Zum Wochenende haben Hacker wohl erneut breit in Deutschland zugeschlagen. Mir ist bereits am Wochenende ein Angriff auf Parkhäuser in Osnabrück untergekommen, wo die Kassen- und Schrankensysteme, geleitet von einem externen Dienstleister, betroffen waren. Ergänzung: Auch in Ulm gab es eine Angriff. Und nun gibt es die Meldung von Cyberangriffen auf mehrere Kommunalverwaltungen in Südwestfalen.
Anzeige
Hackerangriff auf Parkhäuser
Es war eine kurze Mitteilung auf X und BlueSky, die ich von Manuel Atug am Sonntag gelesen habe. In Osnabrück hat ein Hackerangriff wohl einen externen Betreiber mehrerer Parkhäuser in Osnabrück getroffen. Die Stadtwerke Osnabrück teilten mit, dass die die Kassen- und Schrankensysteme betroffen waren. Die Mitarbeiter des externen Dienstleisters mussten die Zu- und Ausfahrten aus dem Objekten selbst abwickeln.
Der NDR hat einen Bericht zu diesem Vorfall veröffentlicht und schreibt, dass von Samstagvormittag bis zum Abend (28. Oktober 2023) die betroffenen Parkhäuser in Osnabrück demnach nicht anfahrbar gewesen seien. Zahlungsdaten sind bei dem Hackerangriff nicht entwendet worden, teilten die Stadtwerke mit.
Ergänzung: Auch in Ulm gab es einen Angriff auf Parkhäuser, wie ich auf Spiegel Online gelesen habe. Die "Dumpfbacken" in der SPON-Redaktion freuen sich schon in der Titellei, dass die Leute dort zwei Tage kostenlos parken konnten, weil nix mehr ging.
Kommunen in Südwestfalen
Auch im südlichen Westfalen scheinen wohl viele Kommunen nach einem Cyberangriff vom Wochenende offline und weder telefonisch noch per Mail erreichbar zu sein. Mir ist nachfolgender Tweet diesbezüglich untergekommen, der sich auf die Stadtverwaltung von Siegen und die Kreisverwaltung bezieht.
Der WDR schreibt hier, dass sich der Angriff gegen den kommunalen IT-Dienstleister Südwestfalen-IT richte, der mehr als 70 Kunden betreut, darunter alle Kommunen im Kreis Siegen-Wittgenstein.
Die Südwestfalen IT ist ein kommunaler IT-Dienstleister mit Sitz in Hemer und Siegen. Der Fokus der Südwestfalen–IT liegt auf dem E-Government. Die Webseite dieses IT-Dienstleisters ist aktuell nicht erreichbar, da hat der Angriff wohl "das Licht ausgeknipst".
Die Kreisverwaltung Kreisverwaltung Siegen-Wittgenstein und die Stadtverwaltung Siegen sind, wohl wie viele weitere Kommunen von diesem Vorfall betroffen. Der WDR zitiert Martin Reuther, Pressesprecher des Hochsauerlandes, der von einem Komplettausfall spricht. Auch die Internetseiten der Kommunen können nicht aufgerufen werden.
Anzeige
Bürgerinnen und Bürger, die einen Termin in den Kommunen haben, werden gebeten zu Hause zu bleiben. Die Rathäuser bleiben geschlossen. Die Stadt Siegen hat für Notfälle Info-Schalter in allen Rathäusern geöffnet. Über den aktuellen Stand informieren die Kommunen über ihre Social-Media-Kanäle.
Auf BlueSky schreibt Ronny, dass auch die Stadt Arnsberg von diesem Vorfall betroffen sei. In diesem Artikel finden sich einige Informationen, die aber das oben vom WDR skizzierte Bild spiegeln.
Der kommunale IT-Dienstleister Südwestfalen-IT hat nach eigenen Angaben 72 Städte, Gemeinden und Kreise betreut. Ob alle Kommunalverwaltungen offline sind, ist derzeit unklar. Mir ist von einem Leser auch Soest als Betroffen genannt worden. Da läuft zur Zeit nix mehr.
Hacke einen kommunalen IT-Dienstleister oder den Betreiber (kritischer) Infrastrukturen und du hast als Angreifer den "Jackpot", weil es sehr viele Betroffene gibt.
Im Beitrag Messe Essen gehackt; Ransomware-Gruppe reklamiert Boeing-Hack und droht mit Datenveröffentlichung hatte ich zum Wochenende bereits berichtet, dass auch die Messe Essen Opfer eines Cyberangriffs geworden ist. Ergänzung: Stellungnahme des Dienstleisters und weitere Erkenntnisse im Folgebeitrag Cyberangriff auf Südwestfalen IT trifft 72 Kommunen mehr als erwartet.
Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
2015
Es muss ein Ende haben, dass nur ein Dienstleister für viele Gemeinden zuständig ist. Und es muss ein Ende haben, generell den günstigsten einer Ausschreibung zu nehmen statt den geeignetsten.
Wie sollen denn die Komunen ohne eigene Fachkenntnisse den geeignetsten Dienstleister finden? Und wenn Sie die Fachkenntnisse haben brauchen sie den eigentlich gar nicht mehr.
Die Südwestfalen-IT ist sicher nicht über den Weg der Ausschreibung an ihre Aufgabe als Flächendecker gekommen. Wenn jedes Kleinkleckersdorf eine eigene vollumfängliche IT betreiben würde, wäre das Geschrei zurecht groß, dass dies völlig unwirtschaftlich wäre, zumal sich die betroffenen ca. 70 Gemeinden wohl kaum die notwendigen IT-Security-Spezialisten leisten können.
Man weiß leider nicht im Detail, wie die Vergabepraxis bei solchen Services liegt. Jeder kann ja bei den Vergabeplattformen Bund/Länder/Kommunen die Daten einsehen. Ebenso lassen sich die Vergabeunterlagen downloaden. Die Sache ist nicht ganz ohne, da auch z.B. entsprechende Nachweise erbracht werden müssen (Eigenauskunft). Es sollte auch klar sein, das nicht jede Hinterhofbutze auf die Systeme losgelassen werden kann. Thema Haftung.
Wenn jetzt der Hersteller bei der Firewall, Zugangssysteme etc. geschlampt hat, hast du als Dienstleister auch keine Chance dagegen was zu tun. Mal abgesehen, von zeitnahen Updaten, Patches usw.
Es ist alles nicht so einfach, wie man es gerne hätte. Man darf bei sowas nicht von sich selbst ausgehen, daher Heimnetzwerk und Systeme.
Jeder der in der IT arbeitet, kann davon ein Lied singen. Zumal man immer wieder zu hören bekommt, aber bei mir zu Hause funktioniert das so.
Bei dem speziellen Fall weiß ich es nicht, aber i.d.R. wird bei Flächenversorgung ein Zweckverband gegründet, in den dann anfänglich das Fachpersonal der Gründer übergeht.
Dann wird das "verwirtschaftlicht", also alle Leistungen kriegen Preise und dann wie ein Betrieb weiterentwickelt. Bleibt aber eigentlich immer in der Steuerung der Besitzer.
Manchmal werden auch Eigenbetriebe mit dem Fachpersonal einer Stadt oder eines Landes gegründet und die übernehmen dann.
Am Markt als Ausschreibung für einen Komplettbetreiber als Flächendienstleister habe ich das noch nicht gesehen, lasse mich aber gerne eines Besseren belehren.
Für mich mal wieder die spannende Frage wie die Hacker reingekommen sind? Irgendein offener Dienst beim Dienstleister oder die klassische Mail? Oder was ganz anderes?
"weder telefonisch noch per Mail erreichbar" Das kommt von der Integration von UC in AD und Office. Hardware und Software Diversität war schon immer eine gute Idee um sichere und verfügbare Systeme bereitzustellen. Bis in die IT Etagen scheint sich das aber nicht herumgesprochen zu haben. Eine Telefonanlage kann man auch so integrieren, ohne daß bei Cyber Attacken die komplett ausfällt. Das Mitleid hält sich in Grenzen. Der aktuelle angebliche Stand der Technik ist einfach eine Einladung an die kriminellen Hacker. Es ist so, als wenn an der Eingangstüre nur ein Fliegengitter hängt , um Einbrecher aufzuhalten. Aber dann immer groß jammern und nach dem Staat rufen, wenn man selbst seine Technik verkackt hat. Ich wette, daß auch hier wieder die Trinität des Bösen im Spiel war.
"Der aktuelle angebliche Stand der Technik ist einfach eine Einladung an die kriminellen Hacker."
Wenn man die Vorfälle intern kritisch betrachten würde, würde man wahrscheinlich feststellen, dass die Netze nicht nach aktuellem Stand der Tecchnik aufgebaut sind, sondern "historisch gewachsene Strukturen, schlecht dokumentiert, ohne Gesamtkonzept und Überblick.
Hallo,
durch Zufall habe ich von einem Arbeitskollegen über den Vorfall erfahren.
Nach Prüfung sind mehrere Kommunen und Kreise derzeit offline. Dies betreffen u.a. der Kreis Soest, der Kreis Siegen-Wittgenstein, Kreis Unna (Stadt Fröndenberg), Märkischer Kreis….
