Eine Person sitzt mit verschränkten Armen, darüber Binärcode.

Nach Cyberangriff auf Südwestfalen IT: Wer ist das Hacker-Netzwerk "Akira"?

Stand: 13.11.2023, 16:15 Uhr

Der Hacker-Angriff auf die auf die Südwestfalen IT zieht immer größere Kreise. Vor zwei Wochen war der kommunale IT-Dienstleister mutmaßlich von der Hackergruppe "Akira" angegriffen worden. In mehr als 70 Rathäusern und Kreisverwaltungen vor allem in Südwestfalen geht seitdem digital nichts mehr.

Von Heinz Krischer

Pässe ausstellen oder verlängern funktioniert nicht mehr, Autos können nicht an- oder umgemeldet werden, E-Mails können nicht verschickt werden und viele Rathäuser sind nicht mal telefonisch erreichbar. Und immer mehr wirkt sich der Ausfall auch auf die Finanzen aus: Weil die Städte nicht automatisiert Steuern und Gebühren einziehen können, müssen sie jetzt andere Wege gehen.

"Deshalb wird darum gebeten, Forderungen manuell zu überweisen", teilt der Märkische Kreis am Montag seinen Bürgern und Firmen mit. Die Kommunen, aber auch die Südwestfalen IT, sind jetzt dabei, Behelfs-Lösungen aufzubauen. Not-Homepages beispielsweise oder die Ausstellung von provisorischen Bescheiden in Ausländerämtern.

Die wichtigsten Fragen

Wen haben die Hacker angegriffen?

Ziel war in der Nacht zum 30. Oktober 2023 die Südwestfalen IT. Das ist ein Dienstleister, der von den Städten und Kreise in Südwestfalen gegründet wurde, um in ihrem Auftrag digitale Dienstleistungen abzuwickeln. Es wurden zahlreiche Daten verschlüsselt und so unbrauchbar gemacht. Die Hacker hinterließen ein Erpresserschreiben. Ihr Angebot: Lösegeld zahlen, dann werden die Daten wieder brauchbar gemacht.

Mehrere Autos stehen in einer Reihe neben einem Autohaus.

Cyberattacke auf Südwestfalen-IT lähmt auch Autohandel

Lokalzeit Südwestfalen 10.11.2023 01:40 Min. Verfügbar bis 10.11.2025 WDR Von Mike Külpmann

Wer steckt hinter dem Angriff?

Ermittler fanden auf den angegriffenen Servern Hinweise auf die Gruppe "Akira". Das ist eine Hacker-Gruppe, die erst seit März 2023 bei Angriffen auf kleinere und mittelgroße Unternehmen aufgefallen ist. Im Darknet rühmte sich die Gruppe im Spätsommer, bis dahin schon mehr als 60 erfolgreiche Angriffe durchgeführt zu haben, berichten Fachmedien. Sie gehöre weltweit zu den fünf gefährlichsten Hacker-Gruppen, berichten unterschiedliche Experten.

Was hat die Hackergruppe Akira mit Russland zu tun?

Es gibt Vermutungen, dass Akira in Osteuropa Wurzeln hat. Viele Beobachter glauben, dass Akira ein Nachfolger der Hackerbande "Conti" ist. Diese Gruppe hatte ihre Basis in St. Petersburg, manche glauben, dass sie mit dem Segen des russischen Geheimdienstes operierte und westliche Firmen angriff.

Als Russland im vorigen Jahr den Krieg mit der Ukraine begann, habe sich Conti hinter Putin gestellt, heißt es in verschiedenen Veröffentlichungen. Das aber führte zum Streit. Ukraine-nahe Hacker machten aus Ärger über den Ukraine-Krieg Chatprotokolle und die geheimen Algorithmen von "Conti" öffentlich. Das führte dazu, dass sich die Gruppe auflöste oder zurückzog.

Wie sind die Hacker organisiert?

Von der Hackergruppe Conti weiß man auch durch die geleakten Chatprotokolle, dass sie wie ein großes Unternehmen aufgebaut ist. Ihr Geschäftszweig RaaS "Ransom as a Service", Lösegeld-Erpressung als Geschäftsmodell. Es gibt Chefs, Abteilungsleiter, Teams, die sich um die Technik zum Eindringen in die Server kümmern, andere, die sich mit Verschlüsselung auskennen, wieder andere, die das Geld eintreiben, ohne dass sie Spuren hinterlassen.

Wie geht "Akira" vor?

