Neues zum Cyberangriff auf Südwestfalen IT

Sicherheit (Pexels, allgemeine Nutzung)Der Ransomware-Angriff auf die Südwestfalen IT (SIT) zum 30. Oktober 2023 hat ja in über hundert Kommunen eingeschlagen, denn die SIT ist ja ein IT-Dienstleister für Kommunen. Kommunen sind damit beschäftigt, eine Not-IT-Verwaltung oder eigene Webseiten aufzubauen. Inzwischen wurde bekannt, wer hinter dem Angriff steckt und ich habe Informationen aus diversen Quellen, die das ganze Dilemma offenbaren. Aktuell lässt die SIT aber Optimismus verbreiten, dass es "bald wieder weiter geht". Hier eine kurze Zusammenfassung des aktuellen Sachstands.


Anzeige

Der Cyberangriff auf die SIT

In der Nacht von Sonntag auf Montag (30. Oktober 2023) gab es einen erfolgreichen Ransomware-Angriff auf die Südwestfalen IT (das ist ein IT-Dienstleister für zahlreiche Kommunen, der sowohl Fachverfahren für die Verwaltungen anbietet als auch Webseiten zu hosten scheint). Der Anbieter hat dann sofort alle Verbindungen aus dem Rechenzentrum nach außen gekappt und den Vorfall in einer knappen Stellungnahme mitgeteilt.

Cybervorfall: SIT-Stellungnahme

Ich hatte zeitnah im Blog-Beitrag Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück diesen Vorfall bei der Südwestfalen IT berichtet, der Kommunen im südlichen Westfalen getroffen hat. War ursprünglich nur von 70 Kommunen die Rede, weitete sich die Zählung auf mindestens 103 Kommunen aus, die "irgendwie" betroffen sind – und sei es, dass die Webseite down ist (siehe auch mein Beitrag Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen).

SIT vermeldet erste Fortschritte

Die Südwestfalen IT ist seit dem 30. Oktober 2023 dabei, den Vorfall aufzuarbeiten. Dazu gehören forensische Analysten über den Umfang des Schadens sowie mögliche Schritte zur Wiederherstellung des operativen Betriebs. Meinen Informationen nach ist die rtec als externer Dienstleister zur Analyse hinzugezogen worden. In einer Stellungnahme des Anbieters vom 9. November 2023 für die Presse werden erste Fortschritte vermeldet.

Die Südwestfalen-IT (SIT) gibt an, die erste Phase der forensischen Analysen der betroffenen Systeme abgeschlossen zu haben. Der Anbieter will die gewonnenen Erkenntnisse nutzen, um nun alle Kundensysteme in einem systematischen Prozess zu untersuchen. Mir wurde berichtet, dass deren Mannschaft wohl mehr oder weder Vollzeit an der Thematik sitzt – da ist wenig mit Schlaf – dürfte für die Analyse eher auch nicht so hilfreich sein.

Bisher ist noch nichts in Richtung Wiederherstellung des Kundenbetriebs zu sehen. Der Anbieter schreibt, dass man mit größter Sorgfalt vorgehe – das ist in meinen Augen auch erforderlich, da eine Re-Infektion verhindert werden soll. Bleibt zu hoffen, dass die hinzugezogenen Spezialisten da den Durchblick haben.

Aktuell will die Südwestfalen-IT bis Ende dieser Woche, gemeinsam mit den Mitgliedern des erweiterten Krisenstabs, eine Priorisierung der wiederherzustellenden Fachverfahren fertigstellen. Danach könne mit der schrittweisen Wiederherstellung der Systeme begonnen werden, meint der Anbieter.

Die SIT schreibt von ersten Fortschritten, die bei der Etablierung von Behelfs-Prozessen erzielt werden konnten und zeigt sich zuversichtlich, dass die ersten Workarounds in der nächsten Woche eingeführt werden können, so dass die Bürgerinnen und Bürger einige öffentliche Dienstleistungen zumindest behelfsweise wieder nutzen können. Es bleibt den betroffenen Kommunen zu wünschen, dass die obigen Voraussagen auch so eintreffen.


Anzeige

Keine Lösegeldzahlung an Akira

Aktuell gibt die SIT ja wenig Informationen an die Öffentlichkeit (siehe oben) und hat wohl ein internes Redeverbot erteilt. Aber dies verhindert nicht, dass doch Interna an die Öffentlichkeit gelangen – u.a. muss der Betreiber ja die Aufsichtsbehörden informieren und auch mit den Kommunen sprechen. So ist der Presse (dpa) ein vertraulicher Bericht des Innenministeriums an den Landtag in die Finger gekommen. Der Siegener Anzeiger berichtete erstmals (Paywall), dass die Ransomware-Gruppe Akira hinter dem Angriff stecke.

