Infrastruktur in Deutschland, aber einer der weitreichendsten. Und Experten warnen vor einer weiteren Zunahme der Cyberattacken.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, dass durchschnittlich pro Monat zwei Kommunen oder kommunale Unternehmen von solchen Hackerangriffen betroffen sind. Innerhalb von zwölf Monaten seien bis Mitte dieses Jahres bundesweit Kommunen mit fast sechs Millionen Einwohnerinnen und Einwohnern betroffen gewesen.

Keine rasche Rückkehr zur Normalität

Im Fall der aktuellen Hackerttacke auf den Dienstleister Südwestfalen-IT am 30. Oktober sei nichts anderes übrig geblieben, als sämtliche Systeme sofort abzuschalten, teilte das angegriffene Unternehmen mit. Seither tagt der Krisenstab. Eine Spezialeinheit von Cybercrime-Ermittlern jagt die Täter, während IT-Forensiker nach der Lücke fahnden, durch die die Hacker eindringen konnten.

Eine rasche Rückkehr zur Normalität sei wenig wahrscheinlich, es gebe aber die Hoffnung, dass einige öffentliche Dienstleistungen bald zumindest behelfsweise wieder verfügbar seien.

Eine Hackergruppe namens «Akira» verlangt Lösegeld, erst dann will sie die kommunalen Systeme wieder freigeben, heißt es in einem Bericht an den NRW-Landtag. Die Kommunen wollen aber auf keinen Fall zahlen. Betroffen sind Städte, Gemeinden und Kreise vor allem in Südwestfalen, mitunter auch etwa im Ruhrgebiet, im Rheinisch-Bergischen-Kreis und andernorts - mit Unterschieden in Art und Ausmaß.

Fast täglich Hackerattacken

Der Kölner Staatsanwalt Christoph Hebbecker von der zentralen Cybercrime-Einheit ZAC NRW berichtet, es vergehe kaum ein Tag, an dem seine Einheit nicht wegen eines sogenannten Ransomware-Angriffs wie diesem in Nordrhein-Westfalen die Ermittlungen aufnehmen müsse. Mit Blick auf die gravierenden Auswirkungen sei der derzeitige Fall allerdings ein «herausragendes Verfahren».

Angegriffen wird dem Staatsanwalt zufolge «quer durch die Bank»: Hochschulen, Bildungseinrichtungen, Anwaltskanzleien, Krankenhäuser und Unternehmen aller Branchen. Die Masche sei immer dieselbe: Die Kriminellen suchen nach Sicherheitslücken, infiltrierten das System und nisteten sich dabei oft schon Wochen oder Monate vor der eigentlichen Attacke mit ihrer Schadsoftware ein. Ob im aktuellen Fall Daten nur verschlüsselt, oder auch gestohlen wurden, sei noch unklar.

Das BSI stellt fest, dass kriminelle Hacker seit einiger Zeit zunehmend den Weg des geringsten Widerstands wählen und Opfer auswählen, die ihnen leicht angreifbar erscheinen. «Nicht mehr die Maximierung des potenziellen Lösegelds stand im Vordergrund, sondern das rationale Kosten-Nutzen-Kalkül», heißt es im jüngsten Lagebericht.

Mehr als 200 Milliarden Euro Schaden

Cyberangriffe hätten sich zu einer der größten Bedrohungen für die deutsche Wirtschaft und Gesellschaft entwickelt, warnt der Digitalverband Bitkom. In den vergangenen zwölf Monaten seien allein deutschen Unternehmen 206 Milliarden Euro Schaden durch Spionage, Sabotage und Datendiebstahl entstanden, davon 148 Milliarden Euro durch Cyberangriffe, sagt Sicherheitsexpertin Simran Mann. «Und die Gefahr von Cyberangriffen wächst.»

Die IT-Infrastruktur gehöre regelmäßig aktualisiert, Sicherheitslücken schnell geschlossen, es brauche Backups und Notfall-Wiederherstellungspläne in der Hinterhand. Ganz wichtig sind laut Bitkom auch Mitarbeiterschulungen, um Angriffe früh zu entdecken und sich dann richtig verhalten zu können.

Im vergangenen März war es den Cybercrime-Ermittlern der ZAC NRW gelungen, die Hackergruppe «Double-Spider» zu enttarnen, die auch als «Doppel Spider» oder «Grief» bekannt ist. Den weltweit gesuchten Verdächtigen werden unter anderem der Angriff auf das Uni-Klinikum Düsseldorf, die Funke-Mediengruppe und den Landkreis Anhalt-Bitterfeld angelastet, der deswegen den Katastrophenfall ausgerufen hatte.

Einer der Verdächtigen, der Russe Igor T., soll Ende 2022 an einem Hacker-Wettbewerb der Söldnergruppe Wagner teilgenommen haben. «Wir sehen bei einzelnen Personen dieser Tätergruppe auch Bezüge und Verbindungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnertruppe Wagner», hatte NRW-Innenminister Herbert Reul (CDU) damals gesagt.

Über die neue Hackergruppe «Akira» ist dagegen noch nicht viel bekannt. «Wir haben keinen Kontakt zur Tätergruppe und führen keine Verhandlungen über Lösegeld», sagt Staatsanwalt Hebbecker. Es sei bei solchen Attacken ohnehin enorm schwierig, die Angreifer dahinter zu identifizieren. Noch seltener komme es zu einer Festnahme.