Von Sonntag auf Montag (30. Oktober 2023) gab es einen Ransomware-Angriff auf die Südwestfalen IT (das ist ein IT-Dienstleister für Kommunen). Waren erst nur einzelne Kommunen als betroffen bekannt, hieß es später, dass in 72 Kommunen in Südwestfalen nicht mehr viel bezüglich IT gehe. Inzwischen sind wir eine Woche weiter, und es stellt sich heraus, dass wohl über 100 Kommunen als Kunden der Südwestfalen IT betroffen sind und jetzt „einen Notbetrieb“ mit alten PCs aufziehen müssen. Der Vorfall zeigt die Gefahr zentraler IT-Dienste, wenn diese ausfallen oder gehackt werden.
Der Cybervorfall
Ich hatte ja im Blog-Beitrag Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück zeitnah auch über den „Hack“ der Südwestfalen IT berichtet, der Kommunen im südlichen Westfalen getroffen hat. Dort gehe nicht mehr viel, die betreffenden Verwaltungen seien nach einem Cyberangriff vom Wochenende offline und weder telefonisch noch per Mail erreichbar. Im Blog-Beitrag hatte ich dargelegt, dass die Südwestfalen IT ein kommunaler IT-Dienstleister mit Sitz in Hemer und Siegen ist. Dessen Fokus liegt auf dem E-Government, sprich, der Dienstleister übernimmt die IT diverser Kommunen.
Meinen ersten Informationen nach sollten um die 70 Kommunen von Arnsberg über Soest bis zur Kreisverwaltung Kreisverwaltung Siegen-Wittgenstein betroffen sein. In diesem Artikel heißt es, dass primär die 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige externe Kunden im Bundesgebiet betroffen seien. Der Anbieter Südwestfalen IT hat folgende Stellungnahme auf dieser Seite veröffentlicht (per http-Protokoll eingesehen werden).
Seit diesem Zeitpunkt sind die Verbindungen der Nutzer zum Rechenzentrum gekappt, um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, so dass die Kommunen die betreffenden Dienste nicht mehr nutzen können. Der IT-Dienstleister steht zwar mit dem BSI und dem LKA sowie externen Sicherheitsdienstleistern in Kontakt. Aber das wird an der Situation nach meinem dafürhalten kurzfristig nichts ändern. Der Dienstleister muss den Infektionsweg ermitteln, die System säubern und neu aufsetzen und dann schrittweise wieder in Betrieb nehmen. Angesichts der Komplexität dürfte dies eine Mammut-Aufgabe sein. Von der SIT heißt es dann auch, dass man über die Dauer des Ausfalls nichts sagen könne.
In den Kommunen geht nichts mehr
In den betroffenen Kommunen geht nichts mehr (siehe auch meinen Beitrag Cyberangriff auf Südwestfalen IT trifft die 72 Kommunen mehr als erwartet), und das hat drastische Folgen, wie der WDR berichtet.
- Anträge in Sozialämtern können teilweise nicht bearbeitet werden, Auszahlungen funktionieren oft nicht (der Vorfall begann am Monatsende),
- in einigen Einwohnermeldeämtern kann man keine Ausweise bekommen,
- bei manchen Standesämtern funktioniert die Registrierung von Todesfällen oder Geburten nicht.
- In betroffenen Zulassungsstellen können keine Autos an- oder umgemeldet werden.
- Laut WDR seien auch Computersysteme in Krankenhäusern betroffen und funktionieren teilweise nicht mehr.
In Haltern und Dorsten bezieht sich der Ausfall hingegen nur auf Teile der Internetseite, in Borken soll die gesamte Internetseite betroffen sein. Seit wenigen Tagen gibt es die Notfall-Seite des SIT (danke an den Leser für den Hinweis), wo über den Stand informiert werden soll. Dort heißt es, dass primär die 72-Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und die Stadt Schwerte betroffen seien. Darüber hinaus seien weitere Kunden außerhalb des Verbandsgebietes betroffen, die einzelne Fachverfahren nutzen.
