Südwestfalen IT: Chaos ist das neue Normal; Mail für NRW-Verwaltungen wegen Sicherheitslücke gestoppt

Sicherheit (Pexels, allgemeine Nutzung)Kunden des kommunalen IT-Dienstleisters Südwestfalen IT (SIT) brauchen momentan Nerven. Chaos ist seit November 2023 "das neue Normal". Die Südwestfalen IT leidet unter massivem Personal-Schwund, und nun kam zum Wochenende die nächste Hiobsbotschaft. Wegen Schwachstellen waren viele Verwaltungen in Nordrhein-Westfalen seit Freitag nicht per Mail erreichbar. Das soll aber inzwischen entsprechend behoben worden sein. Hier eine kleine Nachlese, was aktuell so ansteht.


Anzeige

Personalnot bei der Südwestfalen IT

Ich bin bereits Ende vorige Woche über nachfolgenden Tweet von Jens Lange auf das Thema "dünne Personaldecke bei der Südwestfalen IT" gestoßen. Auf der Seite Jobs bei der SIT sind zur Zeit sehr viele Stellen zu besetzen.

Stellen bei der Südwestfalen IT

Wie Jens Lange anmerkt, ist die Seite mit den Stellenanzeigen auf der SIT-Notfallseite geschaltet. Da scheint die Not doch wohl recht hoch, und es dürfte im Umfeld des Cybervorfalls von Ende Oktober 2023 einige Kündigungen gegeben haben. Seit Februar 2024 soll ein neuer Geschäftsführer die Aufarbeitung dieses Vorfalls begleiten.

Teure Folgen für Kommunen

Zum 15. Februar 2024 wies Jens Lange auch auf die Folgen des IT-Sicherheitsvorfalls für die Verbandumlage der 72 Mitgliedskommunen hin. Für die wird das Ganze teurer, wie Lange in folgenden Tweet offen legt.

IT-Vorfall bei Südwestfalen IT wird teuer

Der Zweckverband muss nach dem dem schweren IT-Sicherheitsvorfall die Verbandsumlage der 72 Mitgliedskommunen für 2024 um 19 % erhöhen. Für 2025 und die Folgejahre erfolgt dann eine weitere Erhöhung um 4 %. Leider befindet sich der Artikel hinter einer Paywall – aber die Zahlen sprechen auch so für sich.

Chaos das neue Normal

Für die betroffenen Kommunen ist "Chaos das neue Normal", denn die IT-Krise ist ja noch nicht vorbei. Die Westfalenpost zeichnet in diesem Artikel die Situation der Stadt Siegen gut 100 Tage nach dem Cybervorfall nach. Die Verantwortlichen in der Kommune hoffen, "aus dem Gröbsten raus zu sein". Die gute Botschaft: Bestimmte Bereiche der Verwaltung "können wieder drucken", beispielsweise Bebauungspläne oder Katasterauszüge.

In der Kommune mussten 200 Rechner neu aufgesetzt werden und viele Verwaltungsvorgänge müssen nachgearbeitet werden, weil seit dem Cybervorfall nichts mehr ging. Die Stadt Siegen rechnet mit einem Millionenbetrag, den dieser Angriff die Kommune kosten wird. Dieses Bild dürfte in vielen betroffenen Kommunen zu finden sein.


Anzeige

Sicherheitslücke: E-Mail-System der SIT abgeschaltet

Nach dem Motto "Chaos das neue Normal" wurde nun bekannt, dass die Südwestfalen IT ihre zentralen E-Mail-Dienste für viele Kommunen in Nordrhein-Westfalen aus Sicherheitsgründen heruntergefahren hat. Ein Blog-Leser hat mich auf den Sachverhalt hingewiesen, aber Jens Lange berichtete bereits zum 18. Februar 2024 in nachfolgendem Tweet, dass die Südwestfalen IT den E-Mail-Server der Stadtverwaltung Iserlohn wegen einer Sicherheitslücke heruntergefahren habe.

E-Mail-System gestoppt (SIT)

Die Maßnahme erfolgte letzten Freitag (16. Februar 2024), und die Stadtverwaltung konnte keine externen E-Mails empfangen. Am heutigen Montag (19.2.2024) teilte die Stadtverwaltung laut IKZ-Online mit, dass das Mail-System wieder funktioniere. Dieses Mail-System war seit Freitag bis Montagnachmittag, etwa 15.30 Uhr, abgeschaltet.

