LAGEBRIEFING · 08.07.2026 DEENFRES

Case Studies

Südwestfalen-IT: die Lektion der Kommunal-IT

Von Benedikt Langer · 5. Juli 2026 · 5 Minuten Lesezeit

Am 30. Oktober 2023 verschlüsselte die Ransomware-Gruppe Akira die Systeme der Südwestfalen IT. Über 70 Kommunen standen plötzlich still, Bürgerbüros, Meldewesen, Fachverfahren. Der Einstieg gelang über einen einzigen offenen Punkt: ein VPN-Zugang ohne Multi-Faktor-Authentifizierung. Zweieinhalb Jahre später ist der Fall die vielleicht teuerste Lektion, die die kommunale IT in Deutschland gelernt hat.

Das Wichtigste in Kürze

  • Einstieg über ein VPN ohne MFA: Die Angreifer nutzten eine Schwachstelle in einer VPN-Lösung, die keinen zweiten Faktor verlangte.
  • Ein Dienstleister, viele Opfer: Über 70 Kommunen waren betroffen, nach manchen Zählungen mehr als 100. Ein Angriff, geteilte Reichweite.
  • Kein Lösegeld, saubere Backups: Südwestfalen IT und Kommunen lehnten die Zahlung ab. Ein Datenabfluss galt als unwahrscheinlich, die Sicherungen waren intakt.
  • Der Wiederaufbau dauerte Monate: Erst über einen abgestimmten Stufenplan kehrten die Fachverfahren zurück in den Normalbetrieb.

Verwandt:Adaptive MFA als Zero-Trust-Hebel  /  Wann die Meldefrist-Uhr tickt

Was am 30. Oktober 2023 geschah

In den frühen Morgenstunden legte die Verschlüsselung durch Akira die zentrale IT eines kommunalen Dienstleisters lahm. Südwestfalen IT betreibt die Systeme für eine große Zahl von Städten, Gemeinden und Kreisen in der Region. Mit dem Ausfall des Dienstleisters fiel die Verwaltung bei den angeschlossenen Kommunen praktisch gleichzeitig aus.

Die Folgen waren im Alltag der Bürger sofort spürbar. Termine ließen sich nicht mehr buchen, Ummeldungen und Ausweisanträge stockten, Fachverfahren standen still. Ein Cyberangriff, der in der Sprache der IT abstrakt bleibt, wurde hier zu geschlossenen Schaltern und langen Wartezeiten.

Die offene Tür: ein VPN ohne zweiten Faktor

Der entscheidende Punkt für jede Security-Betrachtung ist der Einstieg. Die Angreifer gelangten über eine softwarebasierte VPN-Lösung ins interne Netz, die eine Schwachstelle aufwies und keinen zweiten Faktor verlangte. Ein kompromittierter Fernzugang genügte, um die zentrale Position zu erreichen.

Diese Kombination ist die eigentliche Lehre des Falls. Ein Fernzugang ohne Multi-Faktor-Authentifizierung ist eine Einladung, besonders an einem so exponierten und weitreichenden System. Der Angriff nutzte schlicht eine Lücke, die sich mit gängigen Mitteln hätte schließen lassen. Raffinierte Technik brauchte es dafür nicht. Genau das macht ihn so lehrreich.

Wiederaufbau und die Absage ans Lösegeld

Südwestfalen IT und die betroffenen Kommunen entschieden sich gegen die Zahlung eines Lösegelds. Diese Haltung war möglich, weil die Sicherungen nicht betroffen waren und ein Abfluss von Daten als unwahrscheinlich galt. Der Preis dafür war ein Wiederaufbau in Eigenleistung, der sich über Monate zog.

30.10.2023

Tag des Angriffs

>70

betroffene Kommunen

0 €

kein Lösegeld gezahlt

Der Weg zurück lief über einen mit den Kreisen und Kommunen abgestimmten Stufenplan, der die wesentlichen Fachverfahren nach und nach in den Normalbetrieb zurückführte. Beim Wiederanlaufen wurden die Sicherheitslücken geschlossen. Der Fall zeigt, dass ein sauberes, getrenntes Backup die Verhandlungsposition gegenüber Erpressern grundlegend verändert.

Warum kommunale Dienstleister ein Sonderrisiko tragen

Der Fall Südwestfalen IT steht für ein strukturelles Muster. Ein zentraler Dienstleister bündelt die IT vieler kleiner Verwaltungen, die sich eigene Sicherheitsabteilungen nicht leisten können. Diese Bündelung schafft Effizienz und zugleich ein einzelnes, sehr lohnendes Ziel.

Für Angreifer ist die Rechnung einfach. Ein erfolgreicher Zugriff auf den Dienstleister multipliziert sich über alle angeschlossenen Kommunen. Diese Konzentration verlangt ein Sicherheitsniveau, das der Reichweite entspricht. Ein Dienstleister, der für 70 Verwaltungen arbeitet, trägt eine 70-fache Verantwortung, weit mehr als die einer einzelnen Behörde.

Fünf übertragbare Lehren

Der Fall lässt sich in konkrete Konsequenzen übersetzen, die für jede Organisation mit weitreichender IT gelten.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Wie kamen die Angreifer ins Netz?

Über eine softwarebasierte VPN-Lösung mit einer Schwachstelle, die keine Multi-Faktor-Authentifizierung verlangte. Ein kompromittierter Fernzugang reichte, um Zugriff auf das interne Netz der Südwestfalen IT zu erlangen.

Wurden Daten gestohlen?

Nach den vorliegenden Einschätzungen kam es mit hoher Wahrscheinlichkeit zu keinem Abfluss von Daten. Auch die Backups waren nicht betroffen. Das war eine wichtige Voraussetzung für die Entscheidung gegen eine Lösegeldzahlung.

Warum dauerte der Wiederaufbau so lange?

Weil die zentrale IT vieler Kommunen sauber und sicher neu aufgebaut werden musste, statt sie mit einem Lösegeld schnell freizukaufen. Ein abgestimmter Stufenplan führte die Fachverfahren nach und nach in den Normalbetrieb zurück.

Hätte sich der Angriff verhindern lassen?

Der konkrete Einstieg über einen Fernzugang ohne zweiten Faktor wäre mit konsequenter Multi-Faktor-Authentifizierung deutlich erschwert worden. Absolute Sicherheit gibt es nicht, aber diese eine Maßnahme hätte die genutzte Tür geschlossen.

Was ist die wichtigste Lehre für andere Dienstleister?

Dass die Sicherheitsanforderungen mit der Reichweite steigen. Wer die IT vieler Kunden bündelt, muss ein entsprechend hohes Schutzniveau fahren, angefangen bei MFA an allen Zugängen und sauber getrennten Backups.

Lesetipps der Redaktion

LesetippAdaptive MFA: NIS2-Druck als Zero-Trust-Hebel im MittelstandLesetippAb wann die Meldefrist-Uhr wirklich ticktLesetippDORA im Betrieb: Was die Aufsicht sehen will

Mehr aus dem MBF Media Netzwerk

cloudmagazinKRITIS in die Cloud: Was die Migration absichertDigital ChiefsDie KI schreibt den Code. Wer haftet dafür?MyBusinessFutureDie KI-Aufsicht in Deutschland hat jetzt eine Adresse

Weiterführende Lektüre

Case Studies · 7. Juli 2026

Wenn ein Anruf die Autoproduktion stoppt

Am 31. August 2025 begannen bei Jaguar Land Rover Systeme, sich merkwürdig zu verhalten. Wenige Tage später stand die Produktion still. Fünf Wochen lang …

Ein Magazin der Evernine Media GmbH