Blog-Leser Bernie berichtet hier, dass einzelne Gemeinden sich inzwischen bestmöglich helfen, indem sie intern neue Mininetzwerke aufbauen, WLAN per Mobilfunkanbieter nutzen und Handys verteilen. Weitere Kommunen bauen zudem gerade Not-Homepages auf und lassen die Adressen verbreiten. Bernie hat einen Link auf diese Seite gepostet, wo eine kurze Liste von verfügbaren Infoquellen der einzelnen Landkreise samt Telefonnummern zu finden ist. Und die Stadt Borken baut gerade einen neuen Webauftritt auf.
Es sind wohl mehr Kommunen betroffen
Der Angriff auf den IT-Dienstleister erweist sich als GAU für die betroffenen Verwaltungen, zeigt aber auch das Dilemma des Ganzen auf. Einerseits haben die Kommunen oft keine Chance, ihre eigene IT (sicher) zu betreiben. Es ist daher naheliegend, auf Dienstleister zurückzugreifen und es haben sich ja einige kommunale IT-Dienstleister gebildet. Andererseits sind Angriffe auf IT-Dienstleister inzwischen an der Tagesordnung. Gelingt es einem Angreifer diese Systeme zu hacken, hat er quasi den Jackpot. Denn er bekommt Zugriff auf die Daten der Kunden und kann den Schaden potenzieren.
Dann hängt es vom IT-Dienstleister und dessen Sicherheitskonzepten ab, wie groß der Schaden wird und wie lange die Folgen anhalten. In obigem Fall ist der Schaden wohl gewaltig. Jens Lange führt obige interaktive Übersichtskarte mit IT-Sicherheitsvorfällen auf seiner Seite Kommunaler-Notbetrieb, in der er Cybervorfälle einträgt. Der obige Vorfall ist bereits mit einem Eintrag vorhanden (die betroffenen Kommunen sind wohl nicht aufgeführt).
Am Wochenende habe ich Tweets von Jens Lange gesehen, dass es nicht bei den oben genannten 72 betroffenen Kommunen bleibe. Lange gibt an, dass er bereits bei 103 Betroffenen sei.
Stadtverwaltung von Schleiden, sowie die Stadt- und Kreisverwaltung Euskirchen sind ebenfalls betroffen. Damit erhöht sich die Zahl auf 88 Kommunalverwaltungen. 2/
Wir begrüßen aus dem Kreis Unna die Kommunen Werne, Fröndenberg, Selm und Holzwickede, als weitere Betroffene (Schwerte und Lünen hatte ich bereits erfasst). Damit sind wir jetzt bei 92 Kommunalverwaltungen. 3/
Wir sind bei 103 Kommunalverwaltungen. Die Serviceportale von Stadt u. Kreis Recklinghausen mit seinen Städten Castrop-Rauxel, Datteln, Dorsten, Gladbeck, Haltern am See, Herten, Marl, Oer-Erkenschwick, Waltrop und der Kreisverwaltung Ennepe-Ruhr-Kreis in Schwelm sind offline. /4
Der WDR schreibt aktuell in diesem Beitrag, dass die Angreifer Lösegeld erpressen wollten. Da es sich um eine Ransomware-Infektion handelt, ist der Schadensumfang bisher unklar. Es sollte davon ausgegangen werden, dass auch Daten von Bürgern von den Servern der Südwestfalen IT abgeflossen sind. Prof. Denis Kipker, der IT-Sicherheit lehrt, schreibt auf X:
So kann es nicht mehr weitergehen: Entweder Länder und Kommunen steuern in der Vereinheitlichung des Cybersicherheitsniveaus nach, oder wir brauchen eine einheitliche bundesgesetzliche Regelung für die Cybersicherheit in der öffentlichen Verwaltung.
und verlinkt auf diesen WDR-Artikel vom 2. November 2023, wo die Folgen des Angriffs beschrieben werden.
Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Im Hochsauerlandkreis soll das ja nur die E-Mail betreffen:
https://notfallseite.sit.nrw/hochsauerlandkreis/?tx_news_pi1%5Baction%5D=detail&tx_news_pi1%5Bcontroller%5D=News&tx_news_pi1%5Bnews%5D=98&cHash=bca9c6f02dd4d4d765478b9e6cd0d1dd
Immerhin sind sie noch per Fax zu erreichen ;-)
Ach, was macht das schon: Deutschland hat ja im letzten Vierteljahrhundert nun wirklich alles dafür getan, daß solche Vorfälle bestens abgesichert sind und die dazugehörigen Fachkräfte geschult, bzw. mit ihrer Gehaltspolitik für Deutschland attraktiv gemacht…
So eine Aussage ohne deutliche Hinweise auf Sarkasmus ist gewagt… :-)
Wenn ich „und jetzt „einen Notbetrieb“ mit alten PCs aufziehen müssen“ lese, gruselt es mich. Wenn diese alten PCs dann noch mit Windows 7 oder irgendeiner anderen nicht mehr supporteten Version von Windows laufen, dann ist man ja noch verwundbarer als vorher.
Was nützen dann auch alte PCs, wenn die Daten der Storagesysteme verschlüsselt sind. Ich will hoffen, dass wenigstens die Backups nicht auch noch verschlüsselt wurden. Ich habe einmal bei einem Kunden das ganze Elend vom Tage des Angriffs bis zur Wiederherstellung des normalen Betriebs mitgemacht. Aber hier ist es ja der Dienstleister selber, der offensichtlich seine Hausaufgaben nicht gemacht hat.
Und nach wie vor sind Attacken über Social Engineering am erfolgreichsten. Angreifer benötigen gar nicht solch herausragendes IT-Wissen. Die notwendigen Zugangsdaten liefern in der Regel die Mitarbeiter des anzugreifenden Unternehmens selber. Und wenn dann das AD nicht nach der Empfehlung von Microsoft aufgebaut und auch noch jeder mit Domänenadminrechten ausgestattet ist, ist ein Angriff eher ein Kinderspiel.
Ich frage mich gerade ernsthaft, wie das Storage verschlüsselt worden sein soll, entweder haben eine komplett komprimitterte VMWare Umgebung oder die setzen auf ein Produkt aus dem Hause Microsoft (wo das ja eher gang und gebe ist verschlüsselt zu werden, gehört ja mittlerweile „zum guten Ton“ :D ).
Selbst „Domönen-Admin“ Rechte würde bei uns max. Schaden am AD anrichten, aber niemals auf System darunter oder gar am Backup. Und du has Recht, wenn man Personen außerhalb des dedizierten Fachbereichs „Domän-Admin“ Rechte erteilt, gehört man entlassen und der das zugelassen hat zur vollen Verantwortung gezogen.
Die virtuellen Netze mit den Servern darin der einzelnen Komunen werden ja sicherlich untereinander bei dem Dienstleister voneinander getrennt sein, so dass z.B. ein Angreifer nicht direkt von einer Stadt zur Nächsten springen kann. Wenn jetzt mit einem Angriff auf den Dienstleister all diese Komunen ganz oder teilweise ausgeknipst wurden, muss demnach was auf einer Ebene darunter angegriffen/verschlüsselt worden sein. „Darunter“ ist wohl der Hypervisor und das SAN, auf dem die Netze/Server der einzelnen Komunen gehostet werden. Von Attacken auf unzureichend abgesicherte VMWare-Umgebungen ließt man ja immer wieder, nicht die aktuellen Patches drauf, SAN-Storage, ESXi-Hosts und VCenter nicht in separaten Netzen, nicht per Firewall gegen unbefugte Zugriffe gesichert, vielleicht sogar aus dem iNet erreichbar, mir stellen sich die Nackenhaare auf, wenn ich mir weiteres vorstelle. Ich hoffe nicht.