Spiegel Online hat es in diesem Artikel aufgegriffen und schreibt, dass die Kommunen kein Lösegeld zahlen werden. Spiegel zitiert aus dem Bericht des Innenministeriums an den Landtag, dass die Server bei der SIT verschlüsselt seien und dass die Angreifer eine Nachricht zur Kontaktaufnahme hinterlassen hätten. Über die Höhe des geforderten Lösegelds wurde da wohl nichts verlauten lassen – das ist Verhandlungssache. Aber bei dem dicken Fass, was da angebohrt wurde, kann man mit 200.000 Euro bis über eine Million rechnen. Die Westfalen-Post hat hier auch noch einige Informationen zusammen getragen.

Welche Cyberkriminellen die Leistungen der Akira RaaS-Gruppe letztendlich in Anspruch genommen haben, lässt sich bei obiger Konstellation nicht angeben. Die Zahlung hätte möglicherweise die Herausgabe des Decryptor ermöglicht, aber die Daten dürften abgezogen sein. Und es droht immer noch die Veröffentlichung, auch nach Zahlung. Einen solchen gescheiterten Fall hatte ich ja gerade im Beitrag Dolly.com zahlt Lösegeld, aber die Daten wurden trotzdem veröffentlicht behandelt.

Die Akira-RaaS-Gruppe

Akira ist eine Gruppe von Cyberkriminellen, die Ransomware-as-a-Service (RaaS) an zahlende Kunden vertreibt. Ich hatte die Tage im Beitrag Microsoft Ankündigung einer Secure Future Initiative erstmals den Namen der Gruppe erwähnt.

Trend Micro geht in dieser Analyse von Oktober 2023 davon aus, dass Mitglieder der mittlerweile aufgelösten Conti-Ransomware-Gang mit beteiligt sind. Akira entwickelt sich rapide zu einer der am schnellsten wachsenden Ransomware-Familien. Die doppelten Erpressungstaktiken (Verschlüsselung und Drohung mit Veröffentlichung abgezogener Daten), ein Ransomware-as-a-Service (RaaS)-Vertriebsmodell und einzigartige Zahlungsoptionen tragen zum Erfolg der Gruppe bei. Ältere Verschlüsselungsvarianten wurden inzwischen zwar von Sicherheitsforschern geknackt (siehe diesen Artikel). Hilft aber oft nicht, da die Malware ständig weiter entwickelt wird.

SIT kalt erwischt

Außenstehenden Beobachtern drängen sich viele Fragen auf, die Südwestfalen IT (SIT) ist mit Informationen zum Ablauf des Angriffs und den Hintermännern sehr sparsam. Oben hatte ich ja einiges aus diversen Quellen skizziert, was ein wenig Licht ins Dunkel bringt. Aber auch der Zeitpunkt der Infektion liegt noch im Dunkeln und meinen Informationen nach wurde der Dienstleister ziemlich auf dem falschen Fuß erwischt. Gerne hätte ich ja gelesen, dass eine Sicherheitslösung (SIEM) angeschlagen und den Ransomware-Angriff unterbunden habe, wie in diesem Kommentar im Blog gefragt.

Von einer anonymen Quelle hieß es, dass der Cybervorfall erst auffiel, als eine Polizeiabfrage Montag-Nacht um 2:00 Uhr scheiterte, weil nichts mehr ging. Ab dann liefen die internen Telefone heiß, weil die Verantwortlichen benachrichtigt werden musste. Derweil konnte die Ransomware wohl weiter ihr Werk verrichten.

In diesem Kommentar im Blog wurden auch Fragen nach Backups, des Notfall-Konzepts etc. aufgeworfen. Nach meinen Informationen gibt es Backups, das Problem ist aber festzustellen, welcher Backup-Satz vor der ersten Infektion oder Kompromittierung des Systems erstellt wurde. Ohne ausführliche Analyse, was genau passiert ist, kommt man da nicht weiter. Und dieser Vorgang dauert schlicht seine Zeit.

Schwieriger wird die Frage, ob ein belastbares Notfall- und Sicherheitskonzept bei der SIT existierte, und ob innerhalb des Netzwerk eine Segmentierung und virtuelle Trennung einzelner Fachanwendungen und Kunden bestand. Mir liegen keine Details vor, aber diverse Informationen, die mir unter die Augen gekommen sind, lassen mich bezweifeln, dass ein ggf. bestehendes Sicherheitskonzept oder eine Isolierung der Fachanwendungen sowie Kunden strikt eingehalten wurde. Zum Sicherheitskonzept geht mir die Umschreibung "Freestyle, jeden Tag manchen wir was anderes" durch den Kopf. Hier könnte die SIT schnell Klarheit schaffen, indem sie die Fakten auf den Tisch legt, so dass jegliche Spekulationen überflüssig werden.

