Aus dem abschließenden Forensikbericht externer Cyber-Security-Experten gehe hervor, dass es keine Hinweise auf einen Datenabfluss oder eine Datenveröffentlichung gebe, teilte SIT am Donnerstagabend mit. Das schnelle Notabschalten der Rechner seitens SIT habe dazu geführt, dass der Angriff sich nicht auf weitere Systeme habe ausweiten können. Backups seien nicht betroffen, so dass SIT in der Lage sei, alle Daten Schritt für Schritt wiederherzustellen. Mit den betroffenen Kommunen und Kreisen sei abgestimmt, die ersten wesentlichen Fachverfahren bis Ende März wieder in den Normalbetrieb zu überführen.
Die Hacker konnten dem Bericht zufolge die VPN-Lösung - eigentlich gedacht als sicherer Tunnel ins interne Netzwerk - überwinden sowie weitere Hürden umgehen und dann eine Ransomware-Schadsoftware ausbringen. Solche Erpressungstrojaner zielen in der Regel darauf ab, Lösegeld zu erzwingen, nach dessen Zahlung Daten wieder freigegeben werden. Im SIT-Fall kam es aber den Informationen zufolge nicht zu einem Datendiebstahl, es gab auch keinen Kontakt zu den Kriminellen. Ermittler vermuten hinter der Cyberattacke eine Hackergruppe namens "Akira".
Die Dienstleistungen von mehr als 70 Kommunen mit insgesamt etwa 1,7 Millionen Bürgerinnen und Bürgern waren infolge der Attacke praktisch lahmgelegt worden oder ganz erheblich eingeschränkt - unterschiedlich in Art und Ausmaß. Die Städte, Gemeinden und Kreise hatten zahlreiche Notlösungen an den Start gebracht, um die Beeinträchtigungen abzufedern. Der forensische Bericht stellt auch Sicherheitsmaßnahmen vor, mit denen die IT-Infrastruktur der Südwestfalen-IT künftig widerstandsfähiger gegen Angriffe werden soll. (dpa/rs)