Klingt alles nicht gut, und ich fürchte, die notwendige forensische Untersuchung zur Aufklärung des Vorfalls (tausende PC-Arbeitsplätze als mögliches Einfallstor für die Cyberattacke sind betroffen) wird Wochen (Monate) in Anspruch nehmen.
Wie schlecht muss das IT-Sicherheitskonzept von dem Dienstleister sein, dass direkt alle betroffen sind?
Wenn eine Ransomware alle Server jeder Kommune verschlüsselt, dann hat der Dienstleister komplett versagt, da gibt es auch keine Ausreden mehr. Es spielt auch keine Rolle welche Anforderungen jede Kommune hat(te), der Dienstleister hätte dafür sorgen müssen, dass die Systeme nicht „zentral von einer Instanz“ verwaltet werden.
Ich finde das unfassbar von dem Dienstleister. Mal sehen welche Seiten die aus dem Ausredenkatalog verwenden am Ende.
https://www.kununu.com/de/suedwestfalen-it/kommentare
2,8 – ROFL. Zieht man die Jubelperser der HR und GL noch ab, dann wohl gegen 1,x :-) Na – kein Wunder also
Danke für den Tipp. Das lässt wirklich tief blicken. Gleich der erste Kommentar von Okt 2023 ist nur kleiner Auszug.
Bewerberfrage: Warum gab es bis vor kurzem noch drei Geschäftsführer, jetzt gar keinen mehr? Antwort: Jeder Geschäftsführer hat den Arbeitgeber in den letzten Jahren auf unterschiedliche Weise bestmöglich heruntergewirtschaftet. DIe guten MA sind weg, GF gibt es keine mehr. Die restlichen MA sind fast alle demotiviert und haben innerlich gekündigt.
Ein Technik-affiner Chef kann sogar schädlich, sein, weil er ständig – er ist ja der Chef – überall reinpfuscht und meint alles besser zu können. Und am Ende bleibt nur das Chaos…
Das schädlichste sind _studierte_ BWL’er, die toppen jeden noch so „Tech-Affinen“ Vorgesetzten: absolut keine von Ahnung von irgendetwas aber „Excel sagt nein“.
es ist leider immer noch so das IT-Sicherheit in vielen Bereichen klein geschrieben wird. als gravierendes Beispiel wäre da zum Beispiel ein Krankenhaus das bis zum heutigen Tage noch Windows 7 betreibt.
zudem wird vielfach vernachlässigt was in solchen Fällen zu passieren hat. angefangen bei der datensicherung über wiederherstellung und notfallszenarien.
das Kind muss halt erst in den Brunnen fallen damit überhaupt etwas passiert. leider wird dann auch vielfach vergessen dass Sicherheit etwas ist was ständig überprüft werden muss.
dazu kommt noch das zu wenig für Spezialisten gezahlt wird als dass man wirkliche fachkräfte bekommt und weiterbildungen des Personals in vielen Fällen gar nicht angeboten werden.
als grundlegende Maßnahme im Vorfeld würde sich ein endpoint detection and response (EDR) anbieten, welches generell das Verhalten auf der gesamten Infrastruktur überwacht und solche ransomware Angriffe direkt unterbinden kann.
da sowas allerdings zusätzliche Kosten verursacht wird billigend in Kauf genommen dass eine Infrastruktur dann halt angreifbar ist
Krankenhäuse sind aber ein sehr spezieller Fall, da Geräte z.T. für „Leben“ verantwortlich sind und der Hersteller die Software so schrottig geschrieben hat, dass die nur bei einer bestimmten und exakten OS Version die Funktion gewährleisten.