SIT, ein kommunaler Zweckverband

Im Kontext des Vorfalls sowie der aufgeworfenen Fragen und mir verfügbarer Informationen stelle ich mir die Frage, ob die Konstruktion der Südwestfalen IT (SIT) möglicherweise mit zur "Tragweite des Problems" beigetragen haben könnte. Vorab: Ich finde es durchaus sinnvoll, wenn Kommunen ihre IT bei einem Dienstleister bündeln, statt alle selbst diese Leistung mehr schlecht als recht (da kein Personal verfügbar ist) bereitstellen. Und ich kenne auch keine Details aus dem Management der Südwestfalen IT.

Ich habe aber im Web recherchiert, und herausgefunden, dass die Südwestfalen IT als Kommunaler Zweckverband in Form einer GmbH geführt wird. Entstanden ist die SIT Anfang 2018 aus dem Zusammenschluss der Citkomm mit Sitz in Hemer (laut LinkedIn 10-50 Beschäftigte) und KDZ Westfalen-Süd aus Siegen (KDZ steht für Kommunale Datenzentrale). LinkedIn führt die SIT in der Kategorie 51-200 Beschäftigte, also eine eher kleine Einheit. Wenn ich es richtig sehe, ist die SIT mit drei Geschäftsführern gestartet (Details bei Northdata).

  • Ein inzwischen (2022) ausgeschiedener Geschäftsführer kam von der Citkom und verfügt in diesem Bereich über 30 Jahre Erfahrung, heißt es in diversen Fundstellen.
  • Der zweite Geschäftsführer kam von der KDZ Westfalen-Süd und war früher Leiter Kundenmanagement bei LVR-InfoKom. Laut diesem Eintrag ist die Person zum 30. September 2023 auf eigenen Wunsch abberufen worden.
  • Beim Namen einer weiteren Person (inzwischen laut Northdata 2022 auch ausgeschieden) finde ich bei Recherchen Meldungen, dass diese 2015 von einer Findungskommission als Bürgermeisterkandidatin für die Stadt Sundern vorgeschlagen wurde. Als Scharnier für den Umgang mit Kommunen sicherlich kein Nachteil – in Bezug auf den obigen Sachverhalt aber eher nicht unter Fachpersonal einzuordnen.

Wenn meine Recherchen stimmen, sind bei der SIT also drei Geschäftsführer binnen eines Jahres ausgeschieden. Gehe ich auf die Plattform Kununu finde ich diesen Thread der eine extrem negative Aussage als "Bewerberfrage" formuliert wird – Tenor gute Mitarbeiter weg, Rest in innerer Kündigung, Geschäftsführer waren problematisch und es gibt aktuell keine mehr. In diesem Thread wird mit Eintrag (gelöscht) von August 2023 ein sehr negatives Bild der Geschäftsleitung gezeichnet. Nun muss man Einträge auf Kununu immer kritisch bewerten.

Aktuell fällt es aber etwas ins Bild, was ich so vernommen habe, die Führungskräfte scheinen überfordert (bezieht sich auf den aktuellen Vorfall). Unter Vorbehalt deutet das auf eine problematische Konstellation hin, die möglicherweise schon in Schieflage war, bevor der Cybervorfall passierte. Jetzt bleibt nur auf die Sachkompetenz des externen Sicherheitsdienstleisters zu hoffen, der den Fall aufarbeitet und möglicherweise einen Neustart initiieren kann. Weiterhin werden die Mitglieder des kommunalen Zweckverbands eine neue Führungsschicht samt Geschäftsleitung für die Zukunft berufen müssen.

Alles in allem stimmt mich die ganze Geschichte nicht sehr zuversichtlich. Beim Cyberangriff auf die Stadt Rodgau (siehe Cyberangriff auf die IT der Stadt Rodgau – Details offen gelegt (April 2023)) wurde die IT arg getroffen und die arbeiten sich immer noch an den Folgen ab. Bei den Cybervorfällen von Potsdam und Anhalt-Bitterfeld (siehe Cyberangriffe auf die Stadtverwaltung Potsdam und auf Sachsen-Anhalt, ein Blick hinter die Kulissen) leidet man ebenfalls noch unter den Folgen. Und die Frankfurter Rundschau berichtet hier, dass die Frankfurter Uniklinik nach dem Cyberangriff (siehe meinen Blog-Beitrag Cyberangriff auf Uniklinik Frankfurt entdeckt?) ein neues IT-System braucht.

Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

44 Antworten zu Neues zum Cyberangriff auf Südwestfalen IT

  1. Anonymous sagt:

    > kann man mit 200.000 Euro bis über eine Million [Lösegeld] rechnen

    Die Kosten der Incident Response dürfte in ähnliche Regionen angesiedelt sein?