Bereits wieder Entwarnung zum Montag

Vor einigen Stunden kam dann der Hinweis, dass die Südwestfalen IT Ich habe Informationen erhalten, nach denen die Südwestfalen-IT ihr zentrales E-Mail-Relay heruntergefahren hat und damit alle darüber angebunden Kommunen keine E-Mails empfangen können. Der Blog-Leser hat mich dann auf diesen Beitrag des Soester-Anzeigers hingewiesen. Der Beitrag bestätigt, dass in fünf Kommunen, die mit dem E-Mail-System der SIT arbeiten, keine Mails mehr empfangen werden können.

  • Märkischer Kreis
  • Kreis Olpe
  • Hochsauerlandkreis
  • Kreis Siegen-Wittgenstein
  • Kreis Soest

Es wird lediglich ausgeführt, dass das BSI vor einer Schwachstelle bei Microsoft gewarnt habe. Angreifer können die Schwachstelle ausnutzen, um die Identität von Nutzern zu kapern und für ihre Zwecke zu missbrauchen. Auch hier ist das Problem zum Montagnachmittag, den 19.2.2024, wohl behoben.

Hintergrund: Exchange Server-Schwachstelle

Der Hintergrund für die zeitweise Abschaltung des zentralen E-Mail-Relay ist die Schwachstelle CVE-2024-21410 in Microsofts Exchange Server. Ich hatte im Blog-Beitrag Nachlese zu CU 14 für Exchange 2019 und Schwachstelle CVE-2024-21410 (Feb. 2024) das Thema nachbereitet, welches seit dem 13. Februar 2024 auf dem Tisch liegt. Die Elevation of Privilege-Schwachstelle CVE-2024-21410 ist mit einem CVEv3.1 Score 9.8 als kritisch eingestuft und betrifft Microsoft Exchange Server. Ich hatte im Blog-Beitrag Microsoft Security Update Summary (13. Februar 2024) ausgeführt, dass die erfolgreiche Ausnutzung dieser Schwachstelle es einem Angreifer ermöglicht, einen New Technology LAN Manager Version 2 (NTLMv2) Hash gegen einen anfälligen Server weiterzuleiten. NTLM-Hashes könnten in NTLM-Relay- oder Pass-the-Hash-Angriffen missbraucht werden, um die Position eines Angreifers in einer Organisation zu stärken.

Das BSI warnte inzwischen vor dieser kritischen Schwachstelle, nachdem Microsoft den Hinweis, dass die Sicherheitslücke bereits aktiv ausgenutzt wird, ergänzt hat. Die Schwachstelle ermöglicht es externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients (wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server zu authentifizieren und Aktionen mit den Berechtigungen des ursprünglichen Opfers durchzuführen.

In Folge dieser Offenlegung mussten Administratoren ihre Microsoft Exchange-Server auf einen aktuellen Update-Stand bringen, und sofern noch nicht geschehen, die Extended Protection (EP) aktivieren. Aus der Leserschaft gab es die Rückmeldung, dass die EP eigentlich seit 2023 aktiviert sein sollte, so dass der betreffende Schutz gegen diesen Angriff gegeben ist. Zudem gab es den Hinweis, dass man das veraltete NTLMv2 deaktivieren und zur Kerberos-Authentifizierung wechseln sollte – die ist für dieses Angriffsszenario nicht anfällig. Die Abschaltung des zentralen E-Mail-Relay bei der Südwestfalen IT war wohl genau dieser Schwachstelle geschuldet.

In diesem Artikel heißt es, dass die Südwestfalen IT am "Donnerstag-Abend" (15. Februar 2024) mit der "Installation von Updates auf die Computer der Kommunen" begonnen habe. Hier ist mir aber nicht so wirklich klar, was da genau passiert. Wenn die Exchange Server bei der SIT im Rechenzentren in Hemer stehen, könnten auf den Clients der Kommunen möglicherweise Updates für Microsoft Office und vor allem Outlook ausgerollt worden sein. Vielleicht kann da jemand aus der Leserschaft mehr Licht ins Dunkel bringen. Jedenfalls soll E-Mail ab dem morgigen Dienstag wieder funktionieren.

Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT; Stand Januar 2024

Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

42 Antworten zu Südwestfalen IT: Chaos ist das neue Normal; Mail für NRW-Verwaltungen wegen Sicherheitslücke gestoppt

  1. 1ST1 sagt:

    Wundert mich, dass man wegen der Exchange-Updates die Mailserver außer Betrieb nehmen muss. Man kann die einzelnen Server eines Exchange-Clusters doch im laufenden Betrieb patchen? Ich meine, wenn man so viele Kommunen mit Mail ausstattet, dann müssten doch für die Redunndanz genug Exchangeserver in den Clustern vorhanden sein?

    Und was mir dann beim Lesen des Artikels durch den Kopf schießt, wenn bei SIT die Fluktuation bei den Admins so groß ist, wie gut sind/waren deren Chancen, wo anders unter zu kommen? Ich weiß, es gibt viele offene Stellen in dem Bereich, sehr viele, aber zuletzt bei der SIT tätig, das dürfte vorerst nicht unbedingt das Aushängeschild im Lebenslauf sein, um wo anders unter zu kommen, oder?

    • SIT Kunde sagt:

      Die Erklärung die m.W. u.a. in der Siegener Zeitung veröffentlicht wurde ist, dass man auf Grund der Sicherheitslücke und einem erhöhten Aufkommen an SPAM den Maileingang gesperrt hat.

      Jedenfalls bis die Server gepatcht sind. Da jede Kommune mehrere Server hat, kann das durchaus eine ganze Weile dauern. Ich denke nach der Katastrophe im Oktober hat man nun gute Argumente gegenüber den Bürgermeistern usw. auch eine längere Abschaltung zu begründen.

      Persönlich finde ich die Dauer aber viel zu lange.

      Das könnte aber daran liegen, dass die SIT wie auch die Vorgänger zu lange auf „Never change a running system" gesetzt hat. Leider würde es mich wundern, hätte man eine A/B Aufteilung der Exchange-Systeme und würde (nach Freigabe) automatisch Patches beginnend mit einer Gruppe verteilen können.

    • Pau1 sagt:

      Das da Leute gekündigt haben/wurden ist ein Verdacht, den Günter angedeutet hat.
      Es kann auch sein, dass sie schon lange zu wenig Leute haben und die wenigen keine Schulungen besuchen können, weil sie dann für ein paar Tage ausfallen.
      Auch kann das nur Effekthascherei sein. Ich dhorte schon von Unternehmen, die kurz vor der Pleite noch Personal gesucht und eingestellt haben, nur um den Kunden und Mitbewerbern gegenüber zu zeigen, wie gut der Laden läuft..
      Man fragt sich dann allerdings: Warum sind sie teurer als private Anbieter?

  2. Holger sagt:

    Ich kann nur hoffen, die schicken mir nicht nochmal einen Recruiter auf den Hals und sagen dann im Anschluss zwei Termine einen Tag vorher ab…. Ich habe dann höflich um zukünftige Nichtbeachtung meiner Person bei sämtlichen Recruitingaktionen gebeten… Unfassbar!

  3. R.S. sagt:

    Ja, das riecht ganz stark nach Exchange und der angesprochenen Sicherheitslücke.
    Ich frage mich, warum man da erst jetzt aktiv wird?
    EP gibt es für Exchange 2013 (sollte man nicht mehr nutzen, da EOL), 2016 und 2019 seit dem Patchday im August 2022.
    Nach intensivem Logging und Analyse der Domäne habe ich EP schon im Oktober 2022 scharf geschaltet, und alles auf Kerberos umgestellt.
    Nach kleineren Hakeleien läuft das hier seit dem Patchday Dezember 2022 (Das Windows-Update vom November verursachte Kerberos-Probleme) stabil.

    Die Kommunen und deren Mitarbeiter sind da echt gebeutelt.
    Und was die Personaldecke bei der SIT angeht:
    Wurden die ITler gefeuert oder haben die freiwillig die Flucht angetreten, damit die für den verzapften Mist bzw. die Untätigkeit bzgl. Sicherheit nicht noch zur Verantwortung gezogen werden können?

  4. Pau1 sagt:

    Es war schon immer besser sich aus einer ungekündigten Stellung zu bewerben.
    Und ich weiß andererseits nicht wie es im Lebenslauf aussieht
    letzter Arbeitgeber SIT, freigesetzt seit.

