Ist die Stadtverwaltung der Stadt Schriesheim an der Bergstraße Opfer eines Cyberangriffs mit Ransomware geworden? Aktuell ist die Lage recht unübersichtlich, aber Fakt ist, dass seit Dienstag nach Ostern die IT-Dienste der Stadt im Rhein-Neckar-Kreis wegen einer "technischen Störung" nicht nutzbar sind. Das betrifft auch Kindergärten oder ähnliche kommunale Einrichtungen. Ergänzung: Es war ein Ransomware-Angriff, Beachtet die Kommentare mit Nachträgen. Details sind leider unbekannt, denn die wissen in der Verwaltung nicht, was sie tun.
Anzeige
Blog-Leser Jürgen B. K. hat mich per Mail auf den Fall und einen entsprechenden Artikel der Rhein-Neckar-Zeitung aufmerksam gemacht – danke dafür. Auf der Webseite der Stadt Schriesheim ist lediglich von technischen Einschränkungen im Verwaltungsbetrieb die Rede.
Technische Einschränkungen im Verwaltungsbetrieb
19.04.2022
Die Stadtverwaltung Schriesheim ist aufgrund von technischen Problemen vorübergehend nicht erreichbar.
Aus diesem Grund können unsere Dienstleistungen nur in begrenztem Umfang angeboten werden.
Wir werden Sie informieren, sobald die Beeinträchtigungen behoben sind.
Wir bitten um Ihr Verständnis.
Die Rhein-Neckar-Zeitung wirft in diesem Beitrag die Frage auf, ob es eine Störung oder ein Hackerangriff gewesen sei und schreibt: "Alles Daten waren auf einmal verschlüsselt. Auch Schulen und Kindergärten sind nicht zu erreichen." Liest man den Artikel, hat es die Verwaltung von Schriesheim heftig getroffen. Am 19. April 2022, also am ersten Arbeitstag nach Ostern, ging nichts mehr: kein Telefon, kein Internet, kein E-Mail und kein Abruf von Daten vom Stadt-Server.
Die Zeitung zitiert Hauptamtsleiter Dominik Morast mit "Denn alle Daten waren auf einmal verschlüsselt". An dieser Stelle braucht man eigentlich nicht mehr viel weiter zu lesen – denn das ist das typische Bild eines Ransomware-Angriffs, bei dem die Dateien auf dem Server verschlüsselt wurden. Der Mitarbeiter der Verwaltung hofft, am heutigen Mittwoch, den 20.4.2022 mit Hilfe von Fachfirmen wieder arbeitsfähig zu sein. Etwas hilflos wirkt dabei der Artikel der Rhein-Neckar-Zeitung, in dem der Mitarbeiter so zitiert wird:
Die genaue Ursache für diesen Totalausfall ist noch nicht klar: Es kann alles sein, von einer großflächigen Störung bis hin zu einem Hackerangriff. Vielleicht hat auch ein Rathausmitarbeiter eine Schadsoftware geöffnet, die zum Verschlüsseln der Dateien führte.
Eine Lösegeldforderung sei bisher im Rathaus auf dem Postweg noch nicht eingegangen, so Morast. E-Mails können aktuell wohl nicht mehr gelesen werden. Ausgeführt wird, dass die Rechner am Dienstag hochgefahren werden konnten – nach einer Benutzeranmeldung fehlte aber eine Internetverbindung. Der IT-Dienstleister der Stadtverwaltung fand dann im Laufe des Tages heraus, dass die Daten (wohl auf den Servern oder IT-Systemen) verschlüsselt sind. Auch mit dem heutigen Stand 20. April 2022 liefert die Stadt keine weiteren Informationen, versucht aber einen Notbetrieb der Verwaltung für die Bürger aufrecht zu erhalten.
Anzeige
Schriesheim ist eine Stadt an der Badischen Bergstraße mit circa 15.000 Einwohnern. Sie gehört zum Rhein-Neckar-Kreis und liegt 8 km nördlich von Heidelberg und 18 km östlich von Mannheim und ist Teil der Metropolregion Rhein-Neckar.
