Cyber-Desaster: TU-Freiberg down; Stadtverwaltung Potsdam wieder offline, Polizei BW offline und mehr

Sicherheit (Pexels, allgemeine Nutzung)Aktuell rappelt es ja wieder gewaltig mit Cyber-Vorfällen. Die IT der TU-Freiberg ist wohl zum Wochenende als Opfer eines Cyberangriffs weitgehend lahmgelegt worden. Noch heftiger trifft es die IT der Stadtverwaltung Potsdam. Waren die Ende 2022 "vorsorglich" wegen einer Warnung vor einem Cyberangriff offline gegangen, hat der Versuch der "Wiederinbetriebnahme" nicht geklappt. Die IT der Stadtverwaltung Potsdam ist erneut offline. Zudem gibt es Warnungen der Sicherheitsbehörden, dass die russische Gruppe Killnet es auf deutsche Webseiten abgesehen habe. Aktuell hat es einen massiven Cyberangriff auf die Webseiten der Polizei Baden-Württemberg gegeben, die nicht erreichbar sind.


Anzeige

Cyberangriff auf Polizei Baden-Württemberg

Gerade telefonisch von einem Leser über einen massiven Cyberangriff auf die Webseiten der Polizei Baden-Württemberg informiert worden. Die Stuttgarter Nachrichten berichten hier exklusiv über den Vorfall. Die Redaktion wurde darüber informiert, dass die Webseiten der Polizei Baden-Württemberg bereits seit Mittwoch unter einem DDoS-Angriff in die Knie gezwungen wurden.

Da die Abwehrmaßnahmen nicht 100 % Erfolg hatten, entschloss sich das Technik-Präsidium der Polizei, den Web-Server aus Sicherheitsgründen vorübergehend selbst abzuschalten. Die Internetseite mit zahlreichen Informationen und Serviceangeboten für die Bürger ist aktuell nicht erreichbar.

Angriff auf deutsche Webseiten

Die russische Hackergruppe Killnet greift wohl nach Bekanntwerden der Panzerlieferungen an die Ukraine gezielt Webseiten deutscher Behörden, Institutionen und Firmen an. Der obige Angriff ist wohl die Folge davon. Gestern las ich beim RND, dass am Mittwoch ein Krankenhaus und die Webseite von Außenministerin Annalena Baerbock wegen DDoS-Angriffen nicht erreichbar seien.

Stadt Potsdam wieder offline

Kommen wir zur Stadt Potsdam, vor den Tore Berlins. Bereits im Januar 20202 war deren IT Opfer der sogenannten Shitrix-Lücke geworden (siehe mein Beitrag Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown). Als gebranntes Kind ging die Stadtverwaltung kurz vor dem Jahreswechsel 2022/2023 mit der IT erneut offline. Angeblich habe es eine Warnung vor einem Cyberangriff gegeben (siehe mein Beitrag Vermuteter Cyberangriff auf Stadt Potsdam, Stadtwerke auch offline (29./30. Dez. 2022)).


Anzeige

Einen Cyberangriff mochte man nicht bestätigen, auch wenn die Systeme offline waren. Vor zwei Tagen ist mir die Information untergekommen, dass man wieder online gehen wolle. Das hat aber nicht wirklich geklappt, wie folgender Tweet suggeriert.

Stadt Potsdam offline

Der Bürgermeister schrieb in einem sehr langen Text, den ich hier auszugsweise zitiere, folgendes:

Information des Oberbürgermeisters zur IT-Situation in der Landeshauptstadt

Sehr geehrte Damen und Herren,

Auf Anraten der Sicherheitsbehörden und in Absprache mit unseren Sicherheitsexperten, habe ich mich daher umgehend am 29. Dezember dafür entschieden, unsere Systeme vorsorglich vom Netz zu nehmen. Und nachdem wir die Systeme seit Mitte Januar schrittweise wieder einschalten konnten, sind wir seit gestern Abend – zumindest jetzt aktuell zu dieser Stunde und vorläufig – wieder offline. Ich möchte diese Gelegenheit nutzen, um Ihnen die Hintergründe darzulegen und Ihnen mögliche Konsequenzen aufzuzeigen, wenn diese Entscheidung nicht in dieser Form getroffen worden wäre.

