#WAT25: Archive und Cyberangriffe – Lücken vermeiden durchVorsorge?
Moderation: Sarah Rudolf (LVR-Archivberatungs- und
Fortbildungszentrum, Pulheim)
## **Cyberangriff auf die Südwestfalen IT (SIT) – Werkstattberichte aus betroffenen Archiven**
Wie verwundbar Archive durch Cyberangriffe sind, mussten die Kreis- und Stadtarchive in Südwestfalen 2023 schmerzlich erfahren. Jörg Endris Behrendt (Kreisarchiv Olpe) und Daniel Schneider (Stadtarchiv Siegen) berichten von dem massiven Ransomware-Angriff auf den IT-Dienstleister Südwestfalen-IT, der über 100 Kommunen lahmlegte. Die wochenlange Betriebsunterbrechung und der Rückgriff auf improvisierte Notlösungen, wie private Endgeräte und kurzfristig eingerichtete Homepages, zeigten drastisch, dass Archive dringend Notfallstrategien für den Totalausfall ihrer digitalen Infrastruktur benötigen. Beide Referenten heben hervor, dass Archive angesichts eines solchen Angriffs auf eine umfassende Vorsorge angewiesen sind, um handlungsfähig zu bleiben.
**Jörg Endris Behrendt** schilderte, wie das Kreisarchiv Olpe nur durch glückliche Umstände handlungsfähig blieb: Zufällig lagen Excel-Exporte aller Findbücher vor, sodass trotz der komplett ausgefallenen Archivsoftware ACTApro zumindest grundlegende Rechercheanfragen beantwortet werden konnten. Die Archivarbeit war dennoch stark eingeschränkt, da zentrale digitale Funktionen erst Monate später wieder voll zur Verfügung standen. Die zwischenzeitliche Umstellung auf improvisierte Lösungen wie private Endgeräte und manuell koordinierte Arbeitsprozesse war für die Mitarbeitenden enorm belastend.
**Daniel Schneider** vom Stadtarchiv Siegen ergänzte diesen Erfahrungsbericht mit weiteren drastischen Schilderungen aus der eigenen Praxis. Durch den Angriff waren digitale Findmittel lokal zunächst nicht mehr erreichbar. Die Mitarbeitenden des Archivs mussten teilweise auf die gedruckte Post als Kommunikationskanal für Anfragen zurückgreifen, was die Arbeitsabläufe erheblich verlangsamte. Schneider erwähnte eindrucksvoll, wie die Redaktion der stadtgeschichtlichen Jubiläumspublikation dank einer zufälligen privaten Cloud-Sicherung eines Mitarbeiters ihre Arbeit fortsetzen konnte. Archivinterne Systeme wie ACTApro wurden von der Kommune erst sehr spät wieder in Betrieb genommen. Die unfreiwillig freigesetzte Arbeitszeit wurde jedoch äußerst produktiv für die Erschließung von Rückständen genutzt – mit Karteikasten, Zettel, Stift und nach einiger Zeit auch wieder mit Exceltabellen. Die Beauskunftung von Nutzenden wurde hauptsächlich über die intakten, weil durch das LAV NRW gehosteten, Findmittel im Archivportal NRW aufrechterhalten. Im Dezember 2024 startete schließlich eine umfassende Sensibilisierungskampagne der Südwestfalen-IT, die über Online-Schulungen (SoSafe) die Mitarbeitenden verpflichtend für Sicherheitsfragen sensibilisierte und das Bewusstsein für digitale Bedrohungen stärken sollte.
Ergänzung des Autors: Es gibt einen hörenswerten fünfteiligen Deutschlandfunk-Podcast, der die Ereignisse aus der Sicht verschiedener Dienststellen schildert. Hier geht es zum Forensik-Bericht der SIT.