Teilweise sollen zwar E-Mails Empfangen aber keine Versendet werden können.
Neben Kommunen in den Kreisen Olpe, Siegen-Wittgenstein, Hochsauerland,
Soest und dem Märkischen Kreis sind auch Kommunen im Rheinland betroffen.
So zum Beispiel Leichlingen und Euskirchen, die Kunden des IT-Dienstleisters sind.
Wie soeben von einem IT-Kollegen erfahren gibt es zudem einen Ausfall der
Serviceportale bei Kommunen, die Ihr Serviceportal bei der SIT hosten.
Das ist echt bitter. Man kann den Kollegen nur wünschen, dass sie die Infrastruktur schnell wieder in den Griff bekommen.
Ich kann auch bestätigen, dass die Stadt Schwelm (EN-Kreis) bestätigt hat, vom dem Angriff auf die Südwestfalen IT betroffen zu sein. Hier sind aber wohl nur einige Bereiche betroffen (Webseite, Standesamt, Ratsmanagement und Immobilienmanagement) betroffen.
Mich wundert es nicht. Wenn man kritische Infrastruktur strickt unter allein wirtschaftlichen Gesichtspunkten betreibt und dabei alle Gefahrenpotenziale nahezu unberücksichtigt lässt kommt genau das dabei heraus. Mal schauen was die Konsequenzen sein werden. Der Mensch bewegt sich bekanntlich nur durch Angst und Schmerz. Der einzige Trost der bleibt, dass es in den nächsten Tagen in den betroffenen Kommunen wohl kaum Knöllchen gibt.
Zum Cyberangriff auf die SIT:
Laut Medienberichten erfogte der Angriff am Montag, 30. Oktober, um 1.01 Uhr.
Mag sein, dass Monitoring-Systeme bzw. SIEM Lösungen (wenn vorhanden) zu diesem Zeitpunkt Alarm geschlagen haben, aber welcher Admin nimmt zu diesem Zeitpunkt die Meldungen entgegen?
Bevor nicht nähere Einzelheiten über den Cybervorfall bekannt sind, sollte man sich mit Vorwürfen gegen den IT-Dienstleister aus meiner Sicht erstmal zurückhalten, zumal ein 100%ger Schutz gegen solche Vorfälle niemals gewährleistet werden kann.
Aber:
Entscheidend aus meiner Sicht ist, wie lange benötigt der IT-Dienstleister die IT-Systeme wieder sauber hochzufahren.
Gibt es ein Notfallkonzept für dieses Szenario?
Ich erinnere mich noch an die Vorfälle im Lndkreis Anhalt-Bitterfeld (2021) und in der Stadt Rodgau (2023). Hier hat die Wiederherstellung Monate gedauert.
Das darf (sollte) sich in diesem Fall definitiv nicht wiederholen und hier zeigt sich auch die Qualität der zuständigen IT-Abteilung.
Zum Problem IT-Outsourcing an externe Dienstleister und kommunale Rechenzentren:
Fakt ist (auch aus eigener Erfahrung), vielen und vor allem klammen Kommunen fehlt es schlichtweg an Personal und den erforderlichen finanziellen Mitteln eine eigene IT-Infrastruktur "gewissenhaft" zu betreiben.
Rodgau wurde von der ARD als "Cyberwar – Die unsichtbare Schlacht im Netz" wie üblich mit dramatischer Tonlage und Musik dokumentiert. Die Zielgruppe der Sendung dürfte die breite Masse gewesen sein.
ARD-Mediathek – Report: Cyberwar – Die unsichtbare Schlacht im Netz
Ging auch für andere Vorfälle durch die öffentlich rechtlichen Anstalten – siehe mein Beitrag Cyberangriffe auf die Stadtverwaltung Potsdam und auf Sachsen-Anhalt, ein Blick hinter die Kulissen. Nun ja, wir zahlen ja GEZ-Gebühren – da muss das Volk auch a bisserl unterhalten werden. Gruseln inbegriffen … und außerdem, da kann man nix machen, die Hacker waren ja ausgebufft. Ist etwas polemisch, aber das ist doch oft die Botschaft.
Die Tage hatte ich ja was zum Thema "Incident bei Exchange Online und DSGVO-Meldung" wo auch hier die Köpfe im Blog heiß diskutiert wurden. Bin ja mal gespannt, wann ich Antwort von den bayerischen Datenschutzbehörden bekomme.
