Der Vorfall
In der Nacht vom 29. auf den 30. Oktober 2023 begann einer der folgenschwersten Cyberangriffe auf die deutsche Kommunalverwaltung. Die Akira-Ransomware-Gruppe drang in die Systeme der Südwestfalen-IT (SIT) ein – einen kommunalen IT-Dienstleister, der die digitale Infrastruktur für 72 Kommunen in Südwestfalen betrieb.
Die Auswirkungen waren verheerend. 72 Städte und Gemeinden mit insgesamt rund 1,6 Millionen Einwohnern verloren auf einen Schlag ihre gesamte digitale Verwaltung. Bürgerbüros konnten keine Ausweise ausstellen. Kfz-Zulassungsstellen waren außer Betrieb. Standesämter konnten keine Geburts- oder Sterbeurkunden ausstellen. Sozialhilfe und Wohngeld konnten nicht bearbeitet werden. Selbst die Auszahlung von Elterngeld stockte.
Besonders dramatisch: In einigen Kommunen konnten Flüchtlinge nicht registriert werden. Baugenehmigungen lagen auf Eis. Die Stadt Siegen musste ihre Haushaltspläne mit Stift und Papier erstellen. Einige Kommunen griffen auf Faxgeräte zurück – eine Technologie, die viele bereits entsorgt hatten.
Die Wiederherstellung dauerte nicht Wochen, sondern Monate. Noch im Frühjahr 2024 – ein halbes Jahr nach dem Angriff – waren nicht alle Systeme wieder vollständig funktionsfähig. Die forensische Untersuchung ergab, dass die Angreifer über eine VPN-Verbindung ohne Multifaktor-Authentifizierung eingedrungen waren.
Der Gesamtschaden wurde auf einen zweistelligen Millionenbetrag geschätzt – Kosten für Forensik, Wiederherstellung, Notbetrieb und entgangene Einnahmen nicht eingerechnet.
Wie der Angriff funktionierte
Die forensische Analyse offenbarte einen klassischen mehrstufigen Angriff, der durch eine vermeidbare Schwachstelle ermöglicht wurde.
Stufe 1 – Zugang über VPN ohne MFA: Die Angreifer nutzten eine VPN-Verbindung der Südwestfalen-IT, die ohne Multifaktor-Authentifizierung gesichert war. Mit kompromittierten oder erratenen Zugangsdaten verschafften sie sich Zugang zum internen Netzwerk. Dieser erste Schritt war erschreckend einfach – und hätte durch MFA verhindert werden können.
Stufe 2 – Installation von Angriffswerkzeugen: Einmal im Netzwerk, luden die Angreifer ihre Werkzeuge nach. Die Akira-Gruppe ist bekannt für den Einsatz von Tools wie AnyDesk (für Remote-Zugriff), Mimikatz (zum Auslesen von Passwörtern) und verschiedenen Netzwerkscannern. All diese Werkzeuge wurden auf kompromittierten Rechnern installiert und hinterließen Spuren auf den Systempartitionen.
Stufe 3 – Laterale Bewegung und Datenexfiltration: Mit gestohlenen Administratorrechten bewegten sich die Angreifer durch das gesamte Netzwerk. Sie identifizierten die Server, die für die 72 Kommunen kritisch waren. Daten wurden kopiert – Akira ist bekannt für Double Extortion, also die Kombination aus Verschlüsselung und Datendiebstahl.
Stufe 4 – Simultane Verschlüsselung: In der Nacht zum 30. Oktober starteten die Angreifer die Verschlüsselung. Da sie bereits die Kontrolle über die zentrale Infrastruktur hatten, konnten sie alle Systeme gleichzeitig verschlüsseln. Am Montagmorgen war die gesamte kommunale IT-Landschaft Südwestfalens lahmgelegt.
Der zeitliche Ablauf ist entscheidend: Zwischen dem ersten Zugang über VPN und der finalen Verschlüsselung vergingen Tage, möglicherweise Wochen. In dieser gesamten Zeit lagen Angriffswerkzeuge auf den Systempartitionen – genau dort, wo Deep Freeze sie bei jedem Neustart gelöscht hätte.
Warum Virenscanner versagten
Die Südwestfalen-IT hatte Sicherheitslösungen im Einsatz. Doch der Angriff offenbarte mehrere grundlegende Schwächen.
