In der Nacht von Sonntag auf Montag, 01.11.2023 wurde die Südwestfalen-IT (SIT), ein großer kommunaler IT Dienstleister, Opfer eines Ransomware Angriffs. Man entdeckte auf Servern des kommunalen Dienstleisters verschlüsselte Daten und leitete sofort Sicherheitsmaßnahmen ein. Wie auf der Website des Dienstleisters zu erfahren ist, sind vor allem die „ 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige externe Kunden im Bundesgebiet“ betroffen. Wie aus der Presse zu erfahren, geht in den Rathäusern und Verwaltungen der betroffenen Kommunen nichts mehr. Betroffen sind sowohl Fachverfahren wie teils auch Telefonanlagen. Die SIT betreut neben den kommunalen Verwaltungen auch Schulen in den Mitgliedskommunen. In welchem Umfang die Betreuung stattfindet, ist von Ort zu Ort unterschiedlich. In einigen Kommunen laufen so zum Beispiel Anwendungen aus der schulinternen Verwaltung und dem Schulsekretariat auf Servern der SIT in Siegen oder Hemer. An diesen Schulen bleiben seit Bekanntwerden des Cyberangriffs die Verwaltungsrechner ausgeschaltet. Aktuell warten die Schulen auf Neuigkeiten von der SIT. Die große Frage ist, ob auch schulische Daten verschlüsselt wurden und falls dieses der Fall ist, ob die SIT in der Lage ist, diese Daten aus Backups wieder herzustellen. Im schlimmsten Fall, wenn die Angreifer auch Zugriff auf die Backups erhalten konnten, stehen die Schulen vor dem Nichts und müssen ihre Daten aus anderen Quellen wieder herstellen, etwa den in Druckform vorliegenden Schülerstammblättern.
Sollten die Daten der Schulen verschlüsselt sein, erfordert dieses auch eine Meldung bei der LDI NRW. Das weitere Handeln hängt dabei maßgeblich von den betroffenen Daten ab, in welcher Form diese auf den Servern vorlagen und welche Risiken sich daraus für die Betroffenen ergeben können.
Für die betroffenen Schulen bleibt zu hoffen, dass hier kein Worst Case Szenario vorliegt.
Nachtrag 09.11.2023
Auch wenn es in Meldungen in der Tagespresse zum Ransomware Vorfall bei der SIT nur um kommunale Verwaltungen geht, so ist mittlerweile klar, dass auch Schulen betroffen sind. So meldet am 06.11.2023 News4Teachers unter dem Titel Hackerangriff legt IT von Kommunen lahm – und von deren Schulen „Auch in Schulen funktioniert offenbar derzeit digital nichts mehr.“ In der Praxis können so betroffene Schulen keine Krankmeldungen mehr per E-Mail entgegennehmen. Der Zugriff auf Unterlagen und Schulverwaltungsprogramme ist nicht möglich und an einigen Schulen können Lehrkräfte nicht auf ihre digital erstellten Unterrichtsmaterialien zugreifen. Schulen, die VOIP Telefonie über SIT nutzen, müssen aktuell über Smartphones telefonieren. Noch ist unklar, ob Daten nur vorübergehend nicht verfügbar sind oder ob es auch dauerhafte, unwiederbringliche Verluste gibt. Auf der Notfall Website der SIT heißt es mit Stand vom 09.11.2023: „Obwohl viele Systeme nicht betroffen sind, hat die erforderliche Notabschaltung zu zahlreichen Einschränkungen geführt.„