Besser wird's nicht
Letztes Jahr legte ein Ransomware-Angriff die Landkreisverwaltung von Anhalt-Bitterfeld lahm und führte zu einem Notstand (siehe Notstand nach Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld). Das bringt mich zum nächsten Punkt: Meiner Beobachtung nach müssen wir mit weiteren Fällen wie hier skizziert rechnen – besser wird es also nicht.
Die Tage hatte ich plakativ im Artikel 50% der deutschen IT-Sicherheit veraltet auf die Misere in Punkto Sicherheit in deutschen Firmen und Verwaltungen hingewiesen. Eine Umfrage zeichnete kein sonderlich positives Bild der Cyber-Sicherheit in Unternehmen und Behörden. Im gleichen Zeitraum hatte ich den Artikel BSI-Leitfaden "Informationssicherheit für Landrätinnen und Landräte" veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat, nachdem Kommunen regelmäßig Opfer von Cyberangriffen werden, einen Leitfaden als PDF-Dokument für die Landräte veröffentlicht.
Ob das aber was nützt? Ich hege Zweifel – denn heise hat gerade den Artikel Kommentar: GovTech Campus ist fatales Signal für Digitalisierung der Verwaltung veröffentlicht. Ausgangspunkt ist die Initiative GovTech Campus, eine weitere Gründung aus der Berliner Politik-Szene, die Startups fördern soll, die "Endlich frischer Wind für die Verwaltung – mit freshen Start-ups!" bringen soll. Viel Marketing-Sprech mit Kosten aber vermutlich wenig dahinter.
Die Aktivistin für IT-Sicherheit (den Begriff Hackerin möchte ich vermeiden) und Fachfrau für Verwaltungsdigitalisierung geht in ihrem Kommentar hart mit dieser Gründung um. Sie sieht einen problematischen Trend in der Bundesverwaltung in Form der "Institutionalisierung der Externalisierung". Ihre These: Die "New Public Management"-Bewegung in Deutschland führe dazu, dass die Verwaltung sehr schlank sein muss und alle Aufgaben außerhalb der Kerntätigkeit an externe Akteure abgegeben werde. In Folge funktioniere die Verwaltungsdigitalisierung nicht, weil keine Inhouse-Kompetenz mehr vorhanden sei.
Wittmann zitiert die Berater-Treppe, über die von der Konzeptionierung über die Ausschreibung bis hin zur Ausführung alles kostenpflichtig an externe Beratungsfirmen ausgelagert werde. Der GovTech Campus scheint die letzte Ausgeburt dieser Entwicklung zu sein. Ich fand den Kommentar recht aufschlussreich. Zudem fand ich die Leserkommentare hier und hier von Personen, die in diesem Bereich aktiv sind, ganz interessant. Unter diesem Gesichtspunkt müssen wir uns auf weitere Probleme in Sachen Verwaltungsdigitalisierung, Kostensteigerungen – und wohl auch auf Ausfälle durch Cyber-Angriffe einstellen. Folgebeitrag: Schriesheim: Kommunale Daten nach Ransomware-Befall im Darknet
Ähnliche Artikel:
Sachsen-Anhalt: Computerproblem legte Justizministerium lahm
Notstand nach Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld
Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld
Sicherheitssplitter: Behörden-IT, BMVI, Ransomware, deutsche Cyber-Armee
Schriesheim: Kommunale Daten nach Ransomware-Befall im Darknet
Anzeige
> Alles Daten waren auf einmal verschlüsselt. … In jedem Fall tat Bürgermeister Christoph Oeldorf das, was das Bundesamt für Sicherheit in der Informationstechnik empfiehlt: Er informierte den Schriesheimer Polizeiposten über den Vorfall, dazu musste er noch nicht mal aus dem Haus gehen.