[…]

Um sicherzustellen, dass sich nicht bereits ein Angreifer in unserem Haus aufhält, haben wir direkt nach dem Shutdown mit der Hilfe externer Dienstleister umfangreiche und tiefgehende Scans durchgeführt. Bei diesen Scans wurden keine besonderen Auffälligkeiten festgestellt. Daher hatten wir die Entscheidung getroffen, in der vergangenen Woche wieder E-Mails zu ermöglichen und zu Beginn dieser Woche mehrere Fachverfahren wieder ans Netz zu bringen.

Im Rahmen der Wiederinbetriebnahme unserer Online-Dienstleistungen haben wir eine Reihe von zusätzlichen Sicherheitsmaßnahmen implementiert und bestehende Systeme verbessert. Also wir haben im Haus, doppelte Schlösser, Gitter an den Fenstern und Videoüberwachung mit Direktaufschaltung zu einer Sicherheitsfirma installiert. Dabei wurde im Laufe des gestrigen Tages allerdings eine ernste Bedrohung für unsere Netzwerkstruktur festgestellt.

Zum gegenwärtigen Zeitpunkt gehen wir davon aus, dass durch die schnelle Abschaltung ein Datenabfluss verhindert worden ist. Es gibt auch keine Hinweise auf die Verschlüsselung von Daten. Zur Reduzierung des Gefahrenpotenzials habe ich gestern in Absprache mit unseren IT-Experten entschieden, dass wir unsere Verbindung zum Landesverwaltungsnetz trennen und den externen Emailverkehr erneut einstellen. Dies bleibt solange der Fall, bis wir ausschließen können, dass für die Daten der Bürgerinnen und Bürger, die Server der Landeshauptstadt Potsdam oder unserer Partner eine Gefahr besteht.

Die Kollegen von Golem haben es hier zusammen gefasst. Nach dem Hochfahren des Netzwerks am 24. Januar 2023 wurde durch einen erweiterten Virenscan "eine hohe Anzahl automatisierter Kommunikationsversuche aus dem internen Netz der Landeshauptstadt Potsdam an externe Server nachgewiesen". Sprich: Es gibt den begründeten Verdacht, dass die Angreifer weiterhin in der Infrastruktur der IT mit Backdoors oder infiziertem Code verankert sind. Keine guten Aussichten.

Cyberangriff auf TU Bergakademie Freiberg

Ich hatte es zum Wochenende zeitnah mitbekommen, aber nicht im Blog thematisiert.  Am 21. Januar 2023 vermeldete nachfolgender Tweet "Unregelmäßigkeiten in der IT der TU Bergakademie Freiberg" in Sachsen.

Cyberangriff auf TU Bergakademie Freiberg

In dieser Meldung heißt es, dass die TU Bergakademie Freiberg wegen "Unregelmäßigkeiten in der IT-Infrastruktur" alle Verbindungen zum Internet gekappt habe. Es sei keine E-Mail-Kommunikation möglich und auch sämtliche Onlinedienste seien nicht nutzbar, so die Mitteilung der Hochschule zum 19. Januar 2023. Zur Ursache des Ausfalls heißt es, dass ein "Cyberangriff vermutet werde".

Bei Interesse lässt sich bei heise.de die "Bestätigung, dass keine Daten abgeflossen seien" nachlesen. Die Uni drückt die Hoffnung aus, dass man in 2 Wochen wieder online gehen könne. Anfang Januar 2023 war die HAW Hamburg Opfer eines Cyberangriffs auf die IT-Systeme geworden. Die Tage las ich, dass die Universität immer noch mit den Folgen kämpft.

Cybervorfall bei GKV-IT-Dienstleister Bismark

Der für deutsche Krankenversicherungen aktive IT-Dienstleister Bitmarck hat die Tage ein Datenleck eingestanden. Cyberkriminellen gelang der Abzug von Jira-Daten von den Servern. Heise hat das Ganze in diesem Artikel aufbereitet.

Cybervorfall bei GKV-IT-Dienstleister Bismark


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Cyber-Desaster: TU-Freiberg down; Stadtverwaltung Potsdam wieder offline, Polizei BW offline und mehr

  1. Dolly sagt:

    > hohe Anzahl automatisierter Kommunikationsversuche aus dem internen Netz

    Und wohin gingen die?

    Oder ist das nur eine Masse von aufgelaufenen Telemetriedaten, die "nach Hause" wollen.