    Es sieht immer wieder danach aus als herrschte dort der Schlendrian. Dafür trägt aber die Führungsriege die alleinige Verantwortung.
    Ein Bekannter hatte nach dem Studium auch bei so einem öffentlichen Unternehmen begonnen. Nach wenigen Wochen ist er, obwohl Berufsanfänger, geflohen. Er wollte eigentlich etwas sinnvolles arbeiten und nicht seine Zeit sinnlos totschlagen…aber es gibt auch andere Menschen.
    Für das Leben die Zeit außerhalb der Arbeitszeit.
    Wie sagte jemand:
    Er würde die Arbeit nur als notwendige Unterbrechung zur Finanzierung seines Urlaubs betrachten.

    • Pau1 sagt:

      Es kann auch sein, das das ganze Dilemma daran liegt dass da zu wenig Leute waren, die produktiv gearbeitet haben. Jetzt sehen sie Chance mal die Personaldecke aufzuschütteln, weil nun Geld da ist?

      Die 200 Rechner klingen danach dss bei jedem einzelnen handlaufgelegt werden muß.

    • Anonymous sagt:

      Also mein Chef käme nicht auf die Idee, nach dem letzten Arbeitgeber zu googeln. In die Situation käme er aber eh nur, wenn er Ersatz für mich (IT-Leiter) suchen würde.
      Aber ich checke natürlich Bewerber immer, bevor ich tiefer in den Bewerbungsprozess einsteige. Da googel ich nach den letzten 1-2 Arbeitgebern, schau mir ein paar kununu-Bewertungen an, schau mir die LinkedIn-Profile an, usw.
      Wir sind ein eher kleines KMU. Wir haben nicht mal eine Personalabteilung. Mein Chef hat es nicht so mit googeln. Und bzgl. IT kann man ihm alles erzählen.

  5. Chris sagt:

    keine MFA im vpn, jetzt das
    ich habe das Gefühl das da nicht nur die Personaldecke dünn ist sondern auch die Qualifizierung.Und auch die Architekten und das Management sollten sich langsam Sorgen machen.
    So viel negative Presse ( und im zivilen wären da auch dicke Vertragsstrafen) hat schon einige Firmen die Verträge gekostet, und verantwortliche den Job
    alleine wie es klingt ist das ganze konzeptionell nicht geplant sonst gäbe es einen Plan für worst Case Szenarien, backup/ Restore und auch Updates

    • Pau1 sagt:

      Das "kein MFA für VPN" kann auch vom Cheffe kommen, den es nervt immer mit dem Dongle zu reisen schleppen zu müssen.
      Und im öffentlichen Dienst gelten Hierarchien noch etwas. Besonders übel ist das im Krankenhaus-Bereich verbreitet. Da wird der Begriff "Kadavergehorsam" besonders anschaulich…

  6. JD sagt:

    Wenn selbst die "Experten" mit maximal EG11 oder EG10 TvÖD bezahlt werden sollen, sind die Aussichten auf wirklich gute Bewerber noch nicht so groß…


    GB: hab mal den Text etwas korrigiert – war irgendwie verunglückt – hoffe, es spiegelt das wider, was Du ausdrücken wolltest.

    • wussteesmal sagt:

      Und bei uns hat man sich gewundert, dass auf die mit EG9 ausgeschriebene Stelle keine Bewerbungen eingingen.

      • Bernd B. II sagt:

        Ich dachte auch mal, das sei die Erklärung für fehlendes oder inkompetentes IT-Personal der öffentlichen Verwaltung. Dann schaute ich in die Gehaltstabellen und wunderte mich.
        EG-V 9b: Einstieg mit 2162.33 € netto, nach spätestens 15 Jahren 2909.00 €
        EG-V 11: Einstieg mit 2407.77 € netto, nach spätestens 15 Jahren 3390.70 €

        Das ist kein gravierender Unterschied zu angestellten Fachinformatikern kleinerer und mittlerer Betriebe der Privatwirtschaft.

        Zusätzlich können die Erfahrungsstufen verkürzt oder übersprungen werden, es gibt Leistungszulagen und Weihnachtsgeld.

        • Ronny Kaufmann sagt:

          Selbst wenn deine Zahlen richtig wären, ist EG11 für Leute mit Studium + 5 Jahre praktischer Berufserfahrung ein schlechter Scherz.

          Und für Fachinformatiker mit dem Aufgabengebiet und der angeforderten Erfahrung werden nur selten weniger als EG10 verdienen.

        • Pau1 sagt:

          Bist Du sicher dass das netto ist?
          Tarife werden üblicherweise "brutto" verhandelt.
          Was netto draus wird hängt gerade im ÖD stark vom Familienstand und Anzahl der Kinder ab.