Heute noch eine DSGVO-Meldung an die Landesdatenschutzaufsicht in BW abgesetzt – ein Leser hat mich auf einen Bock in einem Online-Shop hingewiesen. Mal sehen, wie das ausgeht und ob es Antwort gibt – ich will auf jeden Fall im Nachgang hier im Blog berichten.
Drücken wie es mal so aus: Auf der Bühne steht der Kaiser, mit gar prächtigen Kleidern zum Publikum gewandt. Gehst Du aber hinter die Bühne, siehst Du mit Erschrecken: "Huch, der Kaiser ist hinten rum ja komplett nackt". Mehr Schein als Sein … und nun ernten wir die Früchte.
Ich habe von Kommunen gehört, die schon am Sonntag den Krisenstab hochgefahren haben. Somit passt das nicht mit der Zeit die in der Presse genannt wird. Keine Ahnung warum die Daten abweichen. Ich komme aus der Region.
Ein Krisenstab am Sonntag wäre nach diesem Update von sit.nrw sehr seltsam: "In der Nacht von Sonntag auf Montag wurden verschlüsselte Daten auf Servern der SIT gefunden, die auf einen unautorisierten externen Zugriff hindeuten. Unmittelbar im Anschluss begannen die Techniker noch in der Nacht mit der Analyse und ersten Schritten der Schadensbegrenzung. Am Montagmorgen tagte der hausinterne Krisenstab."
"Fakt ist (auch aus eigener Erfahrung), vielen und vor allem klammen Kommunen fehlt es schlichtweg an Personal und den erforderlichen finanziellen Mitteln eine eigene IT-Infrastruktur "gewissenhaft" zu betreiben."
100% ACK.
Mir fehlt auch das Geld auf den Malediven Urlaub zu machen.
also fahre ich da nicht hin.
Wieso zwingt man die Kommunen in Systeme, die sie nicht bezahlen können?
Warum werden Kommunen ausgenommen wie ein Weihnachtsgans?
Und andererseits werden Synergien nicht ausgenutzt.
Erst langsam muss ich dem Finanzamt nicht mehr melden, was sie sovieso schon kennen, z.B. meine Zinseinnahmen.
Wie gesagt. Malediven sind wunderschön, aber kein Geld dafür da.
Cyberangriffe werden gefühlt immer mehr..
@Pau1: Malediven geht so, würde ich aber nicht weiter empfehlen, was richtig gut ist ist, die 4 Wochen Big Hawaii-Rundreise Hawai´i Island – Kauai – Maui – Oahu – usw. habe ich schon mit der ganzen Familie gemacht, besser geht fast nicht, alle Inseln auch die „Verbotene Insel" Niihau gehört den Brüdern Robinson, geht nur mit pers. Einladung, Geld ist doch nur Papier"
Auch in Ulm und Landsberg waren/sind einige Parkhäuser/Tiefgaragen betroffen.
Mal was anderes: bis vor kurzem war ich noch sehr naiv und glaubte, der Cyber- und Informationsraum (CIR) als Teil der Bundeswehr würde sich auch um die digitale Sicherheit ziviler Organisationen (öffentlich und privat) kümmern, und wunderte mich über die ständig steigende Zahl von Angriffen auf Firmen und Behörden – aber, nein, nein, die sind nur für den Schutz der Bundeswehr-eigenen IT zuständig. ABER der CIR hat laut Wikipedia und Stand August 2023 13.919 Soldaten und Soldatinnen (und damit etwas weniger als die Marine mit 15.716 Soldaten und Soldatinnen – ebenfalls Stand August 2023).
Nehmen wir zum CIR noch das Bundesamt für Sicherheit in der Informationstechnik mit 1.411 Angestellten, sind wir bei einer Manpower von über 15.300 vermutlich gut qualifizierten und gut (steuergeld)bezahlten Menschen (fast soviel wie die Marine ).
Ich vermute mal, dass wir (typisch deutsch) genügend Vorschriften haben, um diese Manpower NICHT (oder nicht genug) in der Abwehr von Cyber-Angriffen einzusetzen – falls ja, ist das IMHO eine absolute Schande, da wir nicht mehr über Einzelfälle und "Kleckerles-Hacker", sondern international agierende Banden reden, denen bislang halt nur noch nicht der Status "Terroristen" verliehen wurde.
