Die Stadtverwaltung von Drensteinfurt sowie der Fleischverarbeiter Coboulux SA in Luxemburg sind wohl Opfer von Cyberangriffen geworden. In Drensteinfurt ist man zwar hoffnungsfroh, den Angriff „frühestmöglich“ entdeckt zu haben. Aber die Bürgerdienste sind erst einmal heftig betroffen. Hier einige Informationen zu den neuesten Sicherheitsvorfällen in diesem Bereich.
Cyberangriffe auf Stadtverwaltung Drensteinfurt
Drensteinfurt ist eine kreisangehörige Stadt mit ca. 15.000 Einwohnern im Kreis Warendorf südlich von Münster in Nordrhein-Westfalen. Und deren Stadtverwaltung ist Opfer eines Cyberangriffs geworden. Ich hatte das bereits gestern auf Twitter gesehen – inzwischen wurde mir der Vorfall aber auch per Mail von Lesern zur Kenntnis gebracht.
Meldungen des WDR und der Westfälische Nachrichten zufolge hat der Cyberangriff zu einem „digitalen Blackout“ im Rathaus geführt. Montag (28.11.2922) hatten Mitarbeiter der Verwaltung „erste Unstimmigkeiten“ an den verwendeten IT-Systemen bemerkt. Als Folge wurden alle Server heruntergefahren und die Stadtverwaltung von Drensteinfurt für den Publikumsverkehr komplette gesperrt. Auf der Webseite der Stadt heißt es lapidar, dass man wegen Wartungsarbeiten offline sei und das Rathaus geschlossen habe.
Der Presse gegenüber hat die Stadt dann am Dienstag, den 29. November dann einen Cyberangriff eingeräumt. Von Laura Volkmar aus der Wirtschaftsförderung der Stadt heißt es: „Aus einem laufenden polizeilichen Verfahren wurde am Montag festgestellt, dass ein möglicher Cybercrime-Angriff auf die Stadt Drensteinfurt ausgeführt wurde. Dieses wird aktuell überprüft, und die Polizei Münster wurde eingeschaltet. Zur Sicherheit sind die gesamten Systeme heruntergefahren worden.“ Die Stadt wollte seit dem gestrigen Mittwoch zumindest wieder telefonisch erreichbar sein. In den Schulen der Stadt sollen keine „digitalen Geräte“ in Betrieb genommen werden, bis der Sachverhalt geklärt ist. Hier noch die komplette Meldung der Stadt zum Vorfall.
Aus einem laufenden polizeilichem Verfahren wurde am Montag festgestellt, dass ein möglicher Cybercrimeangriff auf die Stadt Drensteinfurt vorbereitet wurde. Dieses wird aktuell überprüft und die Polizei Münster wurde eingeschaltet. Zur Sicherheit sind die gesamten Systeme heruntergefahren worden.
Die Stadtverwaltung wird ab Mittwoch dem 30.11.2022 zu den üblichen Dienstzeiten wieder telefonisch erreichbar sein. Die Störung in der EDV Anlage hält weiterhin an und es ist bis auf weiteres nur ein eingeschränkter Betrieb ohne EDV-Unterstützung möglich. Ein Notbetrieb besteht in dringenden Fällen über die bekannten Telefonnummern sowie die zentrale Mailadresse drensteinfurt@stdrensteinfurt.onmicrosoft.com. Die Nebenstelle Rinkerode bleibt geschlossen. Die bestehenden Offenlagen des Fachbereich 2 Planen, Bauen, Umwelt können zu den Dienstzeiten in der Zentrale der Stadtverwaltung eingesehen werden. Die Einschränkungen werden noch mindestens bis zum 09.12.2022 vorhalten. Aktuell werden die Systeme geprüft und sukzessive wieder in Betrieb genommen. Wir bitten die Bevölkerung aufgrund der aktuellen Einschränkungen um Verständnis. Bitte verfolgen Sie die örtliche Presse, sowie die Homepage und sozialen Medien der Stadt Drensteinfurt.
Cyberangriff auf Fleischverarbeiter Coboulux SA
Wird zwar die deutsche Leserschaft nicht interessieren – aber die Leser aus Luxemburg (und die Leserschaft aus der Region, wo ich meine Wurzeln habe). Der Fleischverarbeiter Coboulux SA aus dem Großherzogtum Luxemburg ist ebenfalls Opfer eines Cyberangriffs geworden.
Am Freitag gab es einen Cyberangriff. Der Geschäftsführer von Cobolux wird so zitiert, dass „Hacker in die Server eingedrungen sind und alles auf den Kopf gestellt haben. Der Schaden ist groß. Alles wurde blockiert und wir konnten nicht mehr arbeiten.“ Die Computer wurden – vermutlich durch den Ransomware-Angriff, lahm gelegt, die Etikettierung von Waren war nicht mehr möglich.