  7. Fritz sagt:

    Beim "Nachgooglen" fiel mir u.a. dieser etwas ältere (k.A. ob das hier schon thematisiert wurde) Artikel in die Hände (momentan ohne Paywall): https://www.wp.de/staedte/siegerland/cyberangriff-siegen-baut-immer-mehr-it-systeme-ohne-sit-auf-id240752114.html

    Bei dem Aufmacherfoto frage ich mich, ob die eigene Infrastruktur dann "sicherer" ist, "verfügbarer" wird sie aber vermutlich sein. Manche Angaben (LTE-Router, Satelliten-Internet) lassen mich das eher nicht vermuten – die Internetleitungen waren ja wohl nie das Problem.

  8. rpr sagt:

    Ok,
    nicht glücklich aber immerhin haben sie "zeitnah" reagiert und erst einmal die Umgebung gesichert indem sie den Stecker gezogen haben. Das scheinen jetzt also Leute zu sitzen die lernfähig sind oder Ei*** in der Hose haben.
    Meine persönliche Meinung ist das sie zeitnah mit wem oder was auch immer fusionieren weil sie den Betrieb nicht aufrecht halten können.
    Sieht man ja gerade sehr schön im Gesundheitswesen wer alles wegen Personalmangel den Betrieb einstellt.
    Spoiler: Wir boomer fangen gerade erst an in Rente zu gehen.

  9. enrgy sagt:

    Die bauen ultimativen Mist und erdreisten sich, auch noch massiv die Preise zu erhöhen?? Läuft…

  10. Hanz Dampf sagt:

    Herrje,

    das HR Personal so in der Freizeit treibt weiß man auch gleich nach den ersten google treffern. Mir geht es jetzt nicht darum diese Person vor zu führen. Wir haben ja alle so unsere Jugendsünden. Das dies gleich auf der ersten Seite mit Ihrem Bild kommen muss.

    Lokale Partykönigin
    „Wir haben etwas übertrieben", berichtet Lisa. Am liebsten trinkt sie Schnaps – oder Schorle. Wobei das keine Apfelschorle ist. Sondern Fassbrause mit Korn. „Das schießt dann plötzlich in den Kopf."

    Ich habe die Frau mal angeschrieben ob es nicht besser wäre den Zeitungsartikel Offline zu nehmen oder anpassen zu lassen.

    Ist Exchange OnPrem überhaupt noch irgendwie "sicher" zu betreiben. So schlecht wie M$ sich darum kümmert. Ach das waren noch Zeiten mit Exchange 5.5 und 2000 nach 2013 ging es mit dem Produkt nur noch bergab.

    • R.S. sagt:

      Naja, es geht bei der Sicherheitslücke ja eigentlich gar nicht um den Exchange (auch, wenn das von MS so kommuniziert wird), sondern darum, das man NTLM-Hashes abgreifen kann.
      Theoretisch ist davon alles, was NTLM nutzt, betroffen, nicht nur der Exchange.
      Abhilfe schafft dann EP.
      Dadurch wird das Abgreifen von NTLM-Hashes verhindert.
      Ebenso die Umstellung auf Kerberos und Abschalten von NTLM.
      Wo es kein NTLM gibt, können auch keine NTLM-Hashes abgegriffen werden.
      Und Outlook kann seit mindestens Version 2010 problemlos Kerberos.

      Und damit die NTLM-Hashes von außen abgegriffen werden können, müsste der Port 445 (SMB) in der Firewall nach außen hin offen sein.
      Aber wer mit gesundem Menschenverstand hat den Port nach außen hin offen?

      Und EP schützt auch vor einer Sicherheitslücke aus 2023.
      EP gibt es seit August 2022, da war jetzt also über 1 Jahr Zeit, das zu aktivieren.
      Ausnahme ist nur die Hybrid-Konfiguration, da kann man leider EP nicht aktivieren.

      • Pau1 sagt:

        445 offen?
        Das hatte doch Mal die Telekom/T-Online hinbekommen. Deren Webfront end hatte immer alles mit 44x freigegeben, auch wenn man nur 443 öffnen wollte. Kleiner Bug.
        Wie gut das in Deutschland nmap als verbotenes Hacker Tool gilt und von einigen Schlangenöl-Verkäufern als PUA oder "Grayware" klassifiziert wird.