* * *
## **Who you gonna call?! – Brauchen wir einen digitalen Notfallplan?**
Kirsten Noetzel vom LWL-Archivamt für Westfalen (DiPS-Support) ergänzte das Thema aus einer übergeordneten Perspektive und machte deutlich, dass Archive keineswegs nur zufälliger „Beifang“ bei Angriffen sind, sondern zunehmend gezielt ins Visier genommen werden könnten. In ihrem Vortrag unterstrich sie, dass die Notfallvorsorge, bislang oft nur auf analoges Archivgut bezogen, dringend auf digitale Archivbestände ausgeweitet werden muss. Noetzel verwies auf eine Vielzahl realistischer Bedrohungsszenarien, die deutlich machen, warum Archive sich intensiver mit digitaler Notfallplanung beschäftigen müssen:
Noetzel verdeutlichte mit konkreten Beispielen die Realität der digitalen Bedrohungen für Archive, die weit über Cyberattacken hinausgehen. Darunter ein Brand im Straßburger OVHcloud-Rechenzentrum (März 2021, Autor: heise online), ein Wassereinbruch im Nürnberger Rechenzentrum im August 2023 (Autor: heise online), ein Brand im Uni-Rechenzentrum Bonn (Oktober 2023, Autor: Newsroom Uni Bonn), oder oder die vielleicht politisch motivierte Entlassung der Direktorin des US-Nationalarchivs, Colleen Joy Shogan. Ein gezielter Angriff, der unbedingt hervorgehoben werden muss, erfolgte im August 2024 auf das Berliner Archiv der DDR-Opposition (Autor: Tagesspiegel Checkpoint). Hier sorgte ein Verschlüsselungstrojaner nicht nur für eine temporäre Unverfügbarkeit wichtiger Archivmaterialien, sondern es wird auch weiterhin ein Abfluss personenbezogener Daten vermutet. Ein Exkurs führte zum Internet Archive mit der „Waybeck Machine“. Dieses gemeinnützige Projekt archiviert seit 1996 Webseiten und steht zunehmend unter wirtschaftlichem Druck, etwa durch Klagen und Schadensersatzforderungen, die letztlich das Fortbestehen gefährden könnten. Dies unterstreicht die Verletzlichkeit auch größerer digitaler Archivierungsprojekte.
Noetzel betonte die erheblichen Folgen solcher Notfälle: Zeitverluste, hoher Personal- und Arbeitsaufwand bei der Krisenbewältigung sowie erhebliche finanzielle Schäden. Dazu kommen der drohende Imageschaden und Vertrauensverlust, insbesondere im Bereich sensibler Bestände wie Vor- und Nachlässe. Als essenziell für die Prävention hob Noetzel die Bedeutung von Aufmerksamkeit und Disziplin hervor. Archive müssten die in den meisten Fällen bereits klar vorgegebenen IT-Regeln ernst nehmen, etwa bei der Nutzung von Links in E-Mails oder beim Umgang mit Datenträgern. Ein bewusster Umgang mit Speicherorten, idealerweise auf zentralen Servern statt lokal, sei ebenso unerlässlich.
Für die praktische Umsetzung empfahl sie ein mehrstufiges Vorgehen: Durchführung regelmäßiger Risikobewertungen, intensive Einbindung der Führungsebene und klare Kommunikationswege sowohl intern als auch extern. Archive sollten stets aktuelle Notfallpläne oder Notfallkarten mit relevanten Ansprechpartnern und Rufnummern bereithalten und regelmäßig aktualisieren. Ebenso sei es wichtig, organisatorische Strukturen wie Notfallbeauftragte, Notfallteams und gegebenenfalls Notfallverbünde aufzubauen und regelmäßig in Übungen und Schulungen zu trainieren. Im Ernstfall gelte es, keine Zeit zu verlieren und proaktiv sowie offen zu kommunizieren, um die Arbeitsfähigkeit schnellstmöglich wiederherzustellen. Fragen wie „Welche Daten sind unverzichtbar und müssen zuerst gesichert werden?“ sollten bereits im Vorfeld beantwortet und entsprechende Priorisierungen vorgenommen werden.
* * *
## **Einblicke in die Welt der IT-Expert:innen: Informationssicherheit und Notfallmanagement bei Cyberangriffen**
Jannes Riffert und Marc Malwitz von der LWL.IT Service-Abteilung rundeten das Panel mit einem organisatorischen und technischen Überblick über Mechanismen und Strategien der Informationssicherheit bei digitalen Archivsystemen wie DiPS.kommunal ab. Die beiden betonten, dass Archive ihre digitale Resilienz durch gezielte Sicherheitsstrategien erhöhen müssen. Anhand des elektronischen Langzeitarchivsystems DiPS.kommunal erläuterten sie, wie detaillierte Risikoanalysen nach BSI-Standard durchgeführt werden und welche konkreten Verteidigungsstrategien in der Praxis relevant sind. Besonders die Bedeutung des „Zero Trust“-Prinzips zur Begrenzung von Zugriffsmöglichkeiten bei Cyberattacken sowie der Einsatz vielfältiger technischer Maßnahmen wie segmentierte Netzwerke und Schutzmechanismen gegen DDoS-Angriffe wurden anschaulich dargestellt. Dazu sind Ansätze zu nennen zu nennen, wie die Identifikation von Schwachstellen, systematische Risikoanalysen und konsequente Sicherheitsmaßnahmen. Die praktische Umsetzung bei DiPS.kommunal zeigt, wie effektiv ein integriertes Informationssicherheits-Managementsystem Risiken minimieren kann. Dennoch verweisen sie darauf, dass auch die Kund:innenseite – sprich die Archive selbst – aktiv werden und ihre internen Prozesse entsprechend anpassen müssen. [Anmerkung Kirsten Noetzel]: Denn letztendlich ist DiPS.kommunal nur verantwortlich für die Primärdaten, die archiviert wurden, nicht aber für alle weiteren Komponenten, die von lokalen IT-ABteilungen betrieben und gesichert werden müssen (s. Grafik zu ihrem Vortrag im Titelbild).
