In der Nacht von Sonntag auf Montag, 01.11.2023 wurde die Südwestfalen-IT (SIT), ein großer kommunaler IT Dienstleister, Opfer eines Ransomware Angriffs. Man entdeckte auf Servern des kommunalen Dienstleisters verschlüsselte Daten und leitete sofort Sicherheitsmaßnahmen ein. Wie auf der Website des Dienstleisters zu erfahren ist, sind vor allem die „ 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige externe Kunden im Bundesgebiet“ betroffen. Wie aus der Presse zu erfahren, geht in den Rathäusern und Verwaltungen der betroffenen Kommunen nichts mehr. Betroffen sind sowohl Fachverfahren wie teils auch Telefonanlagen. Die SIT betreut neben den kommunalen Verwaltungen auch Schulen in den Mitgliedskommunen. In welchem Umfang die Betreuung stattfindet, ist von Ort zu Ort unterschiedlich. In einigen Kommunen laufen so zum Beispiel Anwendungen aus der schulinternen Verwaltung und dem Schulsekretariat auf Servern der SIT in Siegen oder Hemer. An diesen Schulen bleiben seit Bekanntwerden des Cyberangriffs die Verwaltungsrechner ausgeschaltet. Aktuell warten die Schulen auf Neuigkeiten von der SIT. Die große Frage ist, ob auch schulische Daten verschlüsselt wurden und falls dieses der Fall ist, ob die SIT in der Lage ist, diese Daten aus Backups wieder herzustellen. Im schlimmsten Fall, wenn die Angreifer auch Zugriff auf die Backups erhalten konnten, stehen die Schulen vor dem Nichts und müssen ihre Daten aus anderen Quellen wieder herstellen, etwa den in Druckform vorliegenden Schülerstammblättern.
Sollten die Daten der Schulen verschlüsselt sein, erfordert dieses auch eine Meldung bei der LDI NRW. Das weitere Handeln hängt dabei maßgeblich von den betroffenen Daten ab, in welcher Form diese auf den Servern vorlagen und welche Risiken sich daraus für die Betroffenen ergeben können.
Für die betroffenen Schulen bleibt zu hoffen, dass hier kein Worst Case Szenario vorliegt.
Nachtrag 09.11.2023
Auch wenn es in Meldungen in der Tagespresse zum Ransomware Vorfall bei der SIT nur um kommunale Verwaltungen geht, so ist mittlerweile klar, dass auch Schulen betroffen sind. So meldet am 06.11.2023 News4Teachers unter dem Titel Hackerangriff legt IT von Kommunen lahm – und von deren Schulen „Auch in Schulen funktioniert offenbar derzeit digital nichts mehr.“ In der Praxis können so betroffene Schulen keine Krankmeldungen mehr per E-Mail entgegennehmen. Der Zugriff auf Unterlagen und Schulverwaltungsprogramme ist nicht möglich und an einigen Schulen können Lehrkräfte nicht auf ihre digital erstellten Unterrichtsmaterialien zugreifen. Schulen, die VOIP Telefonie über SIT nutzen, müssen aktuell über Smartphones telefonieren. Noch ist unklar, ob Daten nur vorübergehend nicht verfügbar sind oder ob es auch dauerhafte, unwiederbringliche Verluste gibt. Auf der Notfall Website der SIT heißt es mit Stand vom 09.11.2023: „Obwohl viele Systeme nicht betroffen sind, hat die erforderliche Notabschaltung zu zahlreichen Einschränkungen geführt.“
Nachtrag 12.12.2023
Wie der WDR in einem Beitrag mit dem Titel Cyberangriff: IT-Experte erhebt schwere Vorwürfe gegen Südwestfalen-IT am 08.12.2023 meldet, gilt es mittlerweile als gesichert, dass der Angriff durch Sicherheitsmängel auf administrativer Ebene bei der Südwestfalen-IT ermöglicht wurde. Die Absicherung von Zugängen war stellenweise unzureichend. Es wurde nicht durchgängig 2FA oder gar multifaktorielle Authentifizierung genutzt und in Verwendung waren unsichere Nutzernamen.
Mehr als vier Wochen nach dem Angriff ist auch in den schulinternen Verwaltungen der betroffenen Schulen noch immer kein Zugriff auf die Daten auf den Servern der Südwestfalen-IT möglich. Schulen hatten seit der Umstellung auf die Server der SIT und die komplette Auslagerung der Anwendungen und Daten auch keine Möglichkeit mehr, ihre Daten lokal zu sichern. Das bedeutet, es sind weder Vorlagen verfügbar noch Schulverwaltungsprogramme wie SchiLD NRW. Mit letzterem werden zum Ende des ersten Halbjahres in wenigen Wochen die Halbjahreszeugnisse erstellt. Die müssen nun gegebenenfalls von Hand geschrieben werden. Betroffen ist auch die sichere Kommunikation mit der IT.NRW, da die Ver- und Entschlüsselung ohne Zugriff auf die Daten auf den SIT Servern nicht möglich ist.