        Vielleicht ist noch der Hinweis hilfreich gegen das FUD das "eigentlich" jeder Provider (seit Code Red) den Port 445 geblockt hat. Das ist ein LAN Protokoll, schon immer extrem leicht angreifbar und sehr schlecht über WAN funktionierend.
        Aber man will ja Schlangenöl verkaufen…

        (das mit den von Providern gesperrten Port 445 bekamen Benutzer der Firewall-App "ipcop" zu spüren, "default" die Fernwartung über 445 lief, aber halt sehr oft nicht funktionierte. Heute nimmt man SSH oder von).

    • Bernd B. sagt:

      Was hat das Privat(!)leben einer Personalerin der Südwestfalen IT mit der Seriosität der Firma zu tun?
      Das ist doch jetzt arg an den Haaren herbeigezogen.

    • 1ST1 sagt:

      "Ist Exchange OnPrem überhaupt noch irgendwie "sicher" zu betreiben. So schlecht wie M$ sich darum kümmert. Ach das waren noch Zeiten mit Exchange 5.5 und 2000 nach 2013 ging es mit dem Produkt nur noch bergab."

      Lustigster Beitrag des Tages! Exchange 5.5/2000, da wurde noch kein Bit an Sicherheit gedacht, ein Scheunentor ist ein Nadelöhr dagegen!

      Damals hatte die IT und das Internet ihre Unschuldigkeit. Ich hab mir damals den Spaß erlaubt, einem IT-Systemhaus täglich ihre Demo-Terminalserver, die frei im Interent erreichbar waren, mit Admin-PW auf der Webseite für die Anmeldung, schön brav nach Passwortänderung runter zu fahren. Nur ausgeschaltet waren die Dinger sicher, in der Netzwerkumgebung waren Desktops und andere Server des Systemhauses zu sehen, teils mit Everyone-Shares…

      • Held der Arbeit sagt:

        Ach Du warst das, ich hab mich damals schon gewundert und bin immer die Straße auf und ab gelaufen um zu schauen, ob jemand was am Kabel macht.

      • Pau1 sagt:

        Die Cxx Sicherheits-Stufe f. W2000 sicherte Microsoft nur für Systeme ohne Netzwerkkabel zu, die in einem Verschlossenen Raum standen…

        Man mag es nicht glauben:
        Damals hatte MS SMB Server mit offenem Port 445 im Netz stehen. Unglaublich…

  11. Tom sagt:

    Dafür bekomme ich keinen einfachen Administrator. Ich habe mich jetzt an dem Jahresgehalt nach 15 Jahren orientiert. Wenn damit Zugehörigkeit statt Berufsjahre insgesamt gemeint ist, wundert mich nichts.

    Für das Geld erwartest du nicht im Ernst einen auf Security spezialisierten Mitarbeiter?!?

    • Thorsten sagt:

      Ja, das dachte ich auch. Für das Geld bekommt man mittlerweile nur noch einfache Helpdesk-Mitarbeiter oder frisch ausgelernte Fachinformatiker. Aber niemanden mit Erfahrung in der Absicherung von IT-Systemen. Dafür müsste man nochmal mindestens 2.000 € / Monat drauflegen. Für richtige Experten noch mehr.
      Kann natürlich immer passieren, dass sich trotzdem jemand bewirbt, der einfach zufrieden mit der Kohle ist, oder aus sonstigen Gründen richtig Bock drauf hat. Z.B. weil er mit dem Fahrrad in 5 min in der Firma ist. :-)

  12. IT-Beobachter sagt:

    Es waren nicht nur die 5 im Artikel genannten Kommunen betroffen, sondern weit mehr. Nämlich alle, die ihre E-Mail immer noch über die SIT abwickeln.
    Und das sind viele.

    Hier ist ein Überblick über die vom Ausfall betroffenen Kunden nach Städten, Kreisen etc.:
    https://konbriefing.com/de-topics/cyberangriff-2023-sit-suedwestfalen-it.html

    Nicht alle Städte/Gemeinden lassen *alles* bei der SIT machen, aber einige (z.B. Schwerte) haben sich mit Haut- und Haaren diesem Dienstleister ergeben und sind damit komplett abhängig.
    "Wir haben ja Anteile an dem Unternehmen", war die städtische Begründung.
    Und damit werden auch Preise akzeptiert, die deutlich höher sind als bei
    Wettbewerbern des freien Marktes.
    "Das war doch schon immer unser kommunales Rechenzentrum" habe ich wörtlich gehört.

