Das Helmholtz-Zentrum in München wurde (bereits am 15.3.2023) durch einen Cyberangriff regelrecht lahm gelegt. Bei denen ging in Sachen Kommunikation nichts mehr. Weder telefonieren noch eine Kommunikation war möglich, weil alle diese technischen Gerätschaften ausgefallen sind. Die Polizei in München hat dann einen Beamten losgeschickt, um zu schauen, was bei denen los ist, wie die Süddeutsche Zeitung am 23. März 2023 berichtete.
Anzeige
Helmholtz Zentrum München
Das Helmholtz Zentrum München – Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) – ist ein Großforschungszentrum mit Sitz im Oberschleißheimer Ortsteil Neuherberg nördlich von München. Es ist Mitglied der Helmholtz-Gemeinschaft Deutscher Forschungszentren. Seine Forschungsarbeiten sind integriert in den Helmholtz-Forschungsbereich „Gesundheit". Das Zentrum beschäftigt rund 2.500 Mitarbeiter (2021) und der Campus hat mehr als 50 Hektar.
Leserhinweis auf Angriff
Der Vorfall ist etwas an mir vorbei gegangen – aber Blog-Leser Jakub P. hat mir gestern Abend einen Link auf den betreffenden Artikel Hacker attackieren Münchner Helmholtz-Zentrum der Süddeutschen Zeitung vom 23. März 2023 geschickt und schrieb:
Da Sie ja gerne über Hacks schreiben …
die sind komplett verschlüsselt, inkl Telefon- und Schließsysteme.
non disclosure policy, Polizei steht vor dem Eingang
Und so wie ich das sehe. sollte das ganze unter dem Radar behandelt werden aber die Presse hat davon wind bekommen nur die Polzei wusste nicht mal davon etwas …
Auf den Webseiten der Einrichtung ist (wohl seit 2 Tagen) nur eine kurze Informationen zu finden (die GUI der Seite ist unter aller Sau – ich kann dort im Browser nur per Tastatur navigieren) – bei der Suche nach "cyberattacke" werden mir im Newsbereich Artikel zu irgendwelche Behandlungsansätzen und Lösungen im Gesundheitswesen gezeigt. Hier der Screenshot der Meldung zum Cybervorfall:
Anzeige
HINWEIS IN EIGENER SACHE
Cyberattacke – die Wiederherstellung der IT-Systeme ist im Gange
Am 15. März 2023 wurde bei Helmholtz Munich eine Cyberattacke festgestellt. Es wurden umgehend umfangreiche Abwehrmaßnahmen ergriffen. In der Folge sind noch einige Mitarbeitende auf den Kommunikationskanälen Email und Telefon eingeschränkt erreichbar. An der Wiederherstellung der IT- und Kommunikationssysteme wird mit höchstem Einsatz gearbeitet. Um die polizeiliche Ermittlungsarbeit nicht zu gefährden, können derzeit noch keine weiteren Informationen mitgeteilt werden. Wir nehmen die diesbezüglichen Fragen unserer Partner sehr ernst: Bitte senden Sie diese an partner-helpline[at]helmholtz-munich.de – wir beantworten diese so schnell wie möglich. Gleichzeitig bitten wir um Verständnis und Geduld, wenn wir uns gerade nicht in der gewohnten Geschwindigkeit reagieren oder Abläufe sich verzögern. Vielen Dank.
Details, was genau passiert ist, gibt es aber nicht, sondern nur einen Hinweis auf polizeiliche Ermittlungen.
Cyberangriff auf die Einrichtung
Inzwischen habe ich auch auf Twitter entsprechende Informationen zu obigem Artikel gesehen. Der Tweet bringt es schon sehr auf den Punkt – in Sachen Kommunikation ging beim Münchener Helmholtz-Zentrum seit dem 15. März 2023 nichts. Der Angriff ist wohl bereits 10 Tage her und erst vor zwei Tagen (am 23. März) durch den Artikel der Süddeutsche Zeitung an die Öffentlichkeit gedrungen.
Die Süddeutsche berichtet im betreffenden Artikel, dass die Kommunikation der Einrichtung in der Ingolstädter Landstraße in Neuherberg wohl nach dem Cyberangriff komplett ausgefallen sei. Da aber keine Anrufe möglich waren, es lief eine Ansage "Die gewünschte Rufnummer ist zurzeit abgeschaltet" (aktuell kommt zumindest ein Freizeichen), fragte die Redaktion in München bei der Polizei nach. Die wussten zunächst von nichts und so schickte das für Cybercrime zuständige Kriminalfachdezernat 12 einen Mitarbeiter persönlich zum betreffenden Zentrum, um sich zu informieren. Die Polizei bestätigte dann gegenüber der SZ-Redaktion den Cyberangriff und leitete Ermittlungen ein. Details werden unter Hinweis auf laufende Ermittlungen aber "unter der Decke" gehalten.
Ähnliche Artikel:
Cyberangriff auf Logistik Dienstleister (LTS?) – Produktion im Airbus Werk Nordenham beeinträchtigt?
Cyber- und Ransomware-Fälle: Rom, Karlsruhe, Credit Suisse und mehr (5. März 2023)
Cyber- und Ransomwareangriffe: Rodgau, Rosenbauer, Dole, Medibank – Facebook-Seite und TikTok-Gebrauch untersagt
Cyber- und IT-Dramen: Wuppertal, Böblingen, Versorger GEAB, Bayrischer Rundfunk und mehr
Cyberangriff auf Flughäfen, war Lufthansa Störung auch ein Cyberangriff von Killnet?
