Sicherheitsmeldungen 1. März-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr

Sicherheit (Pexels, allgemeine Nutzung)Heute noch ein Sammelbeitrag zu Sicherheitsthemen, die die Tage so angefallen sind. Ein deutscher Darknet-Marktplatz ging durch die Polizei offline. Es gab mehrere Fälle von Ransomware, und es liegen neue Erkenntnisse von diesem und jenem Cybervorfall vor. Zudem hat das BSI einige Handreichungen für Cybersicherheit – auch für Feuerwehren – veröffentlicht.


Anzeige

Cybervorfälle der Woche

In dieser Woche gab es mehrere Cybervorfälle, die ich hier kurz erwähnen möchte. Zum 28. Februar 2024 hatte ich im Beitrag Cyber-News: ALPHV zurück; Neue Angriffe auf Neuburg-Schrobenhausen und mehr (Feb. 2024) auch erwähnt, dass es meinen Informationen nach einen Cyberangriff auf AEE Europe gegeben hat, bei dem Systeme kompromittiert wurden. Auf den Webseiten des Unternehmens aus Österreich, die im Engineering & Construction-Management in Europa aktiv sind, konnte ich bisher nichts zu einem solchen Vorfall finden. Ich habe inzwischen eine Anfrage per Mail an das Unternehmen gestellt. Die wurde auch abgerufen, wie ich am Autoresponder gesehen habe, bisher hat sich das Unternehmen aber einer Antwort enthalten. Ein Dementi ist jedenfalls nicht erfolgt. Aber es gab weitere Sicherheitsvorfälle, die die Betroffenen öffentlich gemacht haben.

Sicherheitsvorfall in Bad Schwalbach

Bad Schwalbach ist eine Kommune in Hessen, und die hatten vor zwei Wochen Cybervorfall und haben die Tage die IT-Systeme offline genommen – ich habe es im Radio vernommen, da die Kommune nicht so weit von mir entfernt liegt. Der Kurzbericht der Hessenschau ist hier zu finden. Dazu heißt es:

  • "Unregelmäßigkeiten" in einer Anwendung seien bereits vor zwei Wochen aufgefallen.
  • Untersuchungen hätten gezeigt, dass es sich um einen "Sicherheitsvorfall", handelte.
  • Nach zwei Wochen seien alle Verbindungen ins Internet vorsichtshalber gekappt worden.

Nun ist die Stadtverwaltung derzeit nur telefonisch und über ein externes Email-Fach erreichbar. Die Meldung der Stadt ist hier mit folgendem Text abrufbar:

Die Stadt Bad Schwalbach informiert – IT-Sicherheitsvorfall

Vor zwei Wochen wurden auf einigen IT-Systemen der Stadt Bad Schwalbach Auffälligkeiten festgestellt.

Nach einem Anfangsverdacht und einer Untersuchung durch einen IT-Forensik-Dienstleister ging man zunächst von einer technischen Störung im Zusammenhang mit der Implementierung eines neuen Backup-Systems aus. Nach weiteren Untersuchungen besteht aber aktuell Gewissheit, dass es sich um einen IT-Sicherheitsvorfall handelt.

Vorsichtshalber wurden alle Verbindungen ins Internet gekappt.
Daher ist die Stadtverwaltung, inklusive aller Außenstellen, zurzeit nur telefonisch unter 06124/500-0 erreichbar.

Nachfolgender Tweet von Jens Lange hat mich wieder an den Vorfall erinnert.

Sicherheitsvorfall in Bad Schwalbach

Hochschule Kempten offline

Die Hochschule Kempten (Allgäu) hat einen Cyberangriff erlitten, wie man in dieser Stellungname zum 1.3.2024 offen legt. Der Angriff wurde am 27. Februar 2024 bemerkt. O-Ton der ersten Verlautbarung:

Die Hochschule Kempten ist am 27.02.2024 Ziel eines Hacker-Angriffs geworden. Trotz sehr hoher Sicherheitsvorkehrungen ist es den Kriminellen gelungen, sich Zugriff auf Teile der IT-Infrastruktur der Hochschule zu verschaffen. Als sofortige Sicherheitsmaßnahme wurden der Zugang und die Nutzung zu mehreren IT-Systemen gesperrt. Auch die Kommunikationsinfrastruktur wurde eingeschränkt. Darüber hinaus wurden die Polizei und einsprechende Behörden eingeschaltet.