    Zur Personalsituation dort:
    Wer so niedrige Gehälter zahlt, bekommt kein vernünftiges Personal.
    Nebenbei sind die Vorhandenen MA wenig qualifiziert und überlastet.
    Zum Ausgleich sind SIT-Preise etwas teurer.

    • Pau1 sagt:

      in der stellen anzeige las ich etwas von E10.

      Das sind
      E10 3.523,62 3.764,77 4.040,88 4.322,55 4.858,48 5.004,24 (Stufe 1…5)
      brutto!
      Sorry, aber wer würde für den Betrag seinen aktuellen Job wechseln?

      Vielleicht attraktiv für einen Berufsanfänger, der gerne die Vorzüge des öffentlichen Dienstes genießen will?

      • rpr sagt:

        Uih, das ist zwar Geld aber Angebot und Nachfrage sind da nicht auf der Seite der Arbeitgeber.

        • Pau1 sagt:

          Das ist Brutto!

          Natürlich werden diverse Tricks angewendet um mehr zahlen zu können. Der der Personalrat achtet auf ein gerechtes Entgelt.
          Bekannt ist ja die Recht großzügige, leistungsunabhängige Ministerial-Zulage, auch für das Reinigungspersonal.

  13. Darkfader sagt:

    Leute, es ist doch gut, dass sie jetzt reagieren. Vielleicht noch unbeholfen, aber sie handeln. schneller werden sie davon werden, professioneller hoffentlich auch und die nötigen Architekturanpassungen finden sich dann noch. Aber IMHO sind sie auf dem Weg zum routinierten Umgang. Loadbalancer, Cluster, Filesystem layout (dass die exchange queues nicht auf c: liegen etc) oder auch dass man schnelles backup und schnelles Patchen mixen könnte, das kommt hoffentlich nach

  14. C.N. sagt:

    Sehr viel GMX-Spam mit angeblichen Ionos-Rechnungen und deutliche Zunahme von gefährlichen E-Mails von uns bekannten, kleinen Unternehmen, deren System gehackt wurden.
    Bei GMX-Mails könnte ich mir Konten mit schwachen Zugangsdaten vorstellen, die übernommen wurden. Oder man kann GMX leicht für Spam missbrauchen.

    • R.S. sagt:

      "und deutliche Zunahme von gefährlichen E-Mails von uns bekannten, kleinen Unternehmen, deren System gehackt wurden."

      Die Systeme müssen nicht gehackt worden sein.
      Es kann auch schlicht eine Fehlkonfiguration sein, durch die die Systeme als Relay mißbraucht werden können.

      Passiert gerne einmal bei kleinen Unternehmen, bei denen jemand Admin spielen darf, der sich lt. Chef "mit EDV auskennt".

      Und solche Relays werden gerne als Spamschleuder genutzt.

  15. C.N. sagt:

    Mal langsam! Bei besagten Fällen habe ich die mir bekannten Unternehen angerufen. Die Antwort war in allen Fällen "der Diensleister kümmert sich". Die sind alle um die 20-40Personen und haben keinen Admin.

    Da kümmerte sich entweder ein Dienstleister um den in der Firma stehenden Exchange oder der Dienstleister betreibt den bei sich. So war es in den letzten vier Fällen der letzten zwei Monate die mir aufgefallen waren.

    Im Übrigen ist meine Erfahrung, das Quereinsteiger auch sehr gute Admins sein/werden können. Man muss ohnehin ständig sein Wissen aktualisieren und vieles was ich während meiner Uni-Zeit lernte ist längst nicht mehr aktuell.

    Auch bei der Häme die sich gerade über die IT-ler des Dienstleisters ergießt mache ich nicht mit. Die wissen meist sehr gut woran es fehlt. Nur fehlt es meist an personeller Unterstützung und dem Willen der GL in Security zu investieren.

    An dieser Stelle ist in den Köpfen der GL – vor allem bei Industrie-KMUs oft nicht klar, dass IT, OT und Security verschiedene Jobs sind!

    Der Admin eines KMU darf gerne neben IT auch OT machen. Aber NIEMALS Security. Das ist einfach nicht sein Job. Und wenn das KMU zu klein ist, muss die GL externe Security z.B. in Form von MDR und Schwachstellenscans und Leute die das AD checken etc. beauftragen.

