Seit dem Ransomware-Angriff, Ende Oktober 2023, auf die Südwestfalen IT (SIT) – ein IT-Dienstleister für Kommunen – geht bei weit über hundert Kommunen nicht mehr viel. Kommunale Dienstleistungen wie Pass- und Zulassungsstellen, Standesämter, Sozialämter oder andere Verwaltungsleistungen in den Rathäusern sind nicht erreichbar, da die Fachanwendungen bei der SIT abgeschaltet sind. Nun hat die SIT eine Liste der Fachverfahren erstellt, die bald in priorisierter Reihenfolge wieder bereitgestellt werden sollen. Betroffene Kommunen können nun den Neustart des Betriebs planen.
Anzeige
Priorisierte Liste der Fachverfahren
Es ist ja seit einigen Tagen bekannt, dass die Südwestfalen IT (SIT) daran arbeitet, einzelne Fachverfahren wieder für betroffene Kommunen bereitzustellen. Nun gibt es einen Zwischenstand. Ich bin die Nacht über nachfolgenden Tweet von Jens Lange auf den Sachverhalt aufmerksam geworden, der in diesem Artikel auf LokalPlus näher beschrieben wird.
Ich hatte bereits zum 16. November 2023 in dieser Meldung der Südwestfalen IT vernommen, das man bis Ende dieser Woche gemeinsam mit den Mitgliedern des erweiterten Krisenstabs eine Priorisierung der wiederherzustellenden Fachverfahren fertigstellen wollte. Danach können mit der schrittweisen Wiederherstellung der Systeme begonnen werden. Bei der Etablierung von Behelfs-Prozessen konnten erste Fortschritte erzielt werden. Die Südwestfalen-IT zeigte sich zuversichtlich, dass die ersten Workarounds in der nächsten Woche eingeführt werden können, so dass die Bürgerinnen und Bürger einige öffentliche Dienstleistungen zumindest behelfsweise wieder nutzen können. Alleine Details lieferte die Südwestfalen-IT nicht. Das hat Jens Lange in obigem Tweet nun nachgeholt, es sollen vorrangig folgende Fachverfahren im Notbetrieb bereitgestellt werden.
- Aufgaben von Standesämtern (Anmeldung von Geburten, Todesfällen, Eheschließungen)
- Aufgaben des Einwohnermeldeamts (Ausstellung von Pässen und Ausweisen)
- Kfz-Zulassung und Ausstellung von Führerscheinen, Auszahlung von Sozialhilfe-Leistungen und Anträge auf Grundsicherung
- Bearbeitung von Asylanträgen, Ausstellung von Aufenthaltstiteln
- Haushaltsplanung und Budgetierung der Kommunen und Kreise
Wann diese Fachverfahren genau in einem Notbetrieb wieder bereitstehen, ist derzeit aber noch offen, die Spezialisten arbeiten daran. Laut diesem Artikel auf LokalPlus wird auch weiterhin mit Hochdruck an der Wiederinbetriebnahme der Mailumgebung sowie am Neuaufbau der WLAN-Anbindung der Kommunen gearbeitet. Wobei ich aktuell nicht verstehe, wie die WLAN-Anbindung der Kommunen betroffen sein kann. Vielleicht kann da ein Insider was zu sagen (oder ist dort die Anbindung per VPN gemeint?).
Der Cyberangriff auf die SIT
Der Ransomware-Angriff auf die Südwestfalen IT erfolgte in der Nacht von Sonntag auf Montag (30. Oktober 2023). Es wurden die Server des Kommunalen IT-Dienstleisters verschlüsselt, so dass der Dienstleister in Folge seine IT-Verbindungen zu den Kunden kappen musste. Noch neuesten Zählungen haben weit über hundert Kommunen (man munkelt kurz unter 200) keinen Zugriff mehr auf die bei der SIT gebuchten Dienstleistungen (z.B. Fachverfahren). Damit stehen alle kommunale Leistungen, die auf diese Fachverfahren angewiesen sind, den betreffenden Verwaltungen nicht mehr zur Verfügung. Das reicht von den oben erwähnten Melde-, Pass- und Zulassungsstellen bis hin zu Auszahlungen von Sozialkassen.
Anzeige
Ich hatte in diversen Blog-Beiträgen über diesen Sachverhalt berichtet (siehe Links am Artikelende). Meinen Informationen nach versuchen die Kommunen mit noch vorhandenen älteren Rechnern einen Notbetrieb zu organisieren. Es wäre also für betroffene Kommunen und deren Bürger gut, wenn erste Fachverfahren bald wieder bereitstehen.
Ergänzung: Die Kollegen von heise habe hier ebenfalls einen Abriss des Sachstands bei einigen Kommunen zusammen getragen.
Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
Anzeige
Das ist nicht die WLAN-, sondern die WAN-Anbindung ;-)
Danke. Wäre in diesem Kontext logisch, dass Wide Area Network (WAN) gemeint ist, wobei wir dann wohl beim Zugang über VPN-Verbindungen wären – oder?