Der Betrieb ist laut dieser Meldung seit vorigen Samstag, 26.11.2022, geschlossen, wurde aber am Montag wieder geöffnet. Die IT-Spezialisten waren in der Lage, die Systeme am Wochenende wieder instand zu setzen. Aber der Verdienstausfall ist enorm, ebenso wie die Kosten für die Instandsetzung und die Verwaltungsarbeit, „die Wochen dauern wird. Alles muss von Hand gemacht werden“, so der Geschäftsführer. Der Schaden soll sich bereits jetzt auf über 100 000 Euro belaufen. Eine Anzeige wurde erstattet und wird derzeit bearbeitet. Das Unternehmens mit rund 150 Mitarbeitern beliefert das Metzgereien im Land und in der Großregion, Supermärkte, Restaurants usw. mit Fleisch.
Abseits dieser Meldungen wurde die Landau Media GmbH & Co. KG (siehe Screenshot) und die Büro- und Objekteinrichtung Vertriebsgesellschaft mbH (siehe) von der Cuba-Ransomware infiziert. Wird wohl auch nicht der letzte Fall sein. Gerade noch nachfolgenden Tweet gesehen – der sich auf Operational Technology (OT)-Produkte von CODESYS und Festo bezieht – da klaffen gleich drei Schwachstellen in Kontrollsystemen für Steuerungen und Prozesskontrolle. Der normale tägliche Sicherheitswahnsinn eben.
Coboulux SA – Typo oder korrekt? „seit vorigen Samstag, 3.11.2022“ – ggf 26.11. ?
Wenn ab 26.11.: (Schaden/Tage = 16K€ /Tag =700€/Stunde =2083€/Arbeitstag). Für 2K€ bekommt man um die 2-3 Manntage an Experten für SAP, Firewall, Security oder Admins Extern pro Tag. Wenn jedoch Umsatz oder verdorbene Ware dazu kommt …
– Das ist also schlimm, jedoch in Summe noch nicht viel.
– Ich vermute mal, daß man „regelrecht überrascht und schockiert ist“ wenn immer blind vorausgesetzte Etikettendrucker an Schlachtstraße, Fileserver oder einige PCs und Lieferschein-Rechner einfach nicht gehen. Tippe daher neben Sicherheitsdefiziten auf fehlende Notfallplanung
– gängige Ecommerce-Größen in DE rechnen bei tausenden Paketen pro Tag mit 10-tausenden € Umsatz und hunderte € Gewinnverlust pro Minute, Umsatz von vergleichbaren wie „Tönnies“ in DE kenn ich leider nicht.
Wäre es nicht eine Idee, die „eh“ gesichteten Vorfälle irgendwie zu Listen und 1x mal per Monthly-Blog zu veröffentlichen? Könnte Arbeit ersparen, ebenso stell ich fest: Ich kann dem derzeit einfach nicht mehr folgen (was primär an mir liegt).
Das wäre mE ein Alleinstellungsmerkmal für Borncity . Borncity würde wohl den ersten technischer + validen tabellenartigen Cybyerreport näher für IT’ler bieten. Dann vll später selektierbar nach Kriterien wie:
– Unternehmen: Name, Standort, Umsatz
– Incident: zB Dauer, Erkennungszeit, unbekannt bis Zeit X
– Einbruchsart: Web, Mail, API, Service, Unbekannt; Einbruchsvektor: lokal wie Mitarbeiter, remote, etc.
– Externe Kommunikation: zB Detailgrad hoch/mittel/gering, durch Medien, durch Unternehmen, …
Hallo Norddeutsch,
habe mit Interesse deinen Vorschlag mit dem tabellenartigen Cyberreport gelesen. Was ist dein Use Case dahinter – also wofür würdest du es nutzen? Allgemeines Interesse oder konkreter Nutzen für dich?
(Aus der Erfahrung mit KonBriefing Research kann ich sagen: Die Pflege ist richtig Aufwand 😃)
Viele Grüße, Bert
Hi @Bert.
UseCases habe ich mehrere im Kopf. Dabei ist allgemein eine valide Datenlage fast überall defizitär, ob IhrerUumfänglichkeit (keiner spricht gern darüber) oder valider Vergleichbarkeit (überall werden unterschiedliche Kriterien ausgeprägt) oder wisenschaftlich (im Sinne v Korrektheit, valide / heterogene / nicht atomare Aussagen,etc):
1. Ich „sammle“ durch meine Ausrichtung Vorfälle als abschreckendes Beispiel, dies schon seit Jahren oft als PDF, teilmanuell, Filebasierte Attributierung als Searchindex. Dies würde nicht nur mir sondern uns Allen eine Übersicht in Form einer zentralen Datenbasis ermöglichen – gerne auch eine DB mit BLOBs und 1:n Kardinalität bis zum Objekt PDF. And yes, its a bunch of work.
2. Wissenschaftlich – vor Corona und Erkrankung plante ich dazu einmal eine wissenschaftliche Ausarbeitung
3. Für die Community: Transparenz und Wichtigkeit aber auch Abhängigkeit und Impact bzgl Incidents anschaulich zu verargumentieren.
Irgendwann muss es ein CEO doch begreifen – derzeit fahren wir IT imho an die Wand. Die Wand hat dabei viele Namen: Fehlendes Management, Gesamtgesellschaftlicher Impact, Risikoverschiebung zum Endnutzer als Risikomitigation von Anbietern, …