Es gibt Neuigkeiten bezüglich des Cybervorfalls beim Kommunal IT-Dienstleister Südwestfalen-IT (SIT). Ein Ransomware-Befall Ende Oktober 2023 hatte die IT von weit über Hundert Kommunen lahm gelegt und beeinträchtigt. Nun hat die SIT einen Forensik-Bericht vorgelegt, der einige weitere Informationen enthält, und will unter neuer Geschäftsführung weiter analysieren. Den betroffenen Kommunen schwant so langsam, dass ihnen ein finanzielles Desaster durch den durch den Cybervorfall entstandenen Mehraufwand droht.
Anzeige
Der Cyberangriff auf die SIT
Zunächst kurz ein Abriss, was bekannt war. Ende Oktober 2023 gab es einen erfolgreichen Cyberangriff auf die Südwestfalen IT (SIT) – das ist ein IT-Dienstleister für Kommunen (siehe Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück). Seit der Nacht von Sonntag auf Montag (30. Oktober 2023) funktioniert die IT für Kommunen, die Kunden dieses Dienstleisters waren, nicht mehr viel (siehe auch Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen). Die Kommunen (man munkelt kurz unter 200) hatten seit diesem Zeitpunkt keinen Zugriff mehr auf die bei der SIT gebuchten Dienstleistungen (z.B. Fachverfahren).
Kurzer Nachtrag zur Zahl 200, während in vielen Artikeln nur ca. 70 Kommunen genannt wurden. Die ca. 70 Kommunen waren wohl komplett betroffen, da fehlte dann die komplette IT (oder es waren weitgehend keine Fachverfahren über die SIT nutzbar). Jens Lange von Kommunaler Notbetrieb hat das Ganze zeitnah verfolgt und Zahlen aufgelistet. Zeitweise stand der Zähler bei ca. 200 Betroffenen (manche hatten halt keine IT für das Standesamt, anderen fehlte die Webseite). Aktuell heißt es hier, dass das Marktforschungsunternehmen KonBriefing Research 126 Stadt-, Kreis- oder Gemeindeverwaltungen in Nordrhein-Westfalen und Niedersachsen als betroffen auflistet. Hinzu kommen auch Kunden außerhalb des hier genannten Nutzerkreises. Letztendlich ist es aber schnurz, ob es 71 oder 100 Kommunen waren, der Flurschaden ist riesig!
Verantwortlich für den Angriff ist wohl eine Gruppe mit dem Namen AKIRA. Es gab ja immer wieder Berichte, dass es mit dem Wiederanlauf der IT langsam aufwärts ginge. Vor Weihnachten machte der Betreiber der Öffentlichkeit Hoffnung, dass einzelne Fachverfahren bald zur Verfügung stehen würde (siehe Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten). Aber das Ganze gestaltete sich zäher als von Vielen erhofft und von mir befürchtet. Inzwischen werden auch Vorwürfe gegen die SIT erhoben (siehe Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen).
Fachverfahren laufen wieder, Opfern droht Kostenwelle
Ich hatte es hier im Blog noch nicht thematisiert: Anfang Januar 2024 hatte ich nachfolgenden Tweet gesehen. Die Westfalenpost berichtete in diesem Artikel über den Stand nach dem Cyberangriff.
Anzeige
Die gute Nachricht lautete, dass die "Fachverfahren Finanzwesen" der SIT wieder laufen, die Kommunen können diese also wieder nutzen. Aber auf die betroffenen Kommunen kommen horrende Kosten zu, die sie alleine tragen müssen. Gemeint sind Kosten für den Mehraufwand, der in den Kommunen durch diesen Ausfall seit Anfang November 2023 entstand. Denn im Finanzwesen ging nichts mehr, und vieles musste manuell gebucht werden. Im Artikel heißt es, dass die Gemeinde Kreuztal 13.000 Bankbewegungen und 2.700 Zahlungsvorgänge nacherfassen muss.
In den betroffenen 72 Mitgliedskommunen dämmert, laut obigem Artikel, es den Kämmerern, dass sie auch die hohen Zusatzkosten der Wiederherstellung der SIT selbst tragen müssen. Einige Kommunen haben mit der Rückverlagerung der IT von der SIT begonnen. Dort kommen wohl noch Kosten, die durch den Neuaufbau der lokalen IT entstehen, hinzu.
Forensik-Bericht der SIT
In meinen Berichten über den Vorfall hatte ich anklingen lassen, dass Geschäftsführer der Südwestfalen IT den Dienstleister vor dem Vorfall verlassen haben. Jetzt wurde bekannt, dass es bei der Südwestfalen-IT inzwischen einen neuen Geschäftsführer gibt, der diesen Posten zum 1. Februar 2024 antritt. Dieser soll den IT-Vorfall weiter aufarbeiten lassen. Im Vorfeld konnte die SIT nun einen Forensik-Bericht Südwestfalen-IT: Forensik-Bericht liefert Erkenntnisse zu Ransomware-Angriff – neuer Geschäftsführer der Südwestfalen IT arbeitet Vorfall auf über den Ablauf vorlegen. Bernie hatte im Diskussionsbereich auf diesen Sachverhalt hingewiesen – danke dafür. Zudem habe ich von einem Leser noch den Link auf diesen Artikel bei LokalPlus erhalten.