  2. Joe sagt:

    Moin,
    ja und nach einer nicht anonymen Quelle bzw. der dort zitierten Staatsanwaltschaft Köln
    (https://www.soester-anzeiger.de/lokales/kreis-soest/computer-blackout-viele-staedte-und-gemeinden-im-kreis-soest-offline-92644651.html)
    wurden verschlüsselte Dateien bereits nachts um 1:01 Uhr entdeckt.
    Und ob es eine "Alarmkette" gegeben hat und wie die modifizierten Dateien entdeckt wurden, darüber läßt sich spekulieren, aber derzeit noch nicht verifizieren.

    Und natürlich hält sich die SIT mit Informationen über das wann und wie zurück, oder soll sie potentiellen Hackern noch Tips geben, wie man am besten einen Zugang zu einem IT-Dienstleister herstellt?

    Zum Thema "Backups". Bisher ist nicht bekannt, wie die Schadsoftware auf die Systeme gekommen und – viel wichtiger – seit wann das der Fall ist. Es macht daher überhaupt keinen Sinn, die Systeme mit aller Gewalt wieder hochfahren zu wollen und damit ein Schadprogramm aus den Backups zurückzuspielen, das nur wieder auf einen Trigger von außen wartet, und das Spielchen beginnt von Neuem.
    Ich kann nur hoffen, daß es gelingt, das oder die Schadprogramme aus den Datenbeständen und auch aus den Backups rückstandslos zu entfernen. Einen Datenbestand aus den Transaktionslogs wiederherzustellen , um auf einen aktuellen Bestand zu kommen, ist nicht mal eben im Handumdrehen realisiert.

    • Pau1 sagt:

      Ach herieje. Wie die Stiftung Warentest, die Fahrradschlösser testet, aber nicht zeigt wie sie das gemacht haben. Man wolle ja nicht die Diebe schlau machen. Obwohl sicher ist, dass die Diebe weit besser wissen wie sie die Teile aufgekommen als die STW.
      Aber wenn man die Kunden informiert, dann könnten die Kunden selbst gute Kriterien anwenden und wären nicht darauf angewiesen ein Modell zu kaufen, das von der STW getestet wurde (inzwischen aber von bösen Plagiateuren billig nachgebaut wurde…BTST)
      Und hier auch.
      Als Admin möchte ich das "wie" lesen und mich dann entspannt zurücklegen können, dasssss kann bei uns nicht passieren.
      (Oder halt hektisch werden, oh Mist, daran hatte ich ja gar nicht gedacht.).
      Aber Verbrecher dumm halten wollen durch Nichtinformation?
      Finde ich naiv.

      (Erinnert mich an diese peinliche "Security by obscurity" mit den EC-Karten Pin. Deren Festlegung hatte schwere Fehler.
      Da das aber geheim war, konnten die Kriminelle die Pins jahrelang selbst ermitteln. Dem Kunden, der Stein und Bein schwor, niemals seine Pin benutzt zu haben, würde der Unterschied erläutert, was es bedeutet wenn er nun leider eine Strafanzeige wegen Betrugs bekommt, oder doch lieber zugibt, die Pin doch genutzt zu haben, und due Versicherung den Schaden ubernimmt)

  3. Ömmes sagt:

    Also anscheinend mal wieder die unheilige MS Allianz (Windows, Exchange, Office), die Ransomware magisch anzieht…

    • Anonymous sagt:

      Das kann einerseits bei jedem anderen Betriebssystem auch passieren (unerfahrene Personen klicken schnell auf irgendwelche Links in Emails und veraltete Software hat man nicht nur bei Windows installiert), andererseits wo steht denn was von Microsoft oder Windos, Exchange und Office im Beitrag? Ransomware kommt nicht nur über diese Wege. Viele Akteure haben auch Ransomware für Linux und MacOS geschrieben.

      • Ömmes sagt:

        Ähm, lass mich kurz überlegen….

        … nein, einfach nur nein! :-)

        • Matze sagt:

          und das weißt Du woher?

          • Ömmes sagt:

            Weil es sich einfach nicht lohnt, da großartig Aufwand reinzustecken, solange da genügend schlecht gesicherter MS Kram, bei dem Angriffsvektoren von von 15 Jahren noch funkionieren, quasi dazu einlädt.

            • Anonymous sagt:

              also reine Annahme / Vermutung, dass es an MS-Lösungen lag

              kleiner Tipp: Ransomware-Akteure kommen durch menschliche manuelle Fehler rein, und da ist heutzutage das Betriebssystem und die Software recht egal.

              Wenn eine Binärdatei sich durch Netzwerke und Datenspeicher durcharbeiten und alles verschlüsseln kann, ist es relativ egal, ob da Windows oder was anderes läuft. Ransomware-Kits zielen zudem auf alles mögliche an Schwachstellen in Software ab und nutzen auch öfter mal LOTL-Binaries.

              Es wird etwas nicht automatisch sicherer, nur weil es eine andere Software oder ein anderes OS ist. Insbesondere wenn man gezielt angegriffen wird.