Erstens: Der Zugang über VPN mit gültigen Zugangsdaten ist für einen Virenscanner unsichtbar. Der Scanner sieht eine autorisierte VPN-Verbindung – genau wie die, die jeden Tag von Administratoren genutzt wird. Es gibt keinen Schadcode, den er erkennen könnte.
Zweitens: Die Akira-Gruppe verwendet regelmäßig modifizierte Varianten ihrer Tools. Jede neue Kampagne kommt mit angepasstem Code, der gegen aktuelle Virenscanner-Signaturen getestet wurde. Die initiale Phase des Angriffs bleibt dadurch unter dem Radar.
Drittens: Viele der eingesetzten Werkzeuge sind an sich nicht bösartig. AnyDesk ist eine legitime Remote-Desktop-Software. PowerShell ist ein Windows-Bordmittel. Netzwerkscanner werden von jedem IT-Administrator verwendet. Der Kontext macht den Unterschied – aber den erkennt ein Virenscanner nicht.
Das Ergebnis: Die Sicherheitslösungen erkannten den Angriff zu spät oder gar nicht. Als die Verschlüsselung begann, war es bereits zu spät für eine Reaktion.
So hätte Deep Freeze geschützt
Der Fall Südwestfalen-IT ist ein Paradebeispiel dafür, warum Deep Freeze gerade in kommunalen IT-Umgebungen so wertvoll ist.
VPN-Zugang ist nicht gleich Persistenz. Selbst wenn die Angreifer über die VPN-Verbindung in das Netzwerk eindringen – auf einem Deep-Freeze-geschützten Rechner können sie keine dauerhaften Werkzeuge installieren. Der Loader, den sie platzieren, überlebt den nächsten Neustart nicht. AnyDesk, Mimikatz, Netzwerkscanner – alles verschwunden.
Die Erkundungsphase wird unmöglich. Die Angreifer brauchen Tage, um ein Netzwerk mit 72 Kommunen zu kartieren. Doch ihre Werkzeuge verschwinden jeden Abend, wenn die Arbeitsplatzrechner heruntergefahren werden. Jeder Morgen wäre ein Neuanfang gewesen – für die Angreifer, nicht für die Verwaltung.
72 Kommunen bleiben funktionsfähig. Statt monatelanger Ausfälle wäre nach einem koordinierten Neustart aller Arbeitsplatzrechner alles wieder normal gewesen. Bürgerbüros offen, Kfz-Zulassungen möglich, Sozialleistungen auszahlbar.
Kein Rückfall auf Faxgeräte. Die absurde Situation, dass moderne Kommunalverwaltungen auf Fax und Papier zurückgreifen mussten, wäre nicht entstanden. Deep Freeze hätte den digitalen Normalzustand innerhalb von Minuten wiederhergestellt.
Natürlich: Die Server brauchen separate Schutzmaßnahmen. Aber der Angriffsweg führte über kompromittierte Arbeitsplätze und die dort gespeicherten Zugangsdaten. Genau diese Kette hätte Deep Freeze unterbrochen.
Die Lehre
- Kommunale IT-Dienstleister sind Single Points of Failure. Ein erfolgreicher Angriff auf die Südwestfalen-IT legte 72 Kommunen lahm. Deep Freeze auf den Arbeitsplätzen hätte die Angriffskette unterbrochen, bevor sie die Server erreichte.
- VPN ohne MFA ist eine offene Tür. Der Zugang war trivial. Aber selbst mit MFA braucht es eine zweite Verteidigungslinie – und Deep Freeze ist diese Linie.
- Monate der Wiederherstellung sind inakzeptabel. Bürger sind auf eine funktionierende Verwaltung angewiesen. Deep Freeze reduziert die Wiederherstellungszeit auf die Dauer eines Neustarts.
- Mehrstufige Angriffe sind der Standard. Von VPN-Zugang über Werkzeug-Installation bis zur Verschlüsselung – jede Stufe hinterlässt Spuren auf der Systempartition. Deep Freeze löscht diese Spuren bei jedem Neustart.
- Faxgeräte sind keine Notfalllösung. Dass Kommunalverwaltungen im Jahr 2023 auf Faxgeräte zurückgreifen mussten, zeigt, wie fundamental der Schutz versagt hat. Mit Deep Freeze wäre das nicht nötig gewesen.