Aber wie anfangs gesagt, bin ich vielleicht einfach zu naiv…
Ja, naiv. Solche Angriffe zu erkennen und abzuwehren ist viel Arbeit. Habe zum Beispiel heute den ganzen Tag damit verbracht, einen Angriff eines Botnetzes auf eins unserer Gateways am Wochenende zu analysieren. Zum Glück läuft das bei uns alles in eine Art SIEM (es ist mehr als das) rein und wird dort schon aufbereitet, z.B. mit Herkunftländern der IP-Adresse. Aber da ist man beschäftigt… Am Ende habe ich eine Liste mit über 600 IP-Adressen aus etwas über 40 Subnetzen vor mir gehabt, von denen mit etwas über 200 generischen Usernamen in mehreren Wellen verteilt am Wochgenende der Angriff versucht wurde, schlugen alle fehl, aber unser Intrusion-System hat es noch nicht selbst erkannt, dass da eine größere Sache läuft, weil jeder Host pro Welle maximal 2 Versuche gemacht hat. Alles im allen hatte das Gateway währenddessen keine Performance-Probleme beim Anmelden regulärer Benutzer, so dass es betrieblich nicht aufgefallen ist. Da ist noch etwas Feintuning im Regelwerk des Intrusion-Detection-Systems erforderlich, aber immerhin hab ich jetzt mal Praxiswerte mit denen ich das machen kann.
Frage in die Runde: Gibts eigentlich eine zentrale Stelle, wo man solche ermittelten IP-Adressen eines Botnetzes hin melden kann? Quasi wo sich dann jeder für Firewall-Sperrlisten bedienen kann, wo jeder Provider mit Takedown-Anforderungen überhäuft wird? Schön wärs… Ich habe jedenfalls die Subnetze per Whois abgeglichen und fünf Serverhoster außerhalb Europas identifiziert, sie bei uns auf der Firewall einpflegen lassen und den ermittelten Provider die Adressen an die Abuse-Kontaktadresse geschickt, einer hat immerhin schon geantwortet, dass er bereits etwa die Hälfte der Adressen auch von wo anders gemeldet bekommen hat und gerade dabei ist diese Server vom Netz zu nehmen. Ob das immer so gut klappt, mal sehen.
Und fertig bin ich noch nicht…
Um die Rechnung zusammen zu fassen: 1 nicht erfolgreicher Angriff, ein Tag Analyse und Gegenmaßnahmen ergreifen. Bei 15.000 Mann bei BSI und CIR zusammen, hast du also die Kapazität für maximal 15.000 Angriffe auf alle IT-Infrastrukturen in Deutschland. Macht maximal 41 Angriffe pro Tag, die ausgewertet werden können. Und das auch nur, wenn du recht schnell bei jedem Netz alle benötigten Infos aus einem SIEM oder wenigstens Syslog rausziehen kannst. Hat nicht jeder.
Dann hole ich diesen Artikel aus der Kiste:
Check Point: Wöchentlich 386 Cyberangriffe auf Organisationen in Deutschland
386 pro Woche macht 55 pro Tag.
–> Die Kapazität von BSI+CIR reicht nicht. Die brauchen dazu nochmal 5000 Sicherheitsspezialisten mehr. Mindestens. Wo willst du die her nehmen?
Scholz und Faeser sind doch grad auf Personalsuche…;-)
Hier kann man aufhören zu lesen. Angreifer/Bots nutzen diese IP-Adressen nur als Proxy, sitzen woanders und nutzen am nächsten Tag wieder andere. An allen aufwändig erstellten Firewall Regeln vorbei.
Das ist schon klar, nur so einen Proxy musst du erstmal zum Fliegen bringen, entweder auf den Sychellen, USA, Kanada, Russland, Hong-Kong, … mieten oder ungepflegte WordPress-Instanzen finden und hacken, wenn du das als Angreifer jeden Tag machen musst, weil dir deine Opfer die Dinger per Abuse-Email zum Hoster unterm Hintern wegziehen, dann hält das so einen Trupp auch auf. Je mehr Zeit die im Aufrechterhalten ihrer Infrastruktur stecken müssen, um so weniger Zeit ist fürs Hacken. Heute hab ich die nächste Welle entdeckt, statt etwas über 1000 einzelne Versuche nur noch 250, drei neue Subnets bei schon bekanntem Provider gefunden. Mir haben 2 der angefunkten Hosting-Provider per Mail bestätigt, dass sie insgesamt rund 450 IPs aus meiner Liste offline genommen haben… Dem Trupp geht hoffentlich bald die Puste aus.
Zu Hackerangriff auf Parkhäuser:
Zumindest der IT-Dienstleister der Ulmer Parkbetriebsgesellschaft hat die Sache schnell in den Griff bekommen. Das ist doch mal eine gute Nachricht.
https://www.swr.de/swraktuell/baden-wuerttemberg/ulm/parken-in-parkhaeusern-in-ulm-kostet-wieder-100.html
(Quelle: SWR)