    • Daniel sagt:

      Wer Microsoft will bekommt Microsoft mit allen negativen Auswirkungen.

      Ja sicher will die Software nach Hause telefonieren, ihr das auszutreiben ist wohl unmöglich ohne sie komplett vom Internet zu trennen. Man muss halt schwere Geschütze auffahren und Microsoft das gesetzlich vorschreiben das auch standardmäßig zu deaktivieren und das auch so zu belassen. Früher wurde auch auf Druck von oben eine Windowsversion ohne Mediaplayer verkauft also es geht wenn man will.

      • KE sagt:

        Wegen Telemetriedaten, die eideutig nach Microsoft gehen werden die sicher nicht die Server vom Netz genommen haben…

      • Hummel sagt:

        naja, es wurden Kommunikationsversuche AUS dem Inernet aufgezeichnet. Was mich allerdings nicht sonderlich wundert.
        Jeder Anschluss mit einer festen IP Adressee ist grundsätzlich solchen Versuchen ausgesetzt.
        Da brauche ich nur das Logile unserer FW ansehen. Wenn ich da die Logs von einem Tag ansehe, brauche ich einen Monat, um diese auszuwerten.

        • Dolly sagt:

          > Kommunikationsversuche aus dem internen Netz

          Das sind Versuche von innen nach aussen, nicht von aussen nach innen.

          Eigentlich sollte man als Verantwortlicher dann wissen bzw. herausfinden können, wohin diese Versuche gehen, dazu wude aber nichts gesagt. Kann also auch irgendein Telemetrie CDN oder Lizenzprüfungen oder sonstwelche legitimen aber vielen gar nicht bewusste ständige Kontaktaufnahmen sein.

          • R.S. sagt:

            Jeder Windows-Rechner, auch wenn er keine Telemetrie senden würde, schickt regelmäßig Daten ins Netz.
            Jeder kennt doch das Symbol in der Taskleiste, das anzeigt, ob man eine Verbindung ins Internet hat.
            Und um das zu realisieren prüft der PC regelmäßig gegen diverse IPs von Microsoft.
            Kann er die nicht erreichen, kommt das Warnsymbol.

        • Paul sagt:

          da steht Jetzt "internes Netz"
          ja, wenn eine externe IP einen Ping macht und dann einen Portscan ist das ein Angreifer.Fur Dumme ist die Welt so schön einfach.

  2. Paul sagt:

    " Nach dem Hochfahren des Netzwerks am 24. Januar 2023 wurde durch einen erweiterten Virenscan "eine hohe Anzahl automatisierter Kommunikationsversuche aus dem internen Netz der Landeshauptstadt Potsdam an externe Server nachgewiesen"

    Bei uns würde die Firewall maulen, Aber doch nicht der Virenscanner?

    Wieso kann jeder Client mit jedem Server im Netz kommunizieren?
    MS gibt aus gutem Grund der IP/Domains raus, die man nicht sperren sollte.
    Dank der Cloud sind die IP aber nicht alle stabil.
    Der Rest ist alles VPN. IPv6

  3. Paul sagt:

    "Also wir haben im Haus, doppelte Schlösser, Gitter an den Fenstern und Videoüberwachung mit Direktaufschaltung zu einer Sicherheitsfirma installiert."

    Das meint der sinnbildlich?
    Ja, oder?

    Ich kenne es nach einem Überfall so, das die Server nebst sämtlicher anderer Hardware auf den Flur gestellt werden und durch neue ersetzt wurden.
    Glauben die wirklich das die das einfach so mal reparieren können?
    Hallo?
    Die Kriminellen waren schon Monate zugange und haben überall Backdoors hinterlassen.
    Ein Virenscanner nutzt da Null.

  4. hda sagt:

    Ist der Cyberangriff auf die Polizei Baden-Württemberg eventuell eine Racheaktion?
    Immerhin war die an der Beschlagnahmung der Infrastruktur der Hive Ransomware-Gruppe mit beteiligt.

    • Manto sagt:

      War auch mein erster Gedanke.
      Gerstern (oder Vorgestern?) die Pressemitteilung, dass die Polizei Stuttgart daran Beteiligt war Hive hopps zu nehmen und heute die Meldung, dass es da einen Angriff gab.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.