Aktuell arbeiten alle Verantwortlichen mit Hochdruck daran, den Angriff zu stoppen, dessen Ausmaß zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann.

Die Hochschule ist derzeit per E-Mail von und nach außen nicht erreichbar. Das Telefonsystem funktioniert. Die Hochschule setzte in der Folge des Hacker-Angriffs zum 1. März 2024 alle Passwörter zurück. Golem hat es in diesem Artikel aufbereitet und zitiert weitere Quellen, nachdem es ein Ransomware-Befall ist, und Dateien verschlüsselt worden seien.

Warnungen und Nachbereitungen

Vom BSI gibt es einige Warnungen und Leitlinien in Sachen Cybersicherheit. Und zum Cybervorfall der Stadt Potdam gibt es einen Untersuchungsbericht. Hier ein Überblick über diese Themen.


Anzeige

Untersuchungsbericht zum Cybervorfall Potsdam

Ich hatte über Cybervorfälle in der Stadt Potsdam mehrfach im Blog berichtet (siehe Links am Artikelende). Ende 2022 musste die Stadt ihre IT erneut offline nehmen, weil es einen Verdacht auf einen Vorfall gab. Jens Lange weist in nachfolgenden Tweet darauf hin, dass die IT erst im März 2023 wieder vollständig in Betrieb war.

Untersuchungsbericht zum Cybervorfall Potsdam

Nun wurde der Druck zur Offenlegung durch die Politiker der Stadt wohl so groß, dass der Abschlussbericht veröffentlicht wurde. Die öffentliche Version wurde aber um kritische Inhalte wurden herausgenommen. Jens Lange schreibt dazu: Der ursprüngliche Bericht zu dem #Sicherheitsvorfall umfasste 10 Seiten mehr. Angaben zu "sicherheitsrelevanten Bereichen" und "offensichtliche Mängel in der Darstellung" seien geändert und verbessert worden. Im Prinzip erfährt man im öffentlichen Bericht nichts, außer Selbstbeweihräucherung der Gremien. Details über Versäumnisse oder Schwachstellen: Fehlanzeige, Nada. So geht Cybersecurity in Deutschland.

Euskirchen nach SIT-Vorfall nicht mehr handlungsfähig

Ende Oktober 2023 kam es zu einem Cybervorfall beim Kommunaldienstleister Südwestfalen IT (SIT), bei dem über 100 Kommunen beeinträchtigt wurden. Die Stadt Euskirchen war durch den Ausfall der IT so gut wie nicht mehr handlungsfähig. Details lassen sich in diesem Beitrag nachlesen.

CERT-Warnung vor Ivanti-Schwachstellen

Zu den Schwachstellen in Ivanti-Produkten hatte ich je mehrere Blog-Beiträge veröffentlicht (z.B. Cybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure "brennt die Hütte"). Patchen reicht nicht, die Angreifer können pertinent im System sein.

CERT-Warnung vor Ivanti-Schwachstellen

CERT-Bund und Mandiant warnen nun davor, dass es pertinente Malware auf Ivanti Systemen geben könnte. Ivanti stellt daher eine aktualisierte Version des Integritätsprüfungs-Tools zur Verfügung, um diese besser erkennen zu können. Details finden sich in dieser CERT-Bund-Meldung.

Weg in die Basis-Absicherung für Feuerwehr

Vom BSI gibt es einen Leitfaden "Weg in die Basis-Absicherung" (WiBA). Jens Lange weist hier darauf hin, dass es jetzt auch eine "Feuerwehr-Edition" mit Ampel als Risikoindikator gebe. Mit wenig Aufwand sollen Feuerwehren und deren Leitstellen den Stand zur Informationssicherheit erheben und verbessern können. Die Details sind hier abrufbar.