VPN-Zugang ausgenutzt
Die wichtigste Erkenntnis ist, dass die Angreifer von AKIRA über "eine VPN-Lösung eindringen und dann 'weitere Hürden überwinden' konnten, um die Ransomware auszuführen". In der Zusammenfassung wurden zwar keine Details bezüglich der "angegriffenen VPN-Lösung" genannt. Man kann spekulieren, ob es Citrix VPN-Zugänge waren.
Konkret heißt es im Bericht, dass die Angreifer den Zugang zum internen Netzwerk über eine softwarebasierte VPN-Lösung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte, erlangten. Auf welchem Weg die dafür benötigten Zugangsdaten abgegriffen wurden, konnte nicht abschließend aufgeklärt werden. Laut Forensik-Bericht könnte eine Brute-Force-Attacke stattgefunden haben. Zusammengefasst: Es gab 0-day-Schwachstellen, aber man weiß nicht, wie die Angreifer in das System kamen. Zumindest heißt es, dass die Sicherheitslücken beim Wiederanlaufen geschlossen wurden.
Schnelles Handeln und kein Datenabfluss?
Die ersten verschlüsselten Dateien bemerkte die Südwestfalen-IT in der Nacht von Sonntag, 29. Oktober 2023 auf Montag, den 30. Oktober 2023, was ich in Blog-Beiträgen erwähnt hatte. Die Datei-Endung .akira weist auf die Ransomware-Gruppe „Akira" hin. Weiterhin heißt es im vorgelegten Bericht schreibt die Südwestfalen IT, dass man den Angriff durch unverzügliches Herunterfahren und Isolieren der betroffenen Systeme eindämmen konnte.
Direkt nach dem Angriff wurden externe, BSI-zertifizierte Cyber-Security-Experten mit der forensischen Untersuchung und dem Wiederaufbau der Infrastruktur beauftragt. Nach meinen Informationen ist dies r-tec IT Security aus Wuppertal. Bei den intensiven forensischen Untersuchungen durch die beauftragten Cyber-Security-Experten sowie dem kontinuierlichen Monitoring des Darkwebs mittels einer Spezialsoftware konnten keine Hinweise auf einen Datenabfluss oder eine Datenveröffentlichung gefunden werden, heißt es weiter. Die Datenrücksicherungen der Südwestfalen-IT seien intakt und werden den Kommunen schrittweise wieder zur Verfügung gestellt.
Angriff auf zentrale Windows-Domäne
Nachdem die Angreifer über den VPN-Zugang in das interne Netzwerk hatten, ermöglichten Sicherheitslücken es den Angreifern, die Rechte bis zur Domain-Administrationsberechtigung zu erhöhen. Damit konnten die sich die Angreifer in der Windows-Domain umsehen. Die Aktivitäten der Angreifer konzentrierten sich laut Forensik-Bericht auf die Windows-Domäne intra.lan. Diese Domain verwaltet zentrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT.
Andere Domänen waren nicht betroffen, aber die Angreifer hatten quasi den Jackpot geknackt und konnten das System quasi lahm legen. Denn durch die beginnende Verschlüsselung war die Südwestfalen IT gezwungen, die Systeme herunterzufahren. Den Kunden standen dadurch keine gebuchten IT-Dienstleistungen bzw. Fachverfahren mehr zur Verfügung.
Änderungen an der Systemarchitektur
Für den langfristigen Betrieb hat die Südwestfalen-IT wesentliche Änderungen in der System-Architektur geplant, um das System robuster zu gestalten und derartige Vorfälle künftig bestmöglich auszuschließen. Mit den Kreisen und Kommunen hat die Südwestfalen-IT einen Zeitplan abgestimmt. Danach werden die ersten wesentlichen Fachverfahren, die bislang im Basisbetrieb laufen, bis zum Ende des ersten Quartals 2024 in den Normalbetrieb überführt werden. Darüber hinaus werden im ersten Quartal 2024 weitere priorisierte Fachverfahren in den Basisbetrieb gehen.
Zu viele Fragen offen
Die Aussagen in den obigen drei Abschnitten sind für mich sehr merkwürdig, und ich lasse diese so im Raum stehen. Denn ich kann die Aussagen weder bestätigen noch widerlegen. Aber ich formuliere es mal ins Unreine, was mir durch den Kopf geht:
- Die erste Frage, die sich stellt, geht in die Richtung, wieso die Angreifer über den VPN-Zugang überhaupt Zugriff auf die Windows-Domäne intra.lan erhalten konnten und wieso dieser Zugang nicht per Multifaktor-Authentifizierung (und Zertifikat) abgesichert war? Hier bleibt zu hoffen, dass da noch weitere Details genannt werden (z.B. Zugriff auf ein Benutzerkonto mit der Möglichkeit über Sicherheitslücken und laterale Bewegung Administratorenberechtigungen für die die Windows-Domäne intra.lan zu erhalten). Auch fehlt mir die Information, welche Schwachstellen konkret ausgenutzt werden konnten.
- Den Forensikern ist unklar, wie die Angreifer per VPN-Zugang ins System eindringen konnten. Die Angreifer müssen, nachdem, was ich zwischen den Zeilen lese, mit dem Kennwort eines VPN-Zugangs Zugriff verschafft haben. Übersetzt heißt es in obigem Text aber, man nicht genau, wie die Zugangsdaten ermittelt wurden (Brute-Force-Angriff, Zugriff über 0-day-Schwachstelle).
- In den Kommentaren weiter unten wurde ja eine Idee (CVE-2023-20269: Zero-Day Vulnerability in Cisco Adaptive Security Appliance and Firepower Threat Defense Reportedly Exploited by Ransomware Groups) vermittelt. Ob das passt, weiß ich nicht.