Hier sind nicht die Krankenhäuser die schuldigen, sondern die Firmen, die solche Geräte herstellen, diese sollte man additiv in die Haftung nehmen. Denn es ist wohl klar, dass ein Gerät für weit >100k nicht einfach nach 5 Jahren ausgetauscht wird. Durch die neue Maschinenrichtlinie wird so mancher dieser Top(?) Hersteller (z.B. Siemens) vor Herausforderungen stehen was die Sicherheit besagte Geräte betrifft (wie viel andere Maschinenhersteller auch).
Verstehe auch nicht, warum zur Steuerung von Maschinen immer wieder Windows Systeme verwendet werden, liegt wohl an der sehr geringen Verfügbarkeit guter Programmierer die auch im Linux- oder Unix Umfeld progrmamieren können :-/
Man sollte erwarten dürfen, dass eine Kommune die sich von einem IT-Dienstleister abhängig macht, auch einen „Plan B“ in der Schublade bereit hält, falls dieser mal doch Opfer eines Cyberangriffs wird… – hier scheint eher ein naiver Wunsch der Vater des Gedanken gewesen zu sein. Besteht nicht die Möglichkeit den Bereich Kfz-Zulassungen mit Ausnahmegenehmigungen und schriftlichen Dokumenten ans Laufen zu bringen. Ich denke hierbei an die vielen Händler die Autos verkaufen, die nicht angemeldet werden können, Privatleute, die auf ihr Kfz angewiesen sind, Spediteure mit Aufträgen für die neuen, noch nicht zugelassenen Lkw usw. Es braucht Mut für Entscheidungen die getroffen werden müssen, statt Arbeit nach „Schema F“.
Wieso? Sie kennt die politischen Zusammenhänge und wie man dann solche Posten bekommt. Es ist oberpeinlich, dass ein derartiger Dienstleister wie SIG es nicht schafft zumindest in 24 bis 48h wieder Online zu sein. Keine Backup Systeme?
Würde mich mal interessieren wie deren Sicherheitskonzept aussieht. Keine Backup Systeme, keine Netzwerküberwachung, kein XDR. Firewall wahrscheinlich mit Fritz Router. Wenn ich die Admins so mancher Kommune sehe, muss man sich nicht wundern.
Nach Informationen der FAZ arbeitet der betroffene IT-Dienstleister an einem forensischen Bericht, der Ende der Woche fertiggestellt werden könnte.
Auf Anfrage heißt es aber nur von einer temporären Googlemail-Adresse
von Südwestfalen-IT:
„Wir analysieren derzeit alle Systeme und sichern sie ab. Erst danach können wir über einen Zeitplan zu einer Wiederherstellung einzelner Fachverfahren sprechen.“
https://www.faz.net/aktuell/wirtschaft/hackerangriff-auf-suedwestfalen-it-was-sie-ueber-die-cyberattacke-wissen-muessen-19297494.html
(Quelle: FAZ.NET)
Ansonsten:
Geschäftliche Kommunikation über Gmail (Google Mail)?
Puh…, fallls zutreffend, schwere Kost und ich bin sprachlos.
Ergänzend zu meinem Kommentar:
Gmail: Google liest eure E-Mails mit
https://www.kuketz-blog.de/gmail-google-liest-eure-e-mails-mit/
(Quelle: Kuketz IT-Security)
Verantwortung abzugeben war schon immer eine dumme Idee. Dienste und Systeme von vielen zu zentralisieren, die nächste dumme Idee, sowas hat man uns früher in der Schule beigebracht: Resilienz durch Dezentralisierung. Wie viele Vorfälle sind noch nötig, um zu realisieren, dass dies ein Irrweg ist?