Patrick hat mich per Mail ebenfalls darauf hingewiesen: IT-Grundschutz: BSI hilft Feuerwehren bei Informationssicherheit – Der Deutsche Feuerwehrverband und das BSI kooperieren, um vor allem Leit- und Befehlsstellen mit einer Checkliste den Weg in die IT-Basisabsicherung zu ebnen. Irgendwie cool, obwohl, einen Haken gibt es noch, auf den Patrick hinweist. Die in Version 1 als Excel-Tabelle veröffentlichte Checkliste fragt
unter anderem den Umgang mit Backups, Updates, Fernwartung, Mail-Clients, Office-Anwendungen und Browsern ab.

"Ist die Nutzung nicht benötigter Dateiformate untersagt und soweit möglich blockiert?", heißt es in der Leitlinie. Macht Sinn, und heise hat das auch in
diesem Artikel aufgegriffen. Jetzt sind wir Cybersicher bei der Feuerwehr – doch halt, wir brauchen Microsoft Office – wofür? Um die Checkliste in Excel ansehen zu können.

BSI-Sicherheitsempfehlungen Browser

Patrick hat mich auch auf die BSI-Seite Der Browser – Gefahren und Risiken hingewiesen, die aber mit Themen wie Flash/Silverlight & Co. etwas "aus der Zeit gefallen scheint".  Wie schreibt Patrick: "informiert das BSI "aktuell" zur Cybersicherheit beim Umgang mit dem Browser auch noch über den Einsatz von Flash und Silverlight (du erinnerst dich noch daran?). Die ganze Seite wirkt auf mich wie aus vergangenen Jahrzehnten zusammengewürfelt und wirft damit die Frage auf, mit welchem Stand der Technik das BSI 2024 arbeitet."

Informationen zu DORA

Es gibt eine EU-Verordnung Namens DORA (Digital Operational Resilience Act), die die digitale operationale Resilienz des gesamten europäischen Finanzsektors stärken soll. Unter bafin.de/dora finden beaufsichtigte Unternehmen seit Oktober 2023 Wissenswertes rund um die EU-Verordnung DORA, wie man auf der zum 19.2. 2024 aktualisierten BAFIN-Seite lesen kann.

Deutsche Darknet-Plattform Crimemarket zerschlagen

Der deutschen Polizei und den Strafverfolgern ist die Zerschlagung einer deutschen Plattform Crimemarket im Darknet gelungen, wie die Polizei Nordrhein-Westfalen hier mitteilt. Auf der Plattform Crimemarket wurden in verschiedenen Kategorien z.B. Betäubungsmittel, kriminelle Dienstleistungen (z.B. Geldwäsche, Anleitungen zu Cybercrime-Straftaten), aber auch detaillierte Anleitungen zu schweren Straftaten vertrieben. Neben den Betreibern richten sich die Ermittlungen sowohl gegen die über diesen Marktplatz agierenden Anbieter als auch gegen Nutzer.

Das Ermittlungsverfahren gegen die Betreiber läuft laut dieser Mitteilung seit 2020. Die Nutzerzahl dieser Plattform wird mit über 180.000 registrierten Benutzern angegeben. Die Plattform war sowohl über das sogenannte Darknet als auch frei über das Internet (Clearnet) erreichbar.

Am Donnerstag, 29. Februar 2024, wurden abends zeitgleich bundesweit insgesamt 102 Durchsuchungsbeschlüsse vollstreckt. Der örtliche Schwerpunkt der Maßnahmen lag mit 36 Durchsuchungsobjekten vor allem in Nordrhein-Westfalen. Hier wurden insgesamt drei Personen festgenommen, so auch der 23-jährige Hauptbeschuldigte an seiner Wohnanschrift im Rhein-Kreis Neuss (Korschenbroich).