- Im Hinblick auf meinen Artikel Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen sei erwähnt, dass den Betreibern kolossale Defizite in der IT-Sicherheit vorgeworfen wurden. In einem Artikel im Zusammenhang mit dem Angriff hieß es, dass "Admin123456" als Passwort verwendet worden sei. Ob das wirklich zutrifft, muss man abwarten. Und dieser Tweet zitiert aus den Artikeln, dass zu selten Updates durchgeführt und keine MFA verwendete wurden.
- Mir fällt zudem auf, dass kein Datum angegeben wird, wann die ersten Zugriffe durch die Angreifer erfolgten. Hier verweise ich auf meinen Blog-Beitrag Wenn Ransomware-Gruppen Sicherheitstipps geben, wo Akira einige Hinweise gegeben hat, wie man ins Netzwerk von Opfern eindringen konnte.
- Hellhörig werde ich auch bei Aussagen, dass man den Angriff sofort bemerkt und die Systeme heruntergefahren habe, und so schlimmeres verhindert hat. Bemerkt wurde der Angriff, weil erste verschlüsselte Dateien auftauchten. Meine Informationen (siehe Neues zum Cyberangriff auf Südwestfalen IT) aus einer anonymen Quelle besagen, dass der Cybervorfall erst auffiel, als eine Polizeiabfrage Montag-Nacht um 2:00 Uhr scheiterte, weil nichts mehr ging. Ab dann liefen die internen Telefone heiß, weil die Verantwortlichen benachrichtigt werden musste. Derweil konnte die Ransomware wohl weiter ihr Werk verrichten. Das mag falsch sein, aber die beiden Ausführungen liegen doch sehr weit auseinander!
- Unter Würdigung des letzten Punkts hege ich (bis zum Beleg für das Gegenteil) arge Zweifel, dass die auf der Webseite der Südwestfalen IT veröffentlichten Aussagen vollständig sind und dem Sachstand entsprechen. Nach allem, was wir bisher über typische Ransomware-Vorfälle wissen, versuchen die Angreifer vor einer Verschlüsselung möglichst viele Informationen abzugreifen, um Informationen über das Opfer zu erhalten und dieses später ggf. mit den Hinweis auf Datenveröffentlichung erpressen zu können. Die Sprachregelung "sofort bemerkt, alles heruntergefahren, größerer Schaden verhindert", ist daher weiße Salbe für die Presse und damit fürs Volk (Ergänzung: hat sich aufgeklärt, die Presse wollte eine "einfache Fassung"). Ok, ich kann natürlich nicht ausschließen, dass da durch einen unwahrscheinlichen Zufall die Ransomware auf den infizierten Systemen sofort nach dem Eindringen getriggert wurde und mit dem Verschlüsseln begann.
- A-typisch erscheint mir auch die Aussage, dass keine Daten abgeflossen wurden und die Backups "sauber waren". Was ich mir vorstellen kann, ist, dass die Domains der Kundensysteme noch nicht infiltriert waren, so dass dort keine Daten abgezogen wurden. In Presseberichten lese ich die Einschränkung "Mit hoher Wahrscheinlichkeit keine Daten abgezogen" – d.h. man weiß es schlicht nicht und hofft. Denke ich diesen Ansatz weiter, sind die Backups der Kundendaten natürlich "sauber" und können mit Stand "29. oder 30. Oktober 2023" zurückgespielt werden. Den Kunden fehlen aber die Monate November, Dezember 2023 und wohl auch Januar 2024.
Aus dieser Sicht könnte zukünftig drohen, dass Akira doch erbeutete Informationen besitzt und diese im Darknet veröffentlicht. Es gibt Fälle, wo die Daten erst nach einigen Monaten auftauchten. Ich verweise in diesem Kontext auf diesen Beitrag von Sentinel One, die sich mit der erst seit März 2023 auf der Bildfläche erschienenen Gruppe Akira beschäftigen. Die Gruppe fiel durch ihre "Retro-Ästhetik" der DLS (Data Leak Site) und der Nachrichtenübermittlung sowie Kommunikation über ein TOR-basiertes Portal (.onion) auf. Im Sentinel One-Bericht heißt es, dass die Akteure, die hinter Akira stehen, mehrere Erpressungstaktiken anwenden und hosten eine TOR-basierte (.onion) Website, auf der die Opfer zusammen mit den gestohlenen Daten aufgelistet sind, falls die Opfer den Lösegeldforderungen nicht nachkommen.
Die Opfer werden angewiesen, über ein TOR-basiertes Portal (.onion) Kontakt aufzunehmen. Die Opfer können dort eine eindeutige Kennung, die in der erhaltenen Lösegeldforderung angegeben ist, eingeben. Dann startet der Verhandlungsprozess mit den Cyberkriminellen. Es heißt von Sentinel One, dass die Gruppe dafür bekannt ist , dass sie unverschämt hohe Lösegeldzahlungen verlangt, die Hunderte von Millionen Dollar erreichen können. Und nun soll die Südwestfalen IT den Angriff sofort nach dem Start der Verschlüsselung gestoppt haben und es sollen keine Daten abgezogen worden sein? Unmöglich ist es nicht, ich halte es aber für eher unwahrscheinlich. Andererseits behauptet der Hoster und Cloud-Anbieter Tietoevry aus Finnland etwas ähnliches (siehe Schwedisches Rechenzentrum des finnischen Cloud-Anbieter Tietoevry per Akira-Ransomware lahm gelegt). Lässt zwei Schlüsse zu: a) Akira ist nachlässig bzw. bleibt unter den Möglichkeiten anderer Ransomware-Gruppen. Oder b) die Opfer wiegen sich in falscher Sicherheit und das dicke Ende kommt noch.