72 oder mehr Kommunen wochenlang handlungsunfähig, weil ein IT-Dienstleister wegen eines Verdachts sich vom Netz abklemmen musste und nun von Forensik wochen- oder monatelang analysiert wird. Hätten alle Kommunen On-Premise-Lösungen betrieben, wären die Dienste von eine Kommune ausgefallen. =)
Da ist es wieder, das böse Wort, On-Premise… ‚Der alte Geist… ‚Du musst loslassen…‘ ‚Geh mit der Zeit…‘ ‚Wir machen das alle so…‘
Quack Quack.
Gruß
Wie soll denn ein kleines Rathaus mit 2-3 IT-Leuten 50 unterschiedliche Verfahren betreuen und Schnittstellen betreiben? Wo sollen denn die 20 benötigten Stellen herkommen, die zudem auch noch gut ausgebildet und somit auch gut bezahlt werden müssen?!
Das ist aber auch ein Kernproblem der Systeme: jede Kommune hat überall eigene Fachverfahren und Anwendungen, hier sollte mal ein Standard geschaffen werden, an dem sich jede öffentliche Einrichtung halten muss. Das erleichtert auch die Ausbildung von Fachpersonal und vereinheitlicht Abläufe und Prozesse.
Ob das am Ende zentral oder vereilt verwaltet wird, spielt dann keine Rolle mehr.
Standardisierte Anwendungen beinhaltet jedoch auch dann wieder das Risiko, dass eine noch nicht gefixte Sicherheitslücke sich sofort auf alle Anwender durchschlägt – alles hat seine Vor- UND Nachteile, die es abzuwägen und zu remedieren gilt 🤷♂️
Es ist davon auszugehen das die SIT als IT-Dienstleister für eine Vielzahl an Kommunen auch Kopfstelle für das Behördennetzwerk ist. Interessant zu erfahren wäre, ob ggf. auch eine Kompromittierung des Behördennetzwerks durch den SIT-Hack möglich war.
Wenn dem so ist, dürften einige weitere Kommunen, Länder, Bund, etc. ihre IT auf mögliche „Inkonsistenzen“ prüfen und der Hack würde weitere Kreise ziehen.
Es gibt Neuigkeiten dazu.
https://www.spiegel.de/netzwelt/web/suedwestfalen-it-kommunen-wollen-online-erpressern-kein-loesegeld-zahlen-a-038cf064-dc1d-47a1-bc99-38a1a2f9916d
Update:
Siegen: Cyberattacke auf SIT – das sollen die Angreifer sein
Südwestfalen-IT meldet konkrete Fortschritte mit Blick auf Wiederherstellung.
Erste Hinweise auf Cyberkrimineller. Keine Lösegeldzahlung.
Die erste Phase der forensischen Analysen der betroffenen Systeme sei demnach abgeschlossen.
https://www.wp.de/staedte/siegerland/cyberangriff-siegen-so-langsam-geht-es-voran-bei-der-sit-id239974544.html
(Quelle: Westfalenpost)
Südwestfalen IT macht erste Fortschritte:
Die Südwestfalen-IT (SIT) hat die erste Phase der forensischen Analysen der betroffenen Systeme abgeschlossen und nutzt die gewonnenen Erkenntnisse,
um nun alle Kundensysteme in einem systematischen Prozess zu untersuchen.
Hierbei geht die SIT mit größter Sorgfalt vor.
https://notfallseite.sit.nrw/?tx_news_pi1%5Baction%5D=detail&tx_news_pi1%5Bcontroller%5D=News&tx_news_pi1%5Bnews%5D=196&cHash=3f4466c3723c6bf65d049cd77329e1a4
Den Angriff auf die Südwestfalen-IT hat eine hochprofessionelle
Hackergruppe namens „Akira“ vorgenommen.
Ziel von Akira seien immer wieder Server-Systeme,
die ohne eine sogenannte Zwei-Faktor-Authentifizierung laufen.
https://www1.wdr.de/nachrichten/westfalen-lippe/hackerangriff-suedwestfalen-it-hackergruppe-akira-100.html
(Quelle: WDR)