Die Polizei stellte zahlreiche Beweismittel, vor allem Mobiltelefone, IT-Geräte und Datenträger sicher. In 21 Fällen stellten die Beamtinnen und Beamten in Nordrhein-Westfalen Betäubungsmittel, u.a. 1 Kilogramm Marihuana sowie diverse Ecstasy-Tabletten sicher. Es wurden insgesamt knapp 600.000 Euro in Bargeld und beweglichen Vermögenswerten gepfändet. Durch die Polizei wurden insgesamt drei weitere Personen in anderen Bundesländern festgenommen. Die Domainadresse ist durch die Polizei beschlagnahmt worden. Jetzt richten sich die Ermittlungen sowohl gegen die über den illegalen Marktplatz agierenden Anbieter als auch gegen die Nutzer. Die Auswertung der gesicherten Daten, Dokumente und Beweismittel dauert an. Die Kollegen von Bleeping Computer hatten hier berichtet.

AlphV/BlackCat-Kalamitäten

Ich hatte berichtet, dass die Webseiten von ALPHV/BlackCat im Dezember 2023 zerschlagen wurden (siehe FBI/Strafverfolger legen ALPHV/Blackcat-Ransomware-Gruppe lahm (Dez. 2023)). Die Tage tauchte ALPHV wieder auf (siehe Cyber-News: ALPHV zurück; Neue Angriffe auf Neuburg-Schrobenhausen und mehr (Feb. 2024)). Jetzt lese ich bei Dominic Alvieri, dass die neue BlackCat-Webseite durch eine Beschlagnahmemeldung geblockt wurde.

AlphV/BlackCat-Kalamitäten

Die von den Strafverfolgungsbehörden beschlagnahmte alte ALPHV BlackCat-Domain verweist aber auf die neue BlackCat 2 Url-Leak-Site, die funktional ist. Katz- und Maus-Spiel, irgendwie.

Zero-Click Facebook-Konten-Übernahme

Ein Sicherheitsforscher hat eine Möglichkeit gefunden, wie sich Facebook-Konten mit einem einzelnen Mausklick übernehmen lassen. Nicola Krassas hat auf X auf den Artikel hier zum Thema verwiesen. Wurde am 30. Januar 2024 gemeldet und ist inzwischen behoben.

Chinesische Spionage …

Die Tage wurden mir zahlreiche Fundsplitter unter die Augen gespült, die zeigen, wie stark chinesische Hacker- und Spionagegruppen im Geschäft sind und alles und jeden hacken, um die Informationen dem chinesischen Staat anzubieten. Eröffnet wurde dies mit einer Reihe von Tweets über das Leak eines chinesischen APT-Vertragspartners. Aus den Dateien geht hervor, wie Bedrohungsakteure Telekommunikationsunternehmen mit dem Ziel kompromittieren, Teilnehmer-Metadaten zur Unterstützung von IC-Zielen zu erhalten.

Chinesische APT-Kontraktoren mit Leak

Von Palo Alto hat die Unit 42 diesen Artikel zum Thema publiziert. Dennis Kipker hat in diesem Tweet dann auf den AP-News Artikel verwiesen, wo das Thema "Online-Dump von chinesischen Hacking-Dokumenten bietet einen seltenen Einblick in die allgegenwärtige staatliche Überwachung" aufgegriffen wird. Der Spiegel hat dann im Artikel Chinas Cyberspione die Ausspähung des Westens (und speziell der USA) durch chinesische Hacker in einem Podcast aufgegriffen.

Das Taurus-Leak

Und dann gab es noch die Abhöraktion Russlands von einem zwischen Bundeswehroffizieren geführten Gespräch zum Flugkörper TAURUS und dessen Einsatz in der Ukraine. Das Gespräch soll per WebEx geführt worden sein, ein Offizier war aus einem Hotel in Singapur zugeschaltet. Echt nett, so was, kannst Du dir nicht ausdenken. Die Kollegen hier haben einige Details dazu.