Der verlinkte Beitrag der Rhein-Neckar-Zeitung ist ein schönes teils fast schon amüsierend zu lesendes Beispiel für die aktuelle nahezu völlige Planlosigkeit bzgl. jeglicher IT-Themen in solchen Umfeldern. Für die meisten Leser dieses Blogs kaum vorstellbar aber so ist wohl die Realität da draussen.
Schriesheim war nicht die letzte Kommune, die es traf.
Dass insbesondere öffentliche Verwaltungen anfällig sind, wundert mich nun nicht. Die verlinkten Kommentare geben gute Einblicke. Aus meiner Erfahrung kann ich aber sagen, dass die IT-Defizite in den Rathäusern jetzt keine speziellen der öffentlichen Hand sind. Auch in vielen Unternehmen, Organisationen und mehr findet man sie. Da haben wir aber noch nicht mal über unsere IT-Defizite in den eigenen vier Wänden gesprochen.
Besonders pikant ist dabei die Marktentwicklung:
– IT-Systemhäuser/MSP übernehmen kleinere Wettbewerber
– IT-Systemhäuser/MSP bilden IT-Verbünde
– Investoren steigen bei IT-Systemhäusern/MSP ein
– viele Selbstständige geben ihre Kunden an IT-Systemhäuser/MSP ab
Mein Chef kriegt was wöchentlich Anfragen von selbstständigen IT-Kräften auf den Tisch, die ihre Kunden (u. a. Schulen, kleine Verwaltungen, Handwerker, mittelständische Unternehmen, Anwaltskanzleien, Arztpraxen, Privatpersonen usw.) teilweise oder vollständig abgeben wollen. Manche gehen sogar noch weiter: "Ich bringe meine Kunden für eine Festanstellung in Ihrem Unternehmen mit und betreue sie darüber hinaus fort.". Solche Sätze lese ich immer häufiger.
Derweil versuchen viele IT-Dienstleister ihre Privatkunden loszuwerden, weil das Arbeitsangebot in der Privatwirtschaft sowie in der öffentlichen Verwaltung so gewaltig ist. Sie wissen kaum noch wo sie zuerst zubeißen sollen.
Meine Erkenntnis ist allerdings auch, dass man heutzutage auf veraltete Infrastrukturen aus einer Zeit trifft, zu der die IT-Sicherheit keine Rolle spielte. Schließlich lief das jahrelang "ohne Probleme", bis diese immer weiter zunahmen und die Folgen immer größer wurden, weil sich die Infrastruktur selbst "weiterentwickelt" hat (aufgebläht, mehr netzwerkfähige Geräte, mehr Zugangspunkte zum Internet usw., aber wenig in die Modernisierung oder mal in die Prüfung investiert).
Betr. ""Ich bringe meine Kunden für eine Festanstellung in Ihrem Unternehmen mit und betreue sie darüber hinaus fort."":
Danke für den erhellenden Kommentar! Ich nehme an, die fürchten das Haftungsrisiko, das ein grösserer Arbeitgeber schon eher stemmen kann. Zumindest theoretisch; wenn man sich allerdings die Haftungsausschlüsse von Cyberversicherungen ansieht, können einem auch da Zweifel kommen.
Das wird vermutlich auch mit Haftungsfragen zusammenhängen. Aber, ob die vielen Einzelkämpfer sich dem bewusst sind, mag ich eher bezweifeln. Hauptargument ist eher die Arbeit, die massig anfällt. Ich habe bisher nur vereinzelt zu Ohren bekommen, dass die IT-Sicherheit (fehlende Kenntnisse) ein Kernanliegen sei.
Hinzu kommt, dass sich großere Versicherer aus dem Geschäft mit "Cyberversicherungen" zurückziehen, weil selbst für sie das Haftungsrisiko unkalkulierbar geworden ist. Kann ich auch nachvollziehen.