IT-Analysten glauben, dass Akira eine Schwachstelle in der Hardware des Herstellers Cisco gefunden hat. Darüber gelinge es ihnen, ihre Schadprogramme auf den Servern einzupflanzen. Großer Schaden sei immer dann entstanden, so heißt es in internationalen Veröffentlichungen, wenn die Server nicht aufgeteilt oder die verschiedenen Bereiche nicht gut genug untereinander abgesichert seien.

Notwendig sei eine Multi-Faktor-Authentifizierung (MFA), heißt es in Analysen. Verbraucher kennen Zwei-Faktor-Authentifizierung beispielsweise vom Online-Banking, wenn zusätzlich zu einem Passwort auch noch ein Sicherheitscode aufs Handy geschickt wird.

Wieviel Lösegeld fordert "Akira"?

Das ist nicht bekannt. Die Hacker von "Conti" sollen ein bis vier Prozent des Jahresumsatzes verlangt haben. Forderungen können also in die Hunderttausende gehen. Im Fall des Angriffs auf die Südwestfalen IT sind die Kommunen aber offenbar nicht bereit, Lösegeld zu zahlen. Wie Akira darauf reagiert, ist unklar.

In der Vergangenheit hatten Hacker vor der Verschlüsselung der Daten zunächst sensible Daten gestohlen. Um ihren Forderungen mehr Druck zu verleihen, drohten sie mit der Veröffentlichung der Daten. Auch auf den Servern der Südwestfalen IT waren viele sensible Daten der Bürger. Zuletzt hatten die Ermittler gesagt, es gebe keinen Hinweis darauf, dass solche Daten abgeflossen seien.

Weitere Themen

Blick in den WDR-Newsroom mit Logo der Aktion "Mitmischen"

Live dabei sein: Mitmischen! beim WDR Newsroom

Habt Ihr Lust, den WDR-Newsroom kennenzulernen? Es gibt jetzt die Chance, den Programmacherinnen und Machern persönlich Eure Fragen zu unseren Nachrichtenangeboten zu stellen. Beim "Mitmischen" im Newsroom am 11. Juni.  |  mehr

Threads: WDR Aktuell

WDR aktuell bei Threads: Wir denken die News weiter, mit Euch!

Wir wollen mit Euch ins Gespräch kommen. Über Threads gibt es den direkten Draht in den WDR Newsroom. So könnt Ihr mitmachen.  |  mehr

Weitere Themen aus Westfalen-Lippe

Sport aus Westfalen-Lippe

Mehr Nachrichten

0630 - der News-Podcast, Podcastcover

0630 - der News-Podcast

Welche Nachrichten sind heute wichtig? Was musst du wissen, um mitreden zu können? Wir haben die Themen des Tages im Blick und stehen ziemlich früh auf, um sie dir zum Frühstück, im Bad oder auf dem Weg zur Arbeit zu servieren. Kompakt in um die 20 Minuten. Um 06:30 Uhr sortieren dir Caro, Matthis, Lisa, Robert, Minh Thu, Flo oder Jan den Tag. Sie erklären und diskutieren, damit du danach weißt, was heute los ist. Du willst uns was sagen? Schreib eine Mail an 0630@wdr.de. Oder schick uns eine (Sprach-)Nachricht an 0151 15071635.  |  audio

Podcastcover nah dran

nah dran - die Geschichte hinter der Nachricht

audio

Logo ImPuls

ImPuls - die Kolumne

Hier gibt's Kolumnentexte, an denen Sie sich reiben können. Wir sind keine Wahrheitsaposteln, sondern Diskussionskatalysatoren. Lassen Sie uns in den Austausch gehen.  |  mehr

Landtag Düsseldorf mit Fernsehturm

Mehr aus der Landespolitik

Auf der Landespolitikseite finden Sie WDR-Berichte, Videos und Audios zu den wichtigen, aktuellen landespolitischen Themen.  |  mehr

Schriftzug: "Lokalzeit"

Geschichten aus der Region

Lokalzeit.de steht für die Menschen, die unser vielfältiges NRW mit ihren inspirierenden Ideen prägen. Aus dem Rheinland, Ruhrgebiet oder Westfalen.  |  mehr

Symbolbild: Schaltkreise, Umriss eines Gehirns und die Buchstaben KI

Künstliche Intelligenz

Künstliche Intelligenz (KI) ist zu einem integralen Bestandteil unseres täglichen Lebens geworden. Wieviel disruptive Energie, wieviel Innovationskraft in ihr steckt, lässt sich noch nicht erahnen. Hier wird das Thema aus verschiedenen Perspektiven beleuchtet.  |  mehr

Darstellung: zum Seitenanfang