Datenschutz beim Mikrozensus in Deutschland

Ein Blog-Leser hat mich im Diskussionsbereich des Blogs über das Thema fehlender Datenschutz beim Mikrozensus in Deutschland aufmerksam gemacht (danke dafür). Mike Kuketz hat Andreas Börner die Möglichkeit gegeben, als "ausgekuckter Teilnehmer dieses Mikrozensus" seine Eindrücke bezüglich des Datenschutzes beim Mikrozensus 2024 zu veröffentlichen. Fazit: Datenschutz findet nicht statt, Cybersicherheit ist ein Fremdwort. Ein Skandal.

Plattform zum Austausch von Ablauflinks

Abschließend noch ein Hinweis von Thorsten E. über nachfolgenden Tweet. Die Plattform http://1ty.me bietet den sicheren Austausch sensibler Informationen über einmalige, selbstzerstörende Links. Sie ermöglicht es Benutzern, Passwörter oder andere sensible Daten sicher zu versenden, ohne unsichere Methoden wie E-Mail oder Instant Messaging zu verwenden.

Ähnliche Artikel:
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?
Vermuteter Cyberangriff auf Stadt Potsdam, Stadtwerke auch offline (29./30. Dez. 2022)
Cyber-Desaster: TU-Freiberg down; Stadtverwaltung Potsdam wieder offline, Polizei BW offline und mehr
Cyberangriffe auf die Stadtverwaltung Potsdam und auf Sachsen-Anhalt, ein Blick hinter die Kulissen

Ivanti Endpoint Manager Schwachstelle CVE-2021-44529: Code-Injection oder Backdoor?
Ivantis uralter Software-Klump – fällt auch Sicherheitsforschern auf
Cybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure "brennt die Hütte"


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Sicherheitsmeldungen 1. März-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr

  1. Anonymous sagt:

    Im Westen nichts neues!
    In Deutschland ("Datenschutz beim Mikrozensus in Deutschland") auch alles wie gehabt und nichts wird sich ändern!
    Deutschland ≠ Digitalität

  2. Anonym sagt:

    > … nichts, außer Selbstbeweihräucherung der Gremien. …

    Wohl wahr; was für eine verstohlene, dummdreiste Mischpoke!

    Im Abschlussbericht (1) erscheint doch tatsächlich auch noch der Passus "Nachdruck, auch auszugsweise, nicht gestattet.".

    Solche Bekanntmachungen geniessen nach § 5 Abs. 1 (2) keinen urheberrechtlichen Schutz!

    (1)
    PDF: https://egov.potsdam.de/public/vo020?0–attachments-expandedPanel-content-body-rows-1-cells-2-cell-link&VOLFDNR=2001920
    (2)
    https://dejure.org/gesetze/UrhG/5.html

  3. Björn E. Kevalonen sagt:

    Dieser Dilettantismus schreit zum Himmel, sollte sich Folgendes bewahrheiten:

    Laut Spiegel-Online hat die Bundeswehr beim Gespräch hochrangiger Luftwaffenoffiziere über den Taurus-Marschflugkörper WebEx verwendet, das laut BSI immer wieder durch Sicherheitslücken auffällt. Prompt wurden sie abgehört. Selbst in einem so sensiblen Sicherheitsbereich scheint die Sicherheitskultur dramatisch unterentwickelt zu sein. Offenbar verfügt die Bundeswehr nicht über abhörsichere Systeme oder man hielt deren Verwendung für überflüssig.

    • Pau1 sagt:

      schon mal überlegt,das eigentlich niemand so dumm sein kann, Cisco Produkte in Sicherheitsrelevanten Bereichen einzusetzen?
      Es gibt ja den Begriff Gegenspionage.
      Was hälst Du vom der Idee das diese angebliche Konferenz nur eine Falle für die Russen war, damit sie offenbaren was sie können, abhören können?
      War es nicht schon früher üblich den Feind mithören zu lassen und ihn so unter Kontrolle zu haben?
      man sagt man wird bei xy-anlanden. Der Feind macht sich auf den Weg nach xy und….keiner kommt dahin, sonden nach vz…

      Außerdem hat sich ja unser entscheidungsstarker Kanzel angeblich "verplappert".
      Seltsamerweise hatte ich auf YT schon vorher gehört, das die Britten die Fernlenk-Waffen in der Ukraine selbst programmieren wollen, so das die nicht "ausversehen" auf den Kreml fallen…das war also kein großes Geheimnis. Vielleicht für das ehemalige Nachrichten Magazin.