Beispiel Munich-Re für Großkonzerne:
https://versicherungswirtschaft-heute.de/koepfe-und-positionen/2022-03-14/munich-re-chef-wenning-will-grosskonzernen-keine-cyberversicherung-mehr-anbieten/
Ich lerne noch heute Kunden kennen, wo keiner weiß, was überhaupt im Netzwerk vorhanden ist. Wir übernahmen auch schon Kunden von anderen Dienstleistern, wo es aber keine Dokumentation gab. Du beginnst quasi erstmal damit den Status-Quo zu erfassen, um dich danach ansatzweise an die Wurzel der Probleme heran tasten zu können. Da geht viel Zeit ins Land, die aber kaum einer bezahlen will.
Wenn das bei denen genauso ist wir hier in der Gegend, dann wundert mich gar nichts mehr.
Verschiedene Bekannte, die in Verwaltungen verschiedener Orte arbeiten, haben eins gemeinsam.:
Sie arbeiten in Zeiten von Homeoffice und Co von zu Hause aus mit eigenen Geräten.
Also mit privater Hardware die nach Feierabend für alle möglichen privaten
Tätigkeiten / Angelegenheiten genutzt wird.
Auch werden die Geräte teils mit nicht mehr unterstützten Betriebssystemen
betrieben (läuft ja).
Das ist selbst in einigen Betrieben der Fall, dass Beschäftigte ihre privaten Geräte als Arbeitsmittel nutzen. Kostet der Firma weniger Geld, aber die Rechnung steht ja auch auf einem anderen Blatt Papier.
Bei meinem Arbeitgeber habe ich all das abgelehnt und darauf bestanden, dass mir die Firma separat Arbeitsmittel bereitstellt. Ich habe sogar schriftlich vereinbart, dass mich keiner aus der Firma auf meinem privaten Handy anrufen darf, wenn es kein betrieblicher Notfall ist. Personelle Ausfälle gehören da auch nicht dazu. Fragen zu irgendwelchen Aufträgen auch nicht. War eine harte Verhandlung, aber ich trenne Privates und Geschäftliches konsequent.
Betr. "… Bekannte, … in Verwaltungen … arbeiten … von zu Hause aus mit eigenen Geräten.":
Sollte analog StGB 315a mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe geahndet werden. Anders lernen sie 's nie.
Es war ein Cyberangriff wie mittlerweile bekannt wurde (1). Im Schriesheimer Rathaus scheint ein ziemlicher Morast zu herrschen, wie der gleichnamige Hauptamtsleiter bekanntgab ;-). Aus (1):
"Wie genau die Schadsoftware … in das Stadtverwaltungsnetzwerk eingedrungen ist, konnte [er] nicht sagen: Das könnte ein E-Mail-Anhang gewesen sein, vielleicht klickte ein Mitarbeiter auch einen Link im Internet, oder ein "verseuchter" USB-Stick kann die Ursache gewesen sein, "vielleicht werden wir das auch nie herausbekommen"."
Wenigstens ehrlich ist er.
___
(1)
Schriesheim: Rathaus: Es war ein Hackerangriff
20.04.2022, 18:15 Uhr
https://www.rnz.de/nachrichten/bergstrasse_artikel,-schriesheim-rathaus-es-war-ein-hackerangriff-_arid,871081.html
Nun ja, kreativ sind sie ja, der Redakteur Micha Hörnle von der rnz, der die Geschichte aufgespießt hat, sowie der Herr Hauptamtsleiter Morast.
Sieht mir nach "wer kriegt die Arschkarte" aus – kein Hinweis, welche Ransomware es war. Dafür viele Nebelkerzen: Großflächiger Angriff auf viele Organisationen, passiert überall und wir sind zufällig unschuldiges Opfer: Aber wir wissen nicht, was wir tun, und der Dienstleister wird es schon richten.
Dann schlug auch noch Siggi Freud bei mir zu und ich las "wir haben informell den Datenschutzbeauftragten informiert" – obwohl da stand "Über diesen Hackerangriff wurde der Landesdatenschutzbeauftragte informiert, mittlerweile wurde auch ganz formell Anzeige bei der Polizei erstattet. " – wird ein schlimmes Ende mit mir nehmen.
Solche Attacken haben für mich was von Übungsmanöver oder auch "Gesellenstück", um eine Ausbildung zum geprüften Hacker (Cracker genau genommen) zu bestehen.