Da gibt es mehrere technische Ansätze, aber prinzipiell ja. Auf jeden Fall gesichert nach außen (Internet).
WLAN wäre aber auch denkbar, schließlich gibt es auch Enterprise-WPA/2, das die Anmeldung nicht über SSID+Passwort macht, sondern über einen Radius-Server. Das geht dann sogar Active-Directory-integriert, wo sich dann das AD-Computerkonto um die Anmeldung kümmert, Stichwort NPS / PEAP-MSCHAP. Und jetzt sollten die Glocken schrill läuten, denn da wurde am aktuerllen Patchday mit CVE-2023-36028 eine Sicherheitslücke in NPS geschlossen.
Moin,
"WLAN wäre aber auch denkbar …"
*Hust*
WLAN-Anbindung für die betroffenen Kommunen von der SIT in Siegen aus bis in die Kommunen im Kreis Soest oder im Märkischen Kreis? Ja, nee, is klar!!
In dem Kontext wie 1ST1 es schreibt würde das sogar gehen. Die WLAN-APs würden in so einer Konstellation logischerweise lokal hängen, aber die Anmeldung an dem WLAN würde dann an einen Radiusserver geschickt. Und wo der physisch steht ist dem Protokoll erst mal egal, muss halt nur per Netzwerk erreichbar sein.
Somit kann man das sehr wohl aus einem Rechenzentrum aus anbieten.
Kann aber natürlich trotzdem auch einfach ein Schreibfehler sein und es ist wirklich WAN gemeint.
Moin,
".. Radiusserver […] Und wo der physisch steht ist dem Protokoll erst mal egal, muss halt nur per Netzwerk erreichbar sein."
Stimmt, ähh, und was fehlt derzeit bzw. wurde "gekappt"? Richtig, die Netzwerkverbindung von den Kommunen zur SIT und umgekehrt.
Und wenn die Netzwerkverbindung zur SIT wieder betriebsbereit ist, dann können an dem Ende auch wieder mehrere bereinigte Anmelde-Server für die Kommunen installiert werden. Insoweit ist es müßig, über den Schreibfehler in einem Beitrag zu philosophieren und Alternativlösungen anzupreisen, die in der jetzigen Situation nicht wirklich einsetzbar sind.
Denk dran, AD-integriert, NPS-Dienst/Server, befass dich mal damit. Wenn die Domäne gehackt ist, die DCs, der NPS und die Konten darauf kompromittiert sind, dann geht da garnix mehr, auch kein WLAN, was darüber realisiert wurde. Und ja, der NPS-Server, DC, usw. der kann auch in Neuseeland stehen oder in einem Raumfahrzeug den Pluto umkreisen, er muss nur durch den Accesspoint irgendwie erreichbar sein und vor Timeout antworten.
Da sieht man mal wieder, was manche Kommentatoren hier die Weisheit mit dem Löffel gefressen und unverdaut wieder ausgeschieden haben, danke @Daniel für die Unterstützung!
Moin,
ich wiederhole mich: Du willst oder kannst nicht lesen und phantasierst Dir irgendwelche Sachen zusammen, die nichts, aber auch rein gar nichts mit der Realität zu tun zu haben.
Hast Du das Netzwerk bei der SIT mit aufgebaut und verfügst über Informationen, wie das Netzwerk angeschlossen ist, kabelgebunden als WAN oder wireless als WLAN?
Du hast sehr schön über Storage-Systeme und die darüberliegende Infrastruktur philosophiert. Welche Erkenntnisse über die Konfiguration der Systeme bei der SIT liegen Dir vor?
Auch hast Du Dich darüber ausgelassen, daß man eine Netzwerk-Segmentierung vornimmt, wenn man unterschiedliche Quellen zusammenbringen muß. Du weißt also, ob eine und wenn ja, welche Art der Segmentierung bei der SIT zum Einsatz kommt?
Wenn Du keine Antwort auf die Fragen hast, kannst Du ja bei @Daniel nachfragen, vielleicht unterstützt der Dich ja weiter.
Solltest Du das nächste Mal beim Lesen eines Artikels wieder auf eines Deiner beliebten "Buzz-Words" treffen, einfach mal den Artikel ZU ENDE lesen und wenigstens versuchen, den Inhalt zu verstehen, bevor Du wie ein von der Kette gelassener Hofhund hier rumtheoretisierst und versuchst, andere mit einem Schwall von Fachbegriffen zu beeindrucken.
PS: Ich bezweifle grundsätzlich NICHT, daß eine WLAN-Verbindung auf die von Dir bschriebene Art hergestellt werden kann. Aber das war definitiv keine
Lösung im Einzugsgebiet der SIT.
Ich kann da nur spekulieren, und mir aus dem was ich so über den Fall lese, mir versuchen einen Reim zu machen. Und wenn WLAN im Zuge des Hacks ausgefallen ist, dann liegt es nahe, dass da Enterprise-WPA/2 zum Einsatz kommt, ob es per NPS oder per Radius realisiert wurde, mit oder ohne AD.
"Aber das war definitiv keine Lösung im Einzugsgebiet der SIT."