      • Joerg sagt:

        Das kann nicht bei jedem OS passieren, nur Windows lässt so eine Schei*e zu. Unter Linux kannst du nicht einfach Scripte oder Programme ausführen. Und kein Anwenderprogramm läuft irgendwo im Root Kontext (mag es vielleicht geben, aber ist eher die Ausnahme und nicht die Regel wie bei M$ Produkten)

        Und ja, es gibt auch Ransomware für Linux und MacOS und wenn es darüber verbreitet wurde, haben die in Ihrem Sicherheitskonzept wissentlich und bewusst mit Absicht unsicher gemacht. Ist ja nicht wie bei Windows wo man per'se erst mal alles darf und man muss es einschränken sondern genau umgekehrt, man muss es dediziert erlauben.

        • Anonymous sagt:

          vermutlich sind Privilege Escalation, 0Days in QNAP und ESXi usw. dir unbekannt – aber interessant wie alle auf windows / MS als Ursache schließen, den Faktor Mensch vollkommen ausblenden und erstmal nur wieder MS bashen, nicht wirklich professionell…

        • Pau1 sagt:

          Auch unter Windows kannst Du genau sagen, wer wann was darf.
          Vielleicht sogar genauer als unter Posix und Secure Linux.
          Nur, das Problem:
          MS hält sich nicht an die eigenen Vorgaben, betrachtet jeden Rechner als sein Eigentum.
          Logfiles werden irgendwo hingeklascht, auf tmp kann jeder auf alle Daten zugreifen weil es "Multiuser" lange Zeit nicht wirklich gab, und immer noch nicht gibt, weil MS mehr Lizenzen verkaufen will.
          Das ist alles nachträglich rein grfrickelt worden. Und dann musste jede Änderung mit tausenden Programmen kompatibel sein.
          Windows ist ein riesiger historisch bedingter Moloch.
          Mir fällt gerade nur das SMB 1 Protokoll ein, das ja schon seit Jahrzehnten als unsicher bekannt ist, um immer noch benutzt wird…

    • Günter Born sagt:

      Kann ich nichts zu sagen, da mir dazu keine Informationen vorliegen. Hier bliebt nur die Hoffnung, dass am Ende des Tages ein Bericht vorliegt und vielleicht mitgeteilt wird, wie die Infektion passierte. Da krankt es leider bei vielen Vorfällen, obwohl diese Information oft für Dritte hilfreich wäre.

      • 1ST1 sagt:

        Das passiert in der Tat viel zu selten. Aber mit dem Veröffentlichen dieser Info stellt so ein Dienstleister dann möglicherweise auch seine Inkompetenz zur Schau, schon deswegen wird das keiner tun. Ich habe das in den Jahren in denen ich in dem Job nur einmal erlebt, dass so eine Info veröffentlicht wurde, Uni Münster/Westphalen, da wurde zumindestens bekannt gegeben, dass ein Citrix-Zugang ohne 2FA per Personal Engeneering geknackt wurde. Was aber nicht gesagt wurde, ist wie anschließend auf dem Citrix-Desktop der eigentliche Schädling gestartet werden konnte.

        • Pau1 sagt:

          Sorry . Aber wir wissen alle, dass wir Fehler machen.
          Und Fehler zugeben ist ein Zeichen von Größe m

          Es ist doch völlig bescheuert zu sagen, ich sage doch nicht was das Problem war, lass die anderen den Fehler doch auch machen.
          Z.B. das jmd. so blöd war bei einem Test-VPN das Default nicht zu ändern.
          Selbst wenn das bei uuuuunnnssss niiiie vorkommen kaaaan,
          würde man trotzdem Mal nachsehen, oder?
          Wir sind alle Menschen und machen Fehler.

      • Reimar sagt:

        Hallo Günther,

        Zum Thema geschäftliche Infos zu deutschen Firmen, schau mal ins Handelsregister. Das muss stimmen
        SIT GmbH – HRB 2686 – AG Iserlohn

        Beste Grüße
        Reimar

        • Günter Born sagt:

          Hm, der öffentlich einsehbare Eintrag endet im Juli 2022. Die letzten Beschlüsse von Sept. 2023 haben wohl noch keinen Eingang beim Handelsregister gefunden – dauert i.d.R., bis das nachgetragen wird.

          • Reimar sagt:

            Ich glaube du bist einem Trittbrettfahrer aufgesessen.
            Die amtliche Seite ist und dort ist der letzte Eintrag für die SIT vom 2.11.2023.

            Spannend ist dort auch der Eintrag vom August:
            Die Gesellschaft hat nach Maßgabe des Spaltungs- und Übernahmevertrages vom 13.06.2023 Teile ihres Vermögens als Gesamtheit im Wege der Umwandlung durch Abspaltung auf die CitKomm assets GmbH mit Sitz in Aachen (Amtsgericht Aachen HRB 26876) übertragen.