IT und Sicherheit ist ein abstraktes Thema aber woher diese Verweigerung kommt, sich darauf einzulassen, um wenigstens einen Überblick/Einblick zu bekommen, erschließt sich mir nicht. Na gut, läuft halt …
Sicherheit ist, um es mal aus politischer Sicht zu beschreiben, abstrakt. Es heißt nicht umsonst "Sicherheit hat ihren Preis". In der Gefahrenabwehr (Militär, Polizei, Zoll, Ordnungsamt, Feuerwehr, …) kannst zu zwischen abstrakten und konkreten Gefahren differenzieren. Für alle Eventualitäten gibt es schlicht keine Sicherheit.
In der IT ist das nicht anders. Die letzte Hürde sind immer wir Anwender selbst. Dir hilft auch die beste und teuerste externe Firewall nichts, wenn Anwender es (un)beabsichtigt schaffen irgendetwas in das Unternehmen zu bringen, dass die Sicherheitsmaßnahmen von innen aushebelt.
Die "Verweigerung" findet man nur an bestimmten Stellen, insbesondere durch überfordertes Personal, überlastete Verantwortliche (intern wie extern) und die legendären Bwl-Frischlinge, die mir erklären wollen, dass man das Failover-Backup-System oder weitere Wechselmedien für das Backup doch einsparen könne. Patchkabel im Serverraum auf Reserve? Wofür? Bis ich der jungen Dame die Augen geöffnet habe. Danach war die Diskussion beendet.
In den Unternehmen und öffentlichen Verwaltungen haben wir es aber vielfach mit Unkenntnis zu tun. Es fehlen die elementaren Grundkenntnisse. Selbst lächerliche Begriffe wie "Patchkabel" sind auch manchen aus den Generationen jenseits der 2000er fremd. Die kennen WLAN und das war es auch schon. Die wissen, was man wie nutzen kann, aber wie es im Detail funktioniert? "Da kümmert sich schon irgendjemand".
Bei manchen Einzelkämpfern und kleinen Dienstleistern kommt noch das Ego dazu, wenn du als größerer Dienstleister ins Boot geholt wirst. Wo ist die Dokumentation? Hat das NAS auch einen Hersteller, eine Modellbezeichnung und Seriennummer? Welche Anwendungen laufen auf den virtuellen Maschinen? Welche Daten fallen an, wo und wie viel? Wie ist das Backup aufgestellt? Du kannst sie durchlöchern, bekommst aber auf viele Fragen nur ein "äääähm" zurück.
Bei manchen Neukunden, die anfragen, bin ich nach einer Stippvisite im Betrieb gnadenlos: "Ja, wir können das übernehmen. Voraussetzung ist, dass Ihre gesamte IT-Infrastruktur abgebaut und von uns neu aufgebaut wird.". Die Gesichter sind für die Geschichtsbücher.
Bei vielen Fällen werden die Probleme nur an der Oberfläche behandelt, also so beseitigt, bis woanders neue Probleme auftauchen. Die Wurzel des Problems / der Probleme bleibt in der Regel unbehandelt.
Und so zieht das Geschäft ihre Kreise.
"Die kennen WLAN…"
Ich bekam mal einen Kundenanruf (Geschäftskunde) mit folgendem Zitat: Ich kann Website xyz nicht öffnen, obwohl ich WLAN habe. Nach 15 Minuten Erläuterung, hat es beim Kunden so langsam klick gemacht.
Gruß Alex
Oh gut, dass auch andere dieses amüsante Abenteuer durchgemacht haben. :D
Ich glaube, mit solchen und anderen Geschichten kann man Buchbänder füllen.
Ich kann auf die vielen Punkte gar nicht eingehen. An vielen Stellen deines Textes muss auch ich innehalten, um den Sinn zu erfassen. Nicht weil du Mist schreibst, sondern weil auch mir das technische Hintergrundwissen fehlt.