Rückblick auf das Cyberdebakel bei VMware ESXi-Servern (Feb. 2023)
Ferrari-Hack bestätigt (März 2023)
LastPass-Hack über privaten PC eines Entwicklers
Kontenhack bei Online-Versandapotheke DocMorris (Jan. 2023)
Hackerverdacht bei Lotto-Gesellschaften über den Jahreswechsel 2022/2023
Anzeige
Frage: Wird dort auch die Software für die Gesundheitsämter mitentwickelt? https://de.wikipedia.org/wiki/SORMAS
Ja, dass Helmholtz-Zentrum entwickelt daran mit, allerdings in Braunschweig, genauer das Helmholtz-Zentrum für Infektionsforschung (HZI).
Darf man wirklich schreiben, dass das mit Linux nicht passiert wäre?
Diese Grundsatzfrage stellt sich mir generell. Seit Wochen (Monaten?) lesen wir kontinuierlich von solchen Attacken.
Wenn alle Linux hätten gäbe es halt mehr Linux Viren ;)
Kann man schreiben, würde wahrscheinlich aber nicht stimmen. Linux hat viele Vorteile, ein schlecht gesichertes/konfiguriertes Linux-System ist genauso angreifbar wie andere Systeme auch.
https://www.bsi.bund.de/SiteGlobals/Forms/Suche/BSI/Sicherheitswarnungen/Sicherheitswarnungen_Formular.html?cl2Categories_DocType=certbund
Dennoch bleibt m.E. ein echter Sicherheitsmehrwert von GNU/Linux das Lücken dort oft sehr schnell gepatcht/geschlossen werden. Saubere ReproStrukturen, Distroweit gleiche Librarie-Versionen führen m.E. auch dazu das GNU/Linux besser aufgestellt ist.
Aber was nützt ein tolles Betriebssystem wenn die Desktop-Applikationen bzw. vergleichbare Funktionalitäten für die Anwender nicht oder nur eingeschränkt zur Verfügung stehen, und damit schlussendlich die Produktivität sinkt?
https://www.heise.de/hintergrund/IT-Leiter-der-Stadt-Schwaebisch-Hall-Unter-Linux-leidet-die-Produktivitaet-6678160.html
Stimmt, dass BS ist zweitrangig. Die Anwendungen sind entscheidend. Ich staune darüber, dass dort Ubuntu als Basis genutzt wird und, dass es im heise-Forum kein Thema war. Wo doch schon damals Cannonical damals böse war.
Ich glaube solangsam sollte sich jede Firma drauf einstellen das so etwas passieren kann. Es ist nicht mehr die Frage ob, sondern wann.
Einen wirksamen Schutz gibt es nur noch bedingt, wenn ein einzelner Mailanhang bei einem Studenten die Firma in den Abgrund stürzen kann. Und für alle die die jetzt hochnäsig meinen mit Linux wär das nicht passiert – schaut einfach mal bei den Sicherheitswarnungen des BSI rund um Linux.
In Vorbereitung sollten bestmögliche Desaster Recovery-Pläne ausgearbeitet werden.
Dann hat der Student nichts falsch gemacht, sondern die für IT-Schutz verantwortlichen Administratoren.
Ich schiebe nicht dem Studenten die Schuld zu, auch nicht dem Admin, sondern habe auf die grundsätzliche Problematik hingewiesen.
Letzlich ist die Microsoft Infrastuktur massiv anfällig für solche Angriffe. Letztlich ist aber auch die Geschäftsführung mit verantwortlich die solches Geschäftsrisiko und deren Vermeidung nicht entsprechend hoch priorisiert.
Mit GNU/Linux wäre man da grundsätzlich besser aufgestellt – jedoch zum Preis das diverse Applikationen schlichtweg nicht mehr laufen, und das Anwender somit in ihrer Produktivität eingeschränkt sind.
Es ist schwer, einen Täter ausfindig zu machen. Es kann jemand, vom internen Mitarbeiter-Team, über absichtlich offen gehaltenes Remote, ein Telekommunikationsmitarbeiter von dem man die Router und den Internetvertrag hat, da diese vielleicht Wartungszugriff auf die Anlage haben, ein Angreifer aus dem Internet, ein Angreifer der vor der Firma mit Reise-Wlan in unmittelbarer Umgebung gestanden hat, ein Mitarbeiter von Microsoft über Remoteunterstützung im Hintergrund etc gewesen sein. Wichtig ist und bleibt die Tägliche Backup-Softwarelösung in Firmen. Und ja Microsoft will seine Cloud und Überwachungslösungen auch teuer an den Mann in Großfirmen bringen und könnte ebenfalls Hackerangriffe von außen auf größere Firmen übers Darknet auf bekannte Schwachstellen in Auftrag geben, wie es jeder andere im Darknet, auch machen kann. Wichtig auch, die Mitarbeiter dazu anhalten, sich jeden Abend, kurz vor Feierabend seine persönlichen Dateien ab zu sichern und bei der IT noch am selben Abend zu hinterlegen. Dann wäre die Wiederherstellung ein Klax. Ausfindig machen eines Schuldigen dürfte sich deshalb besonders schwierig erweisen. Aber über kurz oder Lang dürften die Cloud und Überwachungsprogramme einen großen Vorteil wieder davontragen, da der Konzern durch den Schreck und Verlust wieder mehr Geld in interne Sicherheit aufstocken und investieren wird. Aufschluß dürften auch, Überwachungsprotokolle der Firmenfirewall auf mögliche Angriffe von außen geben. So lange Sambashare in Linux existiert, ist Linux genau so unsicher, ohne unattendet updates, Backups und Blacklist klappt es auch da nicht.