Mein Fazit: In der gegenwärtigen Form ist der "Forensik-Bericht" (bzw. das, was jetzt von der SIT veröffentlicht wurde) schlicht wertlos. Es bleiben viele Fragen offen, und Administratoren nützt das ganze Geschwurbel Null – hier hätte es Details über angegriffene Produkte (VPN-Lösung), die vorhandenen Schwachstellen und die Vorgehensweise der Angreifer erfordert, um ggf. im eigenen Haus zu prüfen, ob da Defizite aufzuarbeiten sind.
Nachtrag: Ich hatte am 26. Januar 2024, um 12:40 Uhr, einen Anruf – ich bekomme Zugriff auf den IT-Forensik-Bericht. Den werde ich durcharbeiten und hier im Blog die Erkenntnisse für IT-Administratoren und -Verantwortliche aufbereiten. An dieser Stelle "Hut ab" für die Verantwortlichen, die da schnell reagiert haben.
Nachtrag 2: Der Bericht der r-tec IT Security liegt mir vor – muss mal schauen, wie schnell ich da durch bin und hier mehr Informationen für Administratoren geben kann. Nur mal die ersten Zeilen gelesen – und erste Fragen beantwortet – z.B. erste VPN-Zugriffe auf 18. Oktober 2023 nachgewiesen. Für viele der obigen Fragen habe ich beim ersten Querlesen bereits Antworten bekommen.
Artikelreihe:
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1
Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt
Schwedisches Rechenzentrum des finnischen Cloud-Anbieter Tietoevry per Akira-Ransomware lahm gelegt
Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)
Anzeige
Hallo zusammen…..
Interessant an der Berichterstattung ist, im Radio bei WDR5 sprachen sie von ca. 70 Kommunen… Nach meinen Infos sind es über 100 beeinträchtigte Kommunen. Hier bei Günter lese ich in einem älteren Beitrag ca. 200 betroffene Kommunen. Spannend in Bezug auf die wahren Zahlen…….
Wer sich einmal ansatzweise mit der SIT beschäftigt hat, den wundert der Cyber-Vorfall sowieso nicht. Kununu zwischen den Zeilen gelesen, eigene Erfahrung mit der SIT, u.s.w……..
In den Hoch-zeiten der Berichterstattung wurde das mal genauer erläutert. SIT bietet viele getrennte Dienstleistungen an, man muß nicht das "Vollprogramm Kommune" nehmen, sondern kann einzelne, wenig genutzte Fachverfahren auslagern. Wenn man nur keine Hundesteueränderungen erfassen kann, ist man "beeinträchtigt", aber nicht "lahmgelegt".
Es ist schwierig – wie Fritz anmerkt. Grob gesagt hat es um die 70 Kommunen extrem getroffen, weil bei denen die gesamte IT von der SIT bezogen wurde und nicht mehr verfügbar war.
Darüber hinaus gab es Kommunen, die nur einige Fachverfahren (z.B. Standesamt-Verwaltung) oder eine Webseite gebucht hatten. Und es gab wohl Firmen oder kommunale Wirtschaftsbetriebe, die einzelne IT-Leistungen gebucht hatten. Jens Lange hat eine Aufstellung geführt, die ich verfolgt habe. Nach seiner Zählung kam er auf knapp 200 Betroffene, die irgendwie tangiert waren. Die 70 Kommunen wurden nur in der Presse genannt.
Die Sit betreibt auch eine Einkaufsplattform mit bundesweit mehr als 300 Kund*innen. Diese können seit Ende Oktober nicht mehr über die Plattform der Sit einkaufen. Auch wenn es dabei nur um Bestellungen für die Kommunen geht und Bürger*innen nicht direkt betroffen sind, sind es alleine damit schon weit mehr als 300 Kommunen, u.a. Großstädte wie die Stadt Köln.
"Und den betroffenen Kommunen schwant so langsam, dass ihnen ein finanzielles Desaster durch den durch den Cybervorfall entstandenen Mehraufwand droht."
Tja – und wer zahlt's am Ende … sicher nicht die für das Desaster Verantwortlichen. Zumal, man nicht einmal nachvollziehen kann wie das überhaupt möglich war. Haben also mal wieder alle, alles richtig gemacht und es ist trotzdem passiert? Und was, wenn es im April gleich nochmal "passiert"? Wacht man dann endlich auf? Aus dem Digitalisierungsalptraum der öffentlichen Infrastruktur. Vermutlich nicht. Ruhe sanft…
Die Verantwortlichen sind Programmierer, die schlampig programmieren.
Verantwortlich im Sinne von "vorsätzlich gehandelt" ist Akira, die man aber aus naheliegenden Gründen nicht zur Rechenschaft ziehen kann.
Den Programmierern und Systemadministratoren (ein 2FA einzurichten ist keine Aufgabe eines Programmierers, ein Citrix abzudichten auch nicht) wird man schwerlich Vorsatz nachweisen können, allenfalls Fahrlässigkeit in unterschiedlichen Abstufungen der Schwere.
Je nachdem was da "nach oben" reportet bzw "nach unten" angewiesen wurde noch nicht mal das. "Verantworten" müssen sie, da nach Anweisung handeln, vermutlich nichts.