Na da weißt du ja scheinbar mehr als wir alle… Insiderwissen? Aber wahrscheinlich musst du schweigen, sonst tritt dir jemand auf die Füße! Halte dich besser dran.
ich tippe auf Autokorrektur.
Moin,
"Ich kann da nur spekulieren, und mir aus dem was ich so über den Fall lese, mir versuchen einen Reim zu machen. Und wenn WLAN im Zuge des Hacks ausgefallen ist, …".
Genau das ist Dein Problem: Du liest irgendetwas über einen "Fall", fängst an zu spekulieren und machst Dir einen Reim draus. Und wenn dann irgendeins Deiner "Buzz-Words" (hier z. Bsp. WLAN) auftaucht, dann manifestierst Du Deine Spekulationen und Reime als Tatsache und philosophierst darüber irgendwelche Sachen zusammen, die zwar einen technisch korrekten Hintergrund haben, aber überhaupt nichts mit dem angesprochenen Szenario zu tun haben.
Bleiben wir bei dem Thema, dann sollte Dir auch mittlerweile klar sein, daß das "WLAN" ein Schreib- oder Übermittlungsfehler war, und es eigentlich um "WAN" ging. In den bisher erschienenen Berichten über die SIT ist an keiner offiziellen Stelle von eine WLAN-Anbindung der Kommunen die Rede gewesen. Die einzige Stelle, wo WLAN in den Focus kam, war der o.a. Schreib- bzw. Übertragungsfehler. Und damit sind Deine Ausführungen dazu flüssiger als Wasser.
Und wenn Du schon Beispiele für Dein WLAN-Konstrukt bringst, dann bitte nicht so, sondern mit ein wenig mehr Realitätsnähe:
"Und ja, der NPS-Server, DC, usw. der kann auch in Neuseeland stehen oder in einem Raumfahrzeug den Pluto umkreisen, er muss nur durch den Accesspoint irgendwie erreichbar sein und vor Timeout antworten. "
Moin,
ein wenig "Off Topic", aber nach dem "WLAN" paßt es eigentlich:
Hier hat sich doch einer der Kommentatoren als SITler "geoutet". Frage an den Mitkommentator: Es hat doch seitens der SIT mal eine Ankündigung gegeben, die Verbandskommunen über Richtfunk zu versorgen. Dazu sollten alle Kommunen die höchsten kommunalen Gebäude in ihrem Zustaändigkeitsbereich an die SIT melden. Aus den eingegangenen Informationen sollte dann Positionen für die Aufstellung von Relais-Stationen und Funkmasten erstellt werden. Bis auf die Sammlung der Gebäude habe ich jedoch weiter nichts mehr darüber gehört. Lag aber wahrscheinlich eher daran, daß plötzlich Glasfaser in aller Munde war und das die ultimative WAN-Verbindung darstellen sollte.
Ist die Richtfunk-Alternative noch irgendwie weiter verfolgt worden, oder hat man das sang und klanglos in der Versenkung verschwinden lassen?
Es ist völlig unmöglich einen ganzen Landkreis oder gar noch mehr per Richtfunk zu verbinden. Richtfunk = Sichtlinie.
Moin,
benutzt Du zur Kommunikation mit anderen Personen ein Mobiltelefon?
Richtfunk funktioniert anders als Mobilfunk, bitte informieren vor schreiben! Richtfunk = gebündelter Funk auf ein festes Ziel, Mobilfunk = Funk von einem Turm aus in einem Radius.
Ok, hatte die Relais-Stationen eben überlesen, damit könnte es gehen. Halte ich aber für finanziell nur dann sinnvoll, wenn tatsächlich die Kabel-Anbindungen Elend lahm sind.
Gibt's bein Richtfunk keine Relais? Gab's schon, als man noch mit Fähnchen Daten austauschte :)
Ich denke, dieser Diskussionsthread sollte langsam auslaufen. Langsam wird es skurril – ein Landkreis wird sich nicht per Richtfunk irgendwo am Standort der SIT-Rechenzentren anbinden, wenn nicht recht exotische Gründe dafür sprechen und es sonst keine Alternative gibt.
Und doch wird es gemacht. Klingt zwar komisch, ist aber so.
Und Glasfaser gibt es ja auch noch.
cu +quakemaster+
https://www.heise.de/news/Cyberangriff-in-Suedwestfalen-Zeitplan-fuer-Notbetrieb-und-Wiederanlauf-steht-9535521.html
Ohne jetzt rechthaberisch klingen zu wollen – es ist vieles dabei, was ich hier schon schrieb: https://www.borncity.com/blog/2023/11/14/cyberangriff-auf-sdwestfalen-it-sit-chaos-bei-betroffenen-kommunen/#comment-163454
Das zeigt mir, daß mein Ansatz doch nicht ganz weltfremd war.
Hatte es gestern abend auch gesehen – hat mich erstaunt, weil ich eigentlich diese Woche mit der Wiederaufnahme gerechnet habe. Aber nach dem GAU ist vor dem GAU – sitze schon so gut wie vor dem nächsten Fall.