## Reaktionen aus dem Publikum zu allen drei Vorträgen
**Dominic Eickhoff (LWL-Archivamt für Westfalen, Autor) eröffnete die Diksussionsrunde mit einer kritischen Nachfrage zur Nachhaltigkeit von ausgedruckten Findmitteln, was Schneider am Ende seines Vortrages als mögliche Sicherheitsmaßnahme angedeutet hatte.**
**Daniel Schneider** ordnete daraufhin seine Aussage ein: Die ausgedruckten Findmittel, entweder auf Papier oder sogar als PDF-Exporte, sollten lediglich als temporäre Überbrückungslösung bei einem kompletten Ausfall digitaler Infrastrukturen dienen, nicht als dauerhafte Rekonstruktion der Archivsysteme. So könnte das Archiv weiterhin Nutzende beraten. **Kirsten Noetzel** ergänzte, dass gedruckte Findmittel, wenn überhaupt, nur sinnhaftig sein, wenn sie regelmäßig neu ausgedruckt würden und bezweifelte die Nachhaltigkeit davon. **Marc Malwitz** erläuterte technisch, dass Ausdrucke nur als „letzter Notanker“ dienen könnten. Entscheidend sei vielmehr eine regelmäßige Sicherung der Findmittel in Form von AFIS-Datenbanken selbst, idealerweise durch API oder andere Schnittstellen abgesichert, um die Zugriffsprozesse zu überwachen und Missbrauch zu vermeiden. Hierbei sollte man auf die AFIS-Hersteller zugehen und sich über deren Sicherheitsarchitektur genau informieren lassen.
**Bettina Joergens (Landesarchiv NRW) betont die Attraktivität digitaler Notfallverbünde**.
**Bettina** **Joergens** betonte die Attraktivität digitaler Notfallverbünde aus Noetzels Vortrag nach analogem Vorbild, verwies aber zugleich darauf, dass digitale Notfallverbünde andere organisatorische Voraussetzungen erfordern. **Sarah Rudolf** ergänzte hierzu, dass digitale und analoge Notfallverbünde aufgrund der unterschiedlichen technischen Anforderungen und Kompetenzen nicht deckungsgleich organisiert werden könnten, da man sich stark an kommunalen IT-Dienstleistern und -Verbünden orientieren müsste.
**Katharina Thiemann (LWL-Archivamt für Westfalen) bemängelt die teilweise nachrangige Stellung der Archive in der digitalen Sicherheitsinfrastruktur der Kommunen**
**Marc Malwitz** reagiert darauf mit der ähnlichen Feststellung, dass es bzgl. Archiven häufig einen fatalen Fehlschluss geben: Dadurch, dass Archive oft nur dem Kulturbereich zugeordnet werden, sinke auch deren Priorisierung der Wiederherstellung digitaler Dienste nach Sicherheitskrisen – und das obwohl Archive eigentlich höchste Ansprüche an die IT-Sicherheit haben sollten. Er forderte, Archive müssten in den Kommunen als zentrale Informationsressourcen wahrgenommen und entsprechend priorisiert werden.
**Bärbel Sunderbrink (Stadtarchiv Detmold) kommentiert die potentiellen Herausforderungen digitaler Notfallverbünde**
Als ehemalige Notfallverbundsprecherin des spartenübergreifenden (analogen) Notfallverbunds Detmolds äußerte sie Verständnis für den Vorschlag digitaler Notfallverbünde. Sie teilte jedoch Bettina Joergens Einwand, dass in der Praxis spürbar andere organisatorische Herangehensweisen erforderlich seien als bei analogen Verbünden und fragte, ob man deswegen in dieser Sache nicht besser mit anderen Kultureinrichtungen zusammenarbeiten solle. **Kirsten Noetzel** stimmte zu, grenzte die Ansprüche an die Sicherheit in Archiven jedoch aufgrund der Einzigartigkeit digitaler Archivalien von anderen Kulturbereichen ab, äußerte aber gleichzeitig Offenheit für neue organisatorische Vorschläge aus der Fachgemeinschaft.