Das mit dem Aufwachen ist so eine Sache. Bei heise gab es die Tage einen Beitrag zum Thema "Finanzaufsicht sieht riskante Konzentration ausgelagerter IT-Dienstleistungen". Da dachte ich: Kuck mal an, immerhin.
Die haben es doch "verkackt", dann sollte die SIT auch die Mehrkosten der Komunen tragen, dafür gibt es Versicherungen. Ich würde je Minute an Mehraufwand der SIT in Rechnung stellen.
Die SIT hat Ihre Seite des Vertrages nicht erfüllt, also müssen die dafür haftbar sein und den Mehraufwand tragen. Wenn die nicht zu Rechenschaft gezogen werden ist das ein Freifahrtschein für jeden IT Dienstleister auf die Daten seiner Kunden zu schei***.
Nur dass es für eine Körperschaft des öffentlichen Rechts gar nicht so einfach – um nicht zu sagen unmöglich ist, die Vollkaskomentalität der Privatwirtschaft per Versicherung auszuleben.
Letztendlich werden es also die Steuerzahler begleichen und es wird so weitergehen, anstatt sich mal an einen Tisch zu setzen und eine bundeseinheitliche (von EU weit trau ich mich gar nicht reden) Lösung für die Verwaltung zu überlegen, die einfach geprüft, gepentestet und auditiert werden kann. Stattdessen Flickwerk allenthalben.
"bundeseinheitlich" – da wird sich eher die gesamte EU auf etwas einigen als die deutschen Bundesländer wo jeder Depp sein eigenes Süppchen kochen will.
Das ist leider völlig utopisch.Es wird alles eiligst zusammengekauft, -geschustert und -geklebt und auf dem Chefsessel sitzt irgendeine Null die von irgendwas weggelobt wurde.
Stell Dir funktionierende Soft-wie Hardware vor. Da wären in der BRD 1 Mio Menschen arbeitslos.
Dazu gehört aber auch ein Staat, der konsistent weiß was er will. Alleine der Aufwand, die praktisch monatlich verabschiedeten Gesetzesänderungen in die Software umzusetzen beschäftigt eine Heerschar von Programmierern.
Selbst die DATEV schafft es oft nicht alle Änderungen im Lohn- und Gehaltsbereich zum Stichtag umzusetzen und liefert Korrekturberechnungen Monate später.
Ich denke, das ist noch nicht mal "bundeslandeinheitlich", da auch Kommunen und Körperschaften abweichende Regelungen treffen können.
Wie schon richtig angemerkt ist das Ganze eigentlich eine ausgelagerte IT der Gemeinden, weil offensichtlich die Aufgabenstellung zu unattraktiv ist um private Auftragnehmer wie Microsoft überhaupt zur Abgabe eines Angebots zu bewegen.
Ist im Prinzip wie bei der DATEV, das ist ja auch eine Genossenschaft der Bedarfsträger. Jeder "Schadenersatz" wird über die Nachschußpflicht gleich wieder eingesammelt, so daß das ein Nullsummenspiel bleiben wird.
Mit Microsoft haben wir als Kunde aber ein Problem, nämlich die DSGVO. Wenn man mal ganz außer Acht lässt, dass die auch nicht kompetenter sind. Siehe die letzten Pressemeldungen.
Das DSGVO Problem ist über den Zweckverband einfacher zu lösen, als Microsoft als kleiner Kunde zu irgendwas bewegen zu wollen.
Dann nimm halt einen der "üblichen Verdächtigen" im DSGVO-Raum wie etwa Telekom/T-Systems oder Siemens/SBS.
Wenn der Kuchen groß genug ist, ist es deren übliche Vorgehensweise, erst mal eine unabhängige Tochtergesellschaft zu gründen, die man still und leise beerdigen kann, wenn das Ganze schief geht. Soll ja in seltenen Fällen vorkommen.
Nur ist der Brocken der teilnehmenden Kommunen in NRW offensichtlich viel zu klein, um einen solchen Aufwand (neben dem eigentlichen Stammkapital der GmbH braucht es ja auch noch etliche abgehalfterte Manager für den Vorstand) zu rechtfertigen.
Sei doch froh, daß die SIT nicht zerschlagen wird und man das ganze Paket (europaweit) neu ausschreibt. Dann würden nämlich erst mal alle bestehenden Strukturen zerschlagen (haben ja offensichtlich nicht funktioniert und der neue Betreiber will keine Haftung übernehmen) und parallel neu aufgebaut, das Personal kriegt neue Visitenkarten und insbesondere neue Arbeitsverträge mit schlechteren Konditionen, es werden neue Managementstrukturen, andere Hardware-Hersteller und neue Zertifizierungsprozesse hereingebracht.
Maut, anyone?
Haben die Kommunen keine Cybersecurity-Versicherung? Wie gehen diese Kommunen eigentlich mit unserem Geld und den Daten um? Datenschutzaudits/Datensicherheitsaudits durch …? Es zahlt wie immer: Der Depp.
