Das Portal Deutsche eVergabe ist Opfer eines Ransomware-Angriffs geworden. Der Angriff erfolgte bereits vorige Woche (8. auf den 9. Sept. 2021), wobei eine Reihe Server verschlüsselt wurden. Aktuell ist das betreffende Portal immer noch nicht funktionsfähig. Das hat Auswirkungen auf öffentliche Ausschreibungen, die über dieses Portal abgewickelt werden. Der Angriff erfolgte über die ungepatchte Confluence-Schwachstelle, die ich Anfang September 2021 im Blog thematisiert hatte.
Anzeige
Blog-Leser Tobias hat in diesem Kommentar auf den Sachverhalt aufmerksam gemacht und schreibt dazu folgendes.
Das Vergabeportal deutsche-evergabe.de ist durch Ransomware down. Wie aus der Statusmeldung vom 12.9. hervorgeht ist das mittelbar auf die Confluence-Lücke zurückzuführen.
Die Confluence-Schwachstelle
Confluence ist eine kommerzielle Wiki-Software, die vom australischen Unternehmen Atlassian entwickelt und als Enterprise Wiki hauptsächlich für die Dokumentation und Kommunikation von Wissen und den Wissensaustausch in Unternehmen und Organisationen verwendet wird, aber zunehmend auch als Basis für öffentliche Wikis im Internet zum Einsatz kommt. Zur Confluence-Lücke hatte ich am 2. September 2021 im Blog-Beitrag Massen-Scans und Angriffe auf Confluence Enterprise Server auf die Problematik hingewiesen.
In der Software Confluence Server und Confluence Data Center gibt es die Schwachstelle CVE-2021-26084 in der OGNL Scriptsprache (Object-Graph Navigation Language). Das ist eine einfache Skriptsprache zur Interaktion mit Java-Code (in der die meiste Confluence-Software geschrieben wurde). Die Schwachstelle kann von Angreifern ausgenutzt werden, um die Authentifizierung zu umgehen und bösartige OGNL-Befehle einzuschleusen. Diese ermöglichen es, ungepatchte Systeme zu übernehmen.
Der Schweregrad wurde inzwischen von 9,8 von maximal 10 bewertet, da die Schwachstelle Remote-Angriffe ermöglicht. Am 25. August 2021 wurden Sicherheitsupdates zum Schließen der Schwachstelle freigegeben. Eine Woche später begannen dann die Angriffe auf die Confluence-Server.
Der Ransomwareangriff auf Deutsche eVergabe
In einer Statusmeldung vom 12.09.2021 bestätigt der Betreiber des Portals, dass in der Nacht vom 08.09.2021 auf den 09.09.2021 ein Ransomware-Angriff mit Lösegeldforderung auf die Server des Portals stattgefunden habe. Binnen kürzester Zeit wurde eine hohe Anzahl von Servern verschlüsselt – damit war die Plattform down und nicht mehr arbeitsfähig.
Der Betreiber arbeitet seitdem mit einem 10-köpfigen Team bestehend aus Technikern und Forensikern daran die Systeme zu entschlüsseln und wieder komplett neu aufzusetzen. Dabei werden die Betreiber von der hessischen Polizei, dem Landeskriminalamt Hessen, Hessisches Ministerium des Innern und Experten der Firmen Sec-Consult, Atos und Heimdal unterstützt. Zum Angriffsvektor schreiben die Betreiber:
Die Forensik hat die bisherige Annahme bestätigt, dass das Eintrittstor ein Atlassian Confluence Server (Drittanbieter) war, dessen Software von einem uns verbundenen Unternehmen eingesetzt wurde. Healy Hudson selbst nutzt dieses System nicht. Die eVergabesysteme waren nicht das explizite Angriffsziel.
Dem Angreifer ging es vordergründig darum in kurzer Zeit automatisiert eine große Anzahl von Serversystemen zu verschlüsseln. Dies war keine Virusattacke, demnach sind auch keine Computer von Anwendern betroffen.