            Also irgendwas ist da faul in der GmbH. Ich will hier nicht weiter mutmaßen, aber man fragt sich schon warum es neue GF gibt und Teile der Firma verkauft werden und dann gibt es einen Supergau.

        • Anonymous sagt:

          Handelsregister usw. hat jedoch rein gar nichts mit Post Mortems zu tun

          • Reimar sagt:

            Es geht hier um den Teil des Artikels, der die Führungsstrukturen der SIT beleuchtet. Der Fisch stinkt meist vom Kopf. Und wenn eine Firma so kolossal verkackt, dann stellt sich die Frage: Wer verantwortet das?
            In diesem Fall gab es auffallend viele Wechsel der GF. Es kam zu einem Generationenwechsel und kurz danach kommt es zum Supergau. Da fallen mir viele Szenarien ein. Insiderjobs wäre einer davon oder man hat es kommen sehen, konnte mit der alten Mannschaft das nicht mehr fixen (weil die es nicht eingesehen hat) und war schlicht zu langsam.

    • 1ST1 sagt:

      Wie ich im anderen Thread geschrieben habe, das ist so allumfassend über die Umgebung von über 100 Kommunen passiert, das kann garnicht auf Ebene eines oder mehrerer Windows-Server passiert sein, sondern auf der darunter liegenden Infrastruktur-Schicht. Ich gehe daher favon aus, dass die zugrundeliegenden Hypervisoren und/oder Storages kompromitiert wurden. Da reden wir möglicherweise tatsächlich über Windows (Hyper-V), aber mit größerer Wahrscheinlichkeit von VMWare Vsphere, möglicherweise über irgendwelches XEN/ZEN/Proxmox/…OpenStack-Zeugs und sind damit in der ach so sicheren Linux-Welt angekommen. Bei VMware, das auch auf einem Linux-Kernel basiert, ließt man ständig von Sicherheitsupdates, aus dem Internet erreichbaren VCentern und solchen Sachen. Also, halte dich bitte mit deinem achso sicheren Opensource-Kram mal besser vorsichtig zurück.

      • Ömmes sagt:

        Ach, kommt wieder der Kindergartenbeißreflex? Hier geht es nicht um hacken eines Systems, hier geht es darum, möglichst schnell möglichst viel Geld zu machen und da ist der Aufwand bei MS Systemen nunmal erheblich geringer – zum einen durch ihr schlechtes Design, das oft mit haarsträubend schlechter Konfiguration einhergeht, zum Anderen schlicht durch die Verbreitung in Firmennetzwerken.

        Ich weiß, das passt nicht in deine kleine Welt, ist aber nunmal so ;-)

        • Anonymous sagt:

          Wäre mir neu, dass da der Aufwand geringer wäre. Windows ist nur weiter verbreitet, Linux bei Servern aber ebenso.

          Da hat wohl jemand nicht mitbekommen, was Ransomware-Gruppen mit Golang, Rust usw. an Ransomware schreiben. Die Initial Access Broker öffnen den Ransomware-Affiliates die Tür. Der Rest ist dann oftmals unabhängig vom System (auch weil es schon viele fertige Ransomware-Kits gibt, die auf mehrere Systeme abzielen).

      • Joe sagt:

        Daß Du nur Überschriften lesen kannst, habe ich ja in dem anderen Thread schon gesehen, in dem Du nur aus der Überschrift herausgelesen hast, daß weitere 72 Kommunen von dem Vorfall betroffen sind. Aus dem Artikeltext ist jedoch zu ersehen, daß es nicht um die Anzahl der Kommunen, sondern um den Umfang des Schadens geht. Gut mittlerweile sind wir bei über 100, aber das eben belegbar.

        Was nicht belegt ist, daß es alle dieser über 100 Kommunen getroffen hat. In einer Stellungnahme des GF der SIT (nachzulesen in den verlinkten Artikeln von Jens Lange) sind eben nicht alle Kommunen aus dem Verbandsgebiet betroffen, sondern nur einige.

        Daß die SIT aus Sicherheitsgründen die Verbindung zu allen Kommunen gekappt hat, ist eine reine Sicherheitsmaßnahme. Ein Arzt, der einen Patienten mit undefinierten Krankheitssymptomen behandeln soll, legt den auch nicht mit anderen Patienten zusammen, sondern isoliert den vorsichtshalber.

        Genauso wenig ist belegt oder gar bekannt, welche Art von Virtualisierer die SIT einsetzt. Daher ist es müßig, sich über die jeweiligen Systeme hier auszulassen.

      • Anonymous sagt:

        VMware vSphere ESXi hatte auch schon öfter mal kritische Sicherheitslücken und fiel ransomware-gruppen zum Opfer.

        https://duckduckgo.com/?t=ffab&q=ransomware+esxi&ia=web

        https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-205338-1032.html

        Der andere Kommentar mit "Kindergartenbeißreflex" entbehrt sich jeder beruflichen Professionalität im IT-Bereich.