Aus eigener Erfahrung als IT-Admin einer Behörde:
Eine Versicherung erhält eine Kommune nicht ohne Audit und Zertifizierung (z. B. CISIS12) und die Umsetzung der Zertifizierung geht nun mal nicht per Mausklick und erfordert qualifiziertes Personal und zusätzlich einen enormen Zeitaufwand.
ok, und wie schaffen das Unternehmen? Die private Wirtschaft gibt Unsummen für it-sicherheit und dem entsprechenden Personal aus. Ich kenne auch die Herausforderungen der Behörden IT: wenig Personal, öffentliche Ausschreibungen, fragmentierte IT Landschaft und Beamten Benutzer denen das sperren des Systems beim Verlassen des Arbeitsplatzes schon schwer fällt. ich war zufällig am Morgen nach dem Angriff in einer betroffenen Behörde (nichts ahnend) und wunderte mich über diverse unbeaufsichtigte und zugängliche Systeme. Habe sogar noch ein Foto gemacht und an meine Kollegen verschickt…
Falsch. Versicherung gibt es auch ohne Audit und Zertifizierung. Weiß ich weil wir eine haben.
Versicherungen werden von Kaufleuten abgeschlossen.
Die schicken Dir einen Fragebogen. Wenn Du da 'reinschreibst 100% 2FA, Password-Policy monatlicher Wechsel und auch sonst das, was sie hören wollen, darfst Du Beiträge bezahlen.
Wenn dann doch was passiert und der Angreifer kam über ein vergessenes Konto ohne 2FA und das Admin-Password war seit 2014 nicht geändert, dann ist die Versicherung von der Leistungspflicht befreit.
Also so wie man es haben will.
M. W. haben im Sommer diverse Versicherungen bei ihren "Cyber"-Paketen die Konditionen deutlich angepasst. Mit "angepasst" meine ich: 50 % höhere Beiträge bei 50 % weniger Leistung. Grund dafür ist, dass die großen Rückversicherer ihrerseits die Beiträge in diesem Bereich massiv erhöht haben (was z. B. auch im Handelsblatt bestätigt wurde).
Ich kann mir vorstellen, dass durchaus einige Firmen und Institutionen die Versicherung erst mal auf Eis gelegt haben.
Und wie Fritz unten richtig geschrieben hat: Die Versicherungen fragen diverse Dinge ab. Du kannst zwar meistens behaupten, du würdest alles erfüllen, aber das fliegt dir dann im Falle eines Versicherungsfalls ggf. um die Ohren.
VPN-Zugang ohne 2FA – ROFL. War sicherlich den BWLn zu lästig und der Admin bekam eine rein, weil er so dumme Vorschläge wie 2FA machte. Dann noch ein Kennwort mit max 6 Zeichen und den eigenen Namen noch reins ins Kennwort. So stellt man sich IT im Fritzboxland vor.
"kontinuierlichen Monitoring des Darkwebs" pfff – wers glaub.
Ich habe mal im Kreise zwischen SIT und Kunden ITler gefragt, warum nicht wenigstens eine Kundenzertifikat auf dem Client für das Software VPN gefordert wird.
„Wir sind da dran." war die Antwort.
Das war etwa 4 Wochen vor dem Sicherheitsvorfall.
Bei uns war es es gar so, daß Name / Kennwort des VPN Zugangs identisch sind mit den AD Zugangsdaten – kein Witz. Habe ja als Admin bei den BWLer nichts zu melden.
Nicht mal SSO?
Muss der arme BWLer echt 2mal dasselbe Passwort eingeben?
Welch unerträglicher Aufwand.
ich hatte mal ein VPN mit RSA token vorgeschlagen.
Wurde abgelehnt, weil das nicht in das AD integrierbar sei und 2 Passwörter unerträglicher Mehraufwand sei.
Von einer DMZ für die VPNs wollte ich gar nicht erst reden.
SSO in der Form, daß der VPN Client das Kennwort speichert :-)
Bei die IT Entscheidungen frägt man besser die Putzfrau, als die BWLer.
Anscheinend suchen die auch händeringend Personal. 30 Offene Stellen für die Unternehmensgröße ist ja nicht gerade wenig.
https://www.karriere-suedwestfalen.de/suedwestfalen-it
Wundert mich nicht. Schau mal nach was IT im TVÖD bekommt. Ab EG 10 sollte schon ein abgeschlossenes Studium vorhanden sein, schau mal was du dafür bekommst.
Es haben vor kurzem 5 Angestellte einer Abteilung gekündigt.
Moin,
was mich nur wundert, daß all diese Stellen für den Standort Hemer der SIT ausgeschrieben sind. Seit der Zusammenlegung der citkomm (Hemer) mit dem KRZ in Siegen zur Südwestfalen IT gibt es in Hemer kein Operating mehr.
Ich kenne die Struktur der SIT viel zu wenig, um da qualifiziert mitreden zu können, aber Rechenzentren in zwei geographisch getrennten Standorten, die zumindest teilweise redundant, aber genug voneinander abgeschottet arbeiten, sind erst mal keine so schlechte Idee.
Vor allem wenn man den zweiten Standort mit allem was dazugehört (Gebäude, Energie, Internet, Klima, Security…) bereits hat.
Erstens: Schaden begleichen durch die SIT ist schwierig, entweder geht das aus den Rücklagen oder deren Besitzer zahlen. Und wer ist Besitzer eines kommunalen Zweckverbandes? Richtig, Kommunen und Kreise, also die Anwender. Am Ende zahlt der Kunde bzw. Steuerzahler.
Immerhin scheint ein Umdenken stattgefunden zu haben, was früher im internen Netzwerk möglich war (Z.B. Beliebige Verbindungen von PC Kommune A->Kommune B) ist heute nicht mehr möglich.
Ich halte der SIT auch zu gute, dass die GF das Rückgrat hat, die Ursache zu veröffentlichen. Ehrlich gesagt war meine Erwartung, dass man versuchen würde das ganze unter den Teppich zu kehren. („Softwarefehler, Ursache liegt nicht bei uns").