Anhand der Zeitspanne und der Tatsache, dass die Systeme nach dem Angriff dann auch für den Angreifer verschlüsselt und nicht mehr nutzbar waren, schließen wir nach jetzigen Sachstand mit sehr hoher Wahrscheinlichkeit einen Datendiebstahl aus. Hierfür hätte der Angreifer für Reverse-Engineering Aktivitäten mehr Zeit und interne Kenntnisse benötigt. Auch eine Datenkopie wäre aufgrund der extremen Dateigrößen in der Zeit nicht möglich gewesen.
Als Ironie stufe ich aber die folgende Passage in der Statusmeldung der Betreiber ein:
Am 03.09.2021 warnte die Firma Heise vor einer möglichen Lücke im System der Firma Atlassian und empfahl ein Update der Software. Dieses Patch sollte an diesem Wochenende eingespielt werden. Die Ironie des Schicksals lies es zu, dass der Angriff uns zuvorkam. Wir möchten eindringlich jedes Unternehmen bitten Cyber-Kriminalität ernst zu nehmen und Softwaresysteme stetig aktuell zu halten.
Aktuell schreibt der Betreiber, dass es dem Team gelungen sei, einen Großteil der Server wieder zu entschlüsseln. Es wurden neue Netzwerksegmente fertiggestellt. Die Applikationen des Portals werden nun auf neue, unbelastete Servertemplates installiert und sukzessive ausgerollt. Jeder Server erhält nach umfassender Prüfung die Freigabe der Forensik. Da es sich um sehr umfangreiche Systeme handelt, können diese Prüfungen vereinzelnd lange dauern, so der Betreiber. Diese gehen aktuell davon aus, dass die Freigabe am heutigen Dienstagabend (14.09.2021) erfolgen kann.
Anzeige
Die Deutsche eVergabe
Blog-Leser Tobias hat in diesem Kommentar die Aufgabe zusammen gefasst. Über das Portal schreiben Firmen und Behörden Leistungen aus. Da diese öffentlichen Ausschreibungen Fristen haben, ist dieser Ausfall vergaberechtlich gar nicht so trivial. Da müssen ggf. Abgabefristen verlängert werden, was Zuschläge verzögern wird mit entsprechenden weiteren Auswirkungen (spätere Lieferungen etc.).
2015
Es ist schon schlimm wenn man sich in der Opfer-Rolle darstellt und von "Angriffen" redet.Die Warnung vom Atlassian kam noch im August und wurde allen Kunden zugestellt. nett sich auf die Warnung von heise rauszureden. Es ist einfach ein totales versagen der IT Verantwortlichen und der Administration. Überall wird bei Gefahren Schutzausrüstung benutzt, nur bei IT Systemen lässt man die Schutzmechanismen verlottern und beruft sich dann im Schadensfalle auf höhere Gewalt durch "Angriffe".
…sprachs der Ahnungslose, bis er selbst das Ziel des Angriffs wurde :-)
Alt, aber immer wieder passend und wahr ;-)
https://www.youtube.com/watch?v=DWqXsXR8h4E
Die Seite scheint aktuell wieder normal erreichbar zu sein.
Es ist nicht ersichtlich, ob die Anmeldung und Vergaben auch wieder funktionieren.
Zumindest gibt es im Moment keine weiteren Infos auf der Seite.
Tja… und wieder ist das Vergabeportal down und die Betreiber schaffen es nicht mal unter der URL http://www.dtvp.de eine Info online zu bringen, wo man darüber in Kenntnis gesetzt wird, dass es aktuell Probleme gibt, die behoben werden müssen… Aber den Firmen, die Ausschriebungen dort eingestellt haben, wurde ein Newsletter geschickt, der das ganze als technische Betriebsstörung darstellt. Unter https://www.claranet.de/case-studies/staat-trifft-markt-deutsche-plattform-fuer-oeffentliche-auftraege wird die Vergabeplattform als redundant etc angepriesen – davon merke ich gerade herzlich wenig (und hab jetzt leider das Problem, dass Ausschreibungsfristen verlängert werden müssen, wo die Ausschreibung eh schon zeitlich knapp bemessen ist).