      • Günter Born sagt:

        @All: Ab hier sollte der Thread enden! Fakt: Wir wissen bisher nicht, wie die Infektion passierte und was an Infrastruktur initial infiziert wurde. Dass Ransomware-Gruppen inzwischen Plattformübergreifend arbeiten, ist auch bekannt. Nur für's Protokoll – ein Auszug aus dem TM-Bericht zu Akira:

        In June 2023, just three months after Akira was discovered, Akira expanded its list of targeted systems to include Linux machines. Malware analyst rivitna shared on X that Akira ransomware actors used a Linux encryptor and targeted VMware ESXi virtual machines.

        Meanwhile, in August, incident responder Aura reported that Akira was targeting Cisco VPN accounts that didn't have multifactor authentication (MFA).

        Cisco released a security advisory on Sept. 6, 2023, stating that Akira ransomware operators exploited CVE-2023-20269, a zero-day vulnerability in two of their products' remote access VPN feature: the Cisco Adaptive Security Appliance (ASA) software and Cisco Firepower Thread Defense (FTD) software.

        • Anonymous sagt:

          korrekt, genau so sehe ich das auch – also mal mit Vermutungen (es liegt nur an Windows / MS, nicht an menschlichen Fehlern oder ungepatchten Linux-Systemen) besser zurückhalten

  4. Bernie sagt:

    Interview mit SIT-Verbandsvorsteher Theo Melcher vom 08.11.2023:
    In den Verwaltungen müssen 22.000 Computer überprüft werden
    (Quelle:LokalPlus)

    Laut Quelle müssen in den Verwaltungen 22.000 Computer und 1400 Server überprüft werden. Es wird daher aus meiner Sicht Monate dauern, bis alle Systeme und Fachanwendungen wieder "sauber" funktionieren und Online sind.

    Ansonsten:
    Eine gute Sache (bitte nicht falsch verstehen) hat der Vorfall aber:
    Der Schaden (geht vermutlich in die Millionenhöhe) ist ein gutes Argument (Stichwort "Kosten-Nutzen-Analyse") für IT-Verantwortliche in Behörden mehr finanzielle Mittel für die IT-Sicherheit zu beantragen.

    • Micha sagt:

      Bevor man den Dienstleister im Ganzen als inkompetent hinstellt, sollte man schon bedenken dass dies nicht auf die armen Schweine in den Systemadministrator Rollen zutreffen muss. Denn die müssen den Karren gerade aus dem Mist ziehen.
      Aus eigener Erfahrung kann ich sagen, dass sowas meist die Konsequenz von Entscheidungen sind, die weit oberhalb der Gehaltsgruppe eines Sys Admins gefällt werden.

  5. Ralle sagt:

    Es gibt doch jede menge Tools zum Monitoring, bei der ganzen Verschlüsselung muss doch die CPU Leistung steigen wie bekloppt. Ein einfacher Arbeitsplatz in einer Behörde kann doch nicht alle System erreichen und infizieren. Für gewöhnlich wird doch erst die befallen Maschine lokal verschlüsselt und danach geht die Reise ins Netzwerk.

    • Name sagt:

      Aus eigener Erfahrung kann ich berichten: Es muss hier nichtmal etwas verschlüsselt worden sein; die Sicherheitssysteme können noch rechtzeitig angeschlagen haben. Und dennoch muss man jetzt sehr sehr genau schauen, auf welche Systeme die Angreifer zugegriffen haben, ab wann und wie man die jetzt wieder herstellen kann. Viele Firmen (u.a. Krankenhäuser) haben in den letzten Jahren und Monaten gedacht, dass man einfach ein Backup kurz vor dem Vorfall wieder einspielt und fertig – und wurden wenige Monate später wieder verschlüsselt.

    • Joe sagt:

      Moin,
      ja, es gibt Monitoring-Tools, die Plattenzugriffe, plötzliche CPU-Last, etc. überwachen, aber die schlagen erst Alarm, wenn etwas passiert bzw. passiert ist. Und man kann jetzt wieder ganz toll philospophieren, aufgrund welcher Vorkommnisse in der Nacht von 29.10. auf den 30.10. "festgestellt worden ist, daß sich verschlüsselte Dateien auf den Servern der SIT befinden". Diese Glaskugelbefragung und Kaffeesatzleserei bringt aber alles nichts, da hier im Block wirklich niemand stichhaltig belegen kann, was tatsächlich passiert ist.
      Und alles, was von offizieller Seite mitgeteilt wird, sind Auswirkungen des Ransomware-Vorfalls, an der Ursache dafür, also wie die Schadsoftware auf die Server der SIT gelangt ist, wird derzeit noch untersucht.
      Gleichfalls ist bisher noch nicht verlautbart worden, wie lange sich eventuelle Malware bereits auf den Systemen der SIT befunden hat und erst zum 29./30. durch die Akteure "scharf" geschaltet wurde.
      So ist auch die Aussage des Landrats vom Kreis Olpe zu verstehen, der eine Überprüfung aller Server und Rechner im Kreisgebiet als notwendig erachtet, unabhängig davon, ob ein unautorisierter Zugriff auf eines dieser Systeme stattgefunden hat oder nicht.