Zur Ursache: man schaue sich mal den Zeitablauf und das hier an. Tenable-Beitrag CVE-2023-20269: Zero-Day Vulnerability in Cisco Adaptive Security Appliance and Firepower Threat Defense Reportedly Exploited by Ransomware Groups
Ich lass das mal so stehen.
Danke für den Hinweis auf den Tenable-Beitrag mit Informationen zur möglichen Ursache.
Zu "Ich halte der SIT auch zu gute, dass die GF das Rückgrat hat, die Ursache zu veröffentlichen." – nach meiner Lesart haben die vorherigen GF alle die SIT vor dem Vorfall verlassen. Zum 1.2.2024 kommt ein neuer GF, der noch aufbereiten soll. Ansonsten deutet sich für mich an, dass Theo Melcher, Landrat des Kreises Olpe und Verbandsvorsteher der SIT, da wohl Druck in Sachen Aufklärung macht und zumindest einige Informationen veröffentlichen lässt. Mal schauen, was die Tage noch "bei mir so angespült wird".
Ich glaube nicht, dass nur der Landrat Hr. Melcher als Verbandsvorsteher da Druck macht. Andere Landräte und Bürgermeister werden diesen Vorfall wohl kaum auf sich sitzen lassen wollen.
Drei Monate praktisch Totalausfall und Vorgänge die sich auf Papier stapeln und nachgearbeitet werden müssen. Da hat das Ansehen der betroffenen Verwaltungen doch auch Kratzer abbekommen.
Einen Plan B hatte man, so man das „intern" sehen konnte nicht. Eine Verwaltung deren gesamte IT von der SIT betrieben wurde, hatte am 01.11.2023 kein Telefon, E-Mail, Datenbanken, Drucker, Dokumente oder Fachanwendungen. Der Preis der Zentralisierung.
Da hat jede Stadt erstmal für sich improvisiert um wenigstens eine Erreichbarkeit wieder herzustellen. Das hat dem Ruf der SIT doch nachhaltig geschadet. Insgesamt ein ziemlich unrühmliches Schauspiel, hoffentlich werden bei SIT wie auch bei den Kunden die richtigen Schlüsse gezogen.
Und wenn uns das unweigerlich noch einmal trifft hat man hoffentlich Vorsorge getroffen (jedenfalls sieht es bezüglich Sicherheitsmaßnahmen danach aus) und einen Plan um schnellstmöglich einen minimal Betrieb wiederherstellen zu können.
Ergänzung: Gerade einen Anruf erhalten, ich soll Zugriff auf den Bericht erhalten – siehe mein obiger Nachtrag am Artikelende.
Moin,
und wie sollen die zu ziehenden Schlüsse bei der Kommune aussehen? Weg von der SIT und wenn JA, wohin?
Die Stadt Menden hat das mal vorgehabt, ist dann aber relativ schnell wieder umgekehrt, nachdem die Kosten auf dem Tisch lagen, die eine Abkehr von der SIT (damals noch KDVZ) bedeutet hätten. Die Kommune ist zwar "Herr der Daten", aber eben nicht der Anwendungen. Und wenn die Anwendungen beim IT-Dienstleister auf eine entsprechende Anzahl von Nutzern über die Lizenkosten berechnet werden, dann kommen auf die übrigen Kommunen höhere Umlagen zu. Die wären zwar vertraglich für einen Übergangszeitraum durch den "Abtrünnigen" zu entrichten gewesen, aber danach?
Und wenn JA, wohin? Die nächsten IT-Dienstleister, die eine Kommune mit ihren Anwendungen noch unterstützen könnten, wären das KRZ in Moers oder das RZ in Lemgo. Wobei dann noch zu klären wäre, ob diese die identischen Programme und entsprechenden Support dafür leisten können, wie die SIT es anbietet. In Zeiten von Internet und Glasfaser ist es dann relativ egal, ob die Leitung gen Siegen oder nach Moers oder Lemgo geschaltet wird.
Und was ist mit den Anwendungen, die nicht oder nicht mehr vom neuen IT-Dienstleister angeboten werden? Einen Mail-Server kann man auch bei einem anderen Provider mieten und eine Homepage läßt sich auch über jeden anderen Anbieter ins Netz stellen und verwalten. Auch eine Telefonanlage kann von einem anderen Anbieter kommen.
Was ist mit den Fachanwendungen wie Meso, Infoma, Autista oder Elvis, Geris oder Migewa, usw., die nicht an jeder Ecke supported werden?
Und den ganzen Anwendungs-Zoo bekommt schlußendlich wer aufs Auge gedrückt? Der IT-Freckel, denn "dafür haben wir den ja"! (O-Ton eines mir bekannten BM).
Also alles nicht so einfach mit Schlüsse ziehen und Entscheidungen treffen, denn laufen soll es später ja auch, ohne daß erneut Chaos an allen Ecken und Enden ausbricht.
Moin,
ich weiß nicht ob der neue GF Mirco P. das rausreißen wird, was da in der Vergangenheit alles schiefgelaufen ist.