    • Norddeutsch sagt:

      Heipa Björn – Stimme voll zu. Deinem Nachnamen folgend bilde ich meinen Gruß: Mina olen Saksaleinen. Minu Nimeni on Norddeutsch. Deutschland ist definitiv nicht die Security Oy.

  4. Mark Heitbrink sagt:

    > und wirft damit die Frage auf, mit welchem Stand der Technik das BSI 2024 arbeitet.

    Wir können gerne über das "Hilfsmittel_Anforderungen_des_IT_Grundschutzes_fuer_Windows_10.pdf" vom BSI reden, veröffentlicht 12.2022 für die Version 20H2, die zu dem Zeitpunkt nur noch 5 Monate Laufzeit hatte :-D

  5. Der Alex sagt:

    Ok… Das mit dem Kurzlinkdienst ist Galgenhumor, oder? Bitte!

    "Step 2: Send the provided url to your recipient using your communication of choice (IM, Email etc.)."

    • Pau1 sagt:

      Wenn der Link beim Empfänger kaputt ist, dann war da halt der Viren Scanner dran (oder sonstiger Dritter)

      • Frred sagt:

        Der Link lässt sich auf dem Weg zum Empfänger durch einen neuen Link einfach austauschen.

        Besser ist es allerdings die sensiblen Daten vor Erreichen des Dienstleisters abzugreifen.

        Ironie: Browser sind schließlich sicher und der Webdienst ständig vertrauenswürdig. Es gibt kein XSS, unsichere clientseitige Verschlüsselung, Phishing, Aufbrechen von https, staatliche Akteure die vor dem Verarbeiten der Daten beim Dienstleister mitlesen oder die eine Verschlüsselung von Chatclients nutzerspezifisch aushebeln können.

  6. Pau1 sagt:

    Ist das mit
    http://1ty.me
    ernst gemeint?

    Was ist besser daran "irgendwem" das Passwort zu speichern zu übergeben, als es mit einem Provider wie Web.de,GMX.de,T-Online zu versenden die seit 2015 im Verbund "IT Security made in Germany" ein total sicheres Mailsystem -ohne Aufpreis – anbieten, in dem sie ihre Mail-Server per TLS verbinden.

    • R.S sagt:

      Wo gibt es denn noch Mailserver, die kein TLS verwenden?
      Mails, die nicht über TLS gesicherte Kanäle gesendet wurden, habe ich schon seit vielen Jahren nicht mehr gesehen.

      • Pau1 sagt:

        ja, das ist halt Marketing.
        Die haben das damals als Sicherheitswunder verkauft. Mancher glaubt heute tatsächlich auf DMARC PGP S/Mike verzichten zu können, weil die Server ja TLS machen…
        und ich glaube das zeigt dann das Problem mit der "IT Security Made in Germany"…

        Ich glaube, die Server mussten in Deutschland stehen um sich mit diesem Lorbeerblatt schmücken zu können.

        Woran siehst Du im RFC header, das diese E-Mail per TLS transportiert worden ist?

    • Patrick sagt:

      "ein total sicheres Mailsystem" ohne Ende-zu-Ende-Verschlüsselung inkl. digitaler Signatur mit OpenPGP als Standard, wie es bereits zumindest unter Linux schon lange Zeit verwendet wird?

  7. Anonymous sagt:

    > Plattform 1ty.me bietet den sicheren Austausch sensibler Informationen ..

    Ist das ein Intelligenztest? So ähnlich wie die USB-Sticks zum Mitnehmen bei IT-Security Messen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.