Detailliertes Wissen über wie was funktioniert, überfordert auch so manchen Menschen. Einige interessiert es nicht anderen fehlt dafür die Intelligenz. Letztlich gehe ich davon aus, dass dieser Abstand zwischen Komplexität und Nutzerverhalten wachsen wird.
Wirklich schlecht ist, diese ständige finanzielle Rationalisierung und Optimierung aller Abläufe (Patchkabel auf Reserve).
Ich denke, die Gesellschaft einer Industrienation wie Deutschland sollte zumindest solides IT-Grundwissen haben. Was ist ein Netzwerk? Welche Topologien gibt es? Wie "kommunizieren" Geräte in einem Netzwerk? Was ist eine Firewall? Was ist WLAN? Was ist VLAN?
Den irreführenden "Informatik"-Unterricht würde ich umbenennen und darüber dann genau dieses solide IT-Grundwissen vermitteln. Wer in die technischen Details einsteigen möchte, kann sich a) selbst belesen oder b) eine entsprechende Berufsausbildung absolvieren.
Ich persönlich möchte im Jahr 2022 einem 23-Jährigen nicht erklären müssen, was ein Patchkabel ist. Auch möchte ich der 19-Jährigen nicht drei Mal erklären müssen, dass die SSID (WLAN) nicht das Passwort vom Router ist.
Im Physikunterricht haben wir schließlich auch mal gelernt, dass Reibung Wärme erzeugt, dabei aber Energie verloren geht. Hier reden wir nicht von vertieften Fachkenntnissen, sondern von solidem Grundwissen.
Ja, die lieben Grundlagen.
0 und 1, Strom + Spannung, Eingabe Verarbeitung Ausgabe, Mathe, Englisch, Rechtschreibung … Alles was für Anfänger.
Profis machen um 9 Uhr ein Ticket auf und warten den Rest des Arbeitstages auf Antwort …
Moin,
bei uns wurde früher die IT von fachfremden Personen betrieben, die sich dann mal in das Thema reingearbeitet haben oder auch einfach auf die Stelle gesetzt wurden. Die Quittung taucht ab und zu dann wieder auf, da die Umgebung leider nicht komplett neu aufgestezt werden dürfte und keine Dokumentation gemacht wurde.
Die beauftragten IT-Dienstleister haben dann auch nur das gemacht, was beauftragt wurde. Die alten Protokolle der Ist- und Soll-Zustände haben wenig beinhaltet. Das hätte mehr auch von den Dienstleistern kommen können -> Entweder sollten die nicht oder hatten das Know-How nicht?
Da waren dann viele User mit lokalen Adminrechten, USB-Ports nicht blockiert, Standard-Kennwörter nicht geändert, quasi keine GPOs erstellt und und und in allen Bereichen
Heute sieht es schon besser auf, leider ist die Anzahl von Supportanfragen sehr stark gesteigen und größere Themen bleiben dann leider liegen.
Jetzt kommt dann noch die Digitalisierung der Verwaltung dazu, wo keiner der Kommunen irgendwas genaues weiß, sowie die Softwarehersteller der Fachverfahren. Die Bundesländer sollen ca. 575 Dienstleisterungen im Einer-für-Alle-Prinzip (EfA) erarbeiten und die anderen zur Verfügung stellen.
Es gibt wenigstens ein Paar Bundesländer meine ich, die eine IT-Richtlinie von oben vorgeben ggfs. sogar die einzusetzene Software/Hardware/etc. (BaWü, HH, NRW)
Also Baustellen überall :D
Mfg,
Blackii
Man sieht ja aktuell in der Pandemie-Bekämpfung, dass sich gewisse Dinge nicht ändern, egal, wie oft man den Verantwortlichen die Vorteile erklärt. Da pocht jedes Gesundheitsamt auf die eigene Software, weil föderale Struktur, niemand möchte da auch nur in Detailfragen seine Hoheit abgeben. Dennoch verfolgen sie alle dasselbe Ziel. Nur möchten A, B und C jeweils unterschiedliche Wege gehen. Halleluja.