**Jochen Thesmann (Stadtarchiv Hamm) fragt nach internationalen Vergleichen und technologische Herausforderungen** , **verglichen bspw. mit den stärker digitalisierten baltischen Staaten oder der Ukraine.**
**Marc Malwitz** verwies auf die Probleme, die sich aus der föderalen Struktur Deutschlands und der damit verbundenen Vielzahl verschiedener IT-Dienstleister ergeben. Diese Fragmentierung sei ein signifikanter Schwachpunkt, der es erschwere, einheitliche und effiziente Schutzstrategien gegen Cyberangriffe zu implementieren. Malwitz empfahl dringend, Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam zu verfolgen und Sicherheitsrichtlinien konsequent umzusetzen. Ein Beispiel sei der Verzicht auf HTML-formatierte E-Mails, die erhebliche Sicherheitsrisiken bergen – E-Mails sollten lieber in Plaintext empfangen und gesendet werden, so seien auch schädliche Links frühzeitig als solche zu erkennen. Sarah Rudolf ergänzt, dass sich das BSI regelmäßig auf der Ebene der EU mit anderen Staaten koordiniere und, sowohl regelmäßige Berichte als auch Ad-hoc-Warnungen herausgebe.
**Matthias Senk (LVR-AFZ) fragt nach Möglichkeiten für Archive bei Notfallübungen im digitalen Kontext mitzuwirken, so wie es für den analogen Bereich bereits etablierte Routine sei.**
**Kirsten Noetzel** empfahl ausdrücklich regelmäßige Übungen mit klaren Eskalationswegen und definierten Verantwortlichkeiten, alles in Kooperation mit den IT-Abteilungen. Diese Übungen sollten sowohl auf technischer Ebene (Backup-Restore-Prozesse) als auch auf organisatorischer Ebene (Krisenkommunikation, Priorisierung der Datenrettung) durchgeführt werden, um Schwachstellen frühzeitig zu erkennen und zu beheben. Marc Malwitz verwies auf das Business Continuity Management, das in anderen Branchen bereits etabliert ist und auch abstrahierbare Vorlagen für Archive liefern könnte.
**Daniel Schneider zur Transparenz der Südwestfalen-IT**
Auf eine Frage, inwiefern die SIT geholfen hätte, die Findmittel wiederherzustellen, verneinte Schneider und kritisierte die mangelnde Transparenz der Südwestfalen-IT bei der Rekonstruktion der Infrastrukturen nach dem Cyberangriff. Er berichtete, dass weiterhin Forensiker das Darknet nach Datenabflüssen überwachten, um eventuelle Veröffentlichungen gestohlener Daten durch die Hackergruppe „Akira“ aus Russland frühzeitig zu erkennen. Dabei verwies er auf die ausgenutzte Citrix-Lücke (VPN), die den initialen Zugang ermöglichte, und betonte die Wichtigkeit, solche Sicherheitslücken umgehend zu schließen.
**Claudia Becker (Stadtarchiv Lippstadt) greift die Risiken zentralisierter IT-Infrastrukturen erneut auf.**
Claudia Becker äußerte ihre Bedenken gegenüber einer zu starken Zentralisierung der IT-Infrastruktur auf wenige Anbieter, da dies im Fall eines Cyberangriffs erhebliche Risiken birgt. Sie berichtete, dass in Lippstadt in der Vergangenheit zwar zentrale Dienste wie Outlook betroffen waren, lokal gehostete Archivsysteme und Telefonsysteme hingegen funktionstüchtig blieben, da diese durch andere Stellen betrieben wurden. Becker plädierte deshalb für eine stärkere dezentrale Sicherung kritischer Archivsysteme.
**Die Diskussion schloss mit dem Konsens, dass Archive sich noch stärker proaktiv auf digitale Krisenszenarien vorbereiten und durch intensiven Austausch sowie realitätsnahe Übungen ihre Resilienz stärken sollten.**
* * *
OpenEdition schlägt Ihnen vor, diesen Beitrag wie folgt zu zitieren:
Dominic Eickhoff (13. März 2025). #WAT25: Archive und Cyberangriffe – Lücken vermeiden durchVorsorge? _archivamtblog_. Abgerufen am 13. März 2025 von https://archivamt.hypotheses.org/26178
* * *
* * * *
## Autor: Dominic Eickhoff
Fachberater für Digitalisierung im LWL-Archivamt für Westfalen Alle Beiträge von Dominic Eickhoff anzeigen