    Security ist Chefsache. NIS2 kann gar nicht scharf genug gefasst sein. Der GL muss es weh tun, wenn sie nicht in Sicherheit investieren.

    Es muss klar sein, dass die GL nicht nur das eigene Unternehmen, sondern auch andere gefährdet, wenn an Sicherheit gespart wird. Viel zu oft höre ich von Unternehmern "Dafür haben wir eine Versicherung abgeschlossen".

    Ein Irrglaube, dass die alle Schäden deckt.

    Und so kommt es eben auch oft, dass Dienstleister nur für das Einrichten von Servern und "laufen lassen" und "Fehler beheben" beauftragt werden. Und die GL denkt, dass das reicht. Da muss man auch mal hinterfragen, was die Geschäftsleitung der KMUs da an Dienstleistungen eingekauft hat, statt nur mit dem nackten Finger auf die IT-Dienstleister oder einen Admin zu zeigen, der vielleicht schon seit Monaten um mehr Budget und mehr Unterstützung bettelt.

    • Anonymous sagt:

      Fun Fact zu NIS 2 im ÖD, wird erst nach Gesetzfassung auf Landesebenen angegangen werden können und bekommt dann nach Städtetag wie Kritis auch eine Zumutbarkeitsgrenze so das Kleinere ausgenommen werden. Kommunal ist 'kleinere' meist unter 500-100k Einwohner ;)

  16. Leser1 sagt:

    Für klingt das eher danach, das in dem Betrieb etwas grundsätzlich schief läuft. Ich habe selbst über 10 Jahre in einem Systemhaus gearbeitet. Da wurde vieles nicht nach "best practice" oder Sicher und Nachhaltig umgesetzt weil schlichtweg die Zeit dafür nicht da war. Entweder weil man eine Flut an Arbeit vor sich hergeschoben hat und nicht wusste wo vorne und hinten ist oder weil man von oben gesagt bekam "pro Ticket nur 10 Minuten, alles andere sprengt die Kalkulation". Oder es herrschte grundsätzlich Personalmangel, weil Personal teuer ist und dann die Marge schrumpft. Wenn du dann noch in einem Laden arbeitest in dem es keine gesunde Fehlerkultur gibt, dann wundere ich mich nicht wenn die Ratten das sinkende Schiff verlassen. Der kleine Admin ist das letzte Glied in der Kette und hält den Hals für halsbrecherische Entscheidungen des Managements (egal ob überlastetes Personal, fragwürdige Entscheidungen, Personalmangel oder schlicht fehlende Fachkompetenz) hin. Ich kann mir gut vorstellen, das diese Entscheidungen des Managements dann dem kleinen Admin als Fehlverhalten vorgehalten werden. Da würde ich dann auch das weite suchen. Ich kann mir nicht vorstellen, das in so einem Betrieb niemand aus der Riege der Vorgesetzten nicht wusste, was und wie die Umgebung betrieben wurde. Und wenn Mitarbeiter in Scharen den Laden verlassen, hat das Gründe. Wie gesagt, ich kenne solche Läden und vermute das sich da jahrelang die Taschen vollgesteckt wurden und man jetzt auf die Fresse gefallen ist.

    • Pau1 sagt:

      Auch nett:
      Tickets werden nur aufgemacht, wenn ein Unterschriftsberechtigter beim Kunden die Bezahlung sicherstellt.
      Sonst können wir gleich alles auf Kulanz und Gewährleistung kostenlos für den Kunden machen.
      Meist kommt diese Unterschrift nicht, und wir brauchen nichts zu tun.

  17. J. sagt:

    Leicht OT, aber wo wir gerade bei E-Mails, Sicherheitsrisiken und kommunaler Infrastruktur sind:

    Kann jemand beurteilen, ob CVE-2022-4558 auch SOGo v5.5.0 betrifft? Fix erfolgte wohl in SOGo v5.8.0.

    Mal abseits der Frage, ob der Admin-Zugang für so etwas wirklich ohne Geo-Restriktionen aus der ganzen Welt zugänglich sein muss…

  18. Martin sagt:

    Das wird alles nie enden, denn selbst mit neuem Personal wird dieses ja gezwungen, den alten Rotz nach Vorgaben wieder genauso dahin zu installieren wie es war.

    Netzlaufwerke, Exchange am Internet und Shitrix Gateways gehören verboten…. Richtiges Internet kann man eben nicht mit Klicki-Bunti machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.