  6. Andreas sagt:

    Ich hoffe nur, dass man wenigstens den Herstellern von Sicherheitslösungen gegenüber etwas transparenter hinsichtlich der Angriffsvektoren ist. Nur so kann man die Waffen weiter schärfen um diesen Krieg zu beeinflussen. Gewinnen kann man Ihn, glaube ich, eher nicht. Das Problem ist dabei neben veralteter Software und Sicherheitstechnik immer der Mensch und seine Schwächen Ignoranz, Inkompetenz und Überforderung. Dazu kommt eine zunehmende Konzeptlosigkeit angesichts der steigenden Bedrohung.

  7. Pau1 sagt:

    Woher weißt du das?
    Wenn ich irgendwo rein gekommen bin, würde ich einen Kanarievogel aufsetzen oder gar nichts am einfalls Ort ändern.
    Alles schön im Speicher lassen. Wenn das System dann abgeschaltet wird, sind alle Spuren weg. Und wenn es vom Netz genommen wird, schlägt der Kanarienvogel zu. Dann ist's für mich wurscht.
    Sonst würde ich mal gucken wo ich bin, was sich lohnt.
    Das in ganz kurzen Vorgängen über lange Zeit.
    Vielleicht das System anfangen zu rooten .
    Aber als erstes Verschlüsseln? Ne.

    Man würde wahrscheinlich auch immer nur einzelne Dateien umkopieren, dabei verschlüsseln und dann das Original löschen.
    Wenn man auf einem Rechner plötzlich 50 Threads spawnt dann merkt sogar ein User das. (Ist mir mal passiert. Es war aber nur ein Amokläufe der Virenscanner).
    Das Verschlüsseln wird immer die letzte Aktion sein, logo

  8. EhemSITDude sagt:

    VPN ohne 2FA, Exchange von 2010. Noch Fragen?

      • Günter Born sagt:

        Er wird da eher keine Quelle nennen – der Alias deutet aber darauf hin, dass er ein ehemaliger SIT-Mitarbeiter ist. Ob seine Information aktuell ist, steht offen. Lassen wir es einfach mal im Raum stehen – kann zutreffen, kann nicht zutreffen.

        Hier bleibt zu hoffen, dass von SIT ein Post-Incident-Report veröffentlicht wird, so dass alle Spekulationen vom Tisch sind.

  9. Bernie sagt:

    Sieht nach wie vor nicht gut aus, weitere Beispiele zu den weitreichenden Folgen des Cyberangriff:

    Auch der Zahlungsverkehr der Kommunen ist beeinträchtigt:
    Einige betroffenen Kommunen und Landkreise können durch einen
    Ausfall der Finanzsoftware aktuell keine Steuern einziehen.
    https://www.siegener-zeitung.de/lokales/siegerland/cyberangriff-in-siegen-wittgenstein-und-olpe-aktuelle-news-in-unserem-liveticker-A2PISPMKSNDTNHXGO7DO6UU6LM.html
    (Quelle: Siegener Zeitung)

    Die Stadt Bergisch muss als Folge Kredite aufnehmen:
    https://in-gl.de/2023/11/13/cyber-attacke-stadt-kann-steuern-nicht-einziehen-nimmt-kredit-auf/
    (Quelle: Bürgerportal in GL)
    https://www.bergischgladbach.de/news/50617/cyber-angriff-auf-die-sit–finanzsoftware-kann-abbuchungstermin-nicht-starten-termine-werden-teilweise-verschoben
    (Quelle: Infoseite der Stadt Bergisch Gladbach)

    Märkischer Kreis:
    Es wird darum gebeten, Forderungen auf Konten des Kreises manuell zu überweisen.
    https://lokaldirekt.de/news/it-ausfall-forderungen-des-kreises-manuell-ueberweisen
    (Quelle: LokalDirek)

    Der Cyberangriff betrifft aber nicht nur die Verwaltungen und einzelne Bürgerdienste. Weil die Zulassungsstellen des Kreises nicht arbeiten können, sind auch heimische Autohäuser betroffen:
    https://www.soester-anzeiger.de/lokales/warstein/cyberangriff-stadt-warstein-mit-not-homepage-folgen-fuer-autohaeuser-92662209.html
    (Quelle: Soester Anzeiger)

  10. Emil sagt:

    Auch interessant:
    https://notfallseite.sit.nrw/
    Pressekontakt:
    sit.presse@gmail.com
    ……………….^^^^…….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.