Laut seinem Xing-Profil war er hauptsächlich in der freien Wirtschaft tätig, bis er 2018 die "Digitalen Plattform für kommunale Unternehmen (DIPKO)" gegründet hat und seitdem dort als CEO firmiert. An die Spitze eines Unternehmens, das sich die IT-Bereitstellung auf kommunaler Ebene auf die Fahnen geschrieben hat, gehört eine Person mit kommunalem Hintergrundwissen und entsprechender Erfahrung. Inwieweit Herr P. sich das während seiner beruflichen Laufbahn vom Praktikant über den Auszubildenden zum Industriekaufmann, weiter zum Assistent der Geschäftsführung und in die Leitung Marketing/Kommunikation bis zum Prokuristen bei den Stadtwerken Uelzen aneigenen konnte, laß ich mal als Frage offen. Die "Leitung Vertrieb und Marketing" bei der
"Dortmunder Energie- und Wasserversorgung GmbH (DEW21)", Geschäftsführer der "StadtEnergie GmbH", Lead Project Manager (DIPKO) bei der "msg systems ag, Ismaning" und schlußendlich CEO und Gründer der DIPKO GmbH "Digitale Plattform für kommunale Services" sind zwar nette Stufen auf dem weiteren Weg einer sicherlich ansprechenden Karriere, haben aber bis auf die letzten sechs Jahre nur wenig Bezug zur kommunalen Ebene.
Nun, ich laß mich mal überraschen, wie es mit der SIT insgesamt weitergeht und ob der Eingang zum Büro des GF weiterhin eine Drehtür darstellt.
Eine weitere umfassende Einschätzung wurde im Forum Wermelskirchen veröffentlicht.
—-
GB: Ich habe den Link rausgenommen. Hintergrund: Der Abschlussbericht ist als "Vertraulich" gekennzeichnet (könnte daher juristische Implikationen geben). Daher verlinke ich im Blog auch nicht – werde aber aus dem Bericht Informationen aufbereiten, da wurde ich durch die SIT-Presseabteilung nicht eingeschränkt.
Grundsätzlich begrüße ich die Informationen und die Transparenz zu dem Vorfall, nur so kann daraus gelernt werden.
Da ich selbst mit Forensik & Co. befasst bin irritieren mich aber einige der Informationen auf der Webseite der SIT bzw. werfen mehr Fragen auf als sie beantworten:
Südwestfalen-IT: Forensik-Bericht liefert Erkenntnisse zu Ransomware-Angriff – neuer Geschäftsführer der Südwestfalen IT arbeitet Vorfall auf
Der vollständige (Original-) Bericht ist aber nicht verfügbar, oder?
Ich habe jedenfalls keinen Zugriff auf diesen Bericht – ob der jemals veröffentlicht wird, und ob ich den in die Finger bekomme, steht in den Sternen. Muss mal schauen, ob man über Frag den Staat heran kommen kann.
Ergänzung: Gerade einen Anruf erhalten, ich soll Zugriff auf den Bericht erhalten – siehe mein obiger Nachtrag am Artikelende.
Sehr schön, da bin ich mal gespannt..
Darfst du den Forensik-Bericht veröffentlichen oder wurde das verboten?
Der Bericht ist als vertraulich gekennzeichnet – ich habe den aber offiziell von der betreffenden Kommunikationsagentur ohne explizite Verbote erhalten. Da der Bericht aber keine einfache Lektüre und als vertraulich gekennzeichnet ist, habe werde ich folgende Vorgehensweise überlegt:
– Ich werde den Bericht nicht in den Blog zum Download einstellen
– Aber ich werde die relevanten Details für Fachpublikum so weit aufbereiten, dass man "Beef" raus ziehen kann.
Ich könnte mir vorstellen, dass es in den kommenden Stunden und Tagen mehrere Beiträge gibt. Da ist die Frage, wieso über den VPN-Zugang ein Angriff klappte, man aber nicht sagen kann, was genau passiert ist. Oder es gibt die Frage, warum mutmaßlich keine Daten abgeflossen sind (die haben bei der SIT mehr Glück als Verstand gehabt, wie ich zwischen den Zeilen lese).
Falls die SIT tatsächlich die Systeme heruntergefahren hat, hat sie auch in diesem Punkt falsch gehandelt.
BITTE KEINE SYSTEME HERUNTERFAHREN bei einem Ransomware Angriff sondern in einen gesicherten Zustand bringen so dass möglichst der RAM erhalten bleibt. Bei Workstations hibernate/sleep und bei VMs save state.
Beim Herunterfahren oder Neustarten des PCs, wo tatsächlich der RAM geleert wird, können wertvolle Informationen für Forensik verloren gehen – im Glücksfall ist sogar noch der Cryptokey aus dem RAM extrahierbar.
Besser weiter laufen lassen und netzwerkseitig isolieren. Manche Antiviren haben so eine Funktion schon eingebaut, ansonsten Netzwerkstecker ziehen. Bei Hibernate ist nicht gesagt, dass wirklich alles auf der Platte landet.
Natürlich Isolieren, ja, aber weiterlaufen ist auch nicht ideal, wenn der Schaden sich innerhalb des Systems weiter ausbreiten kann, aber klar ist dann halt eine Glaubensfrage.
Netzwerkstecker ziehen, Dump des RAMs machen (.z.B. mit dem Tool "NotMyFault" aus den Sysinternals Tools), dann herunterfahren.
In dem Bericht sieht man, daß viele Aktionen von Akira außerhalb der
Regelarbeitszeiten stattgefunden haben – was eine linke Masche!!11!!1elf!
Viele Angriffe erfolgten von amerikanischen IPs, die genannten Zeiten (16:00 bis 02:00) passen zu den dortigen Regelarbeitszeiten.
Die amerikanischen IPs sind natürlich nur Proxy.
und wahrscheinlich sind das infizierte Zombies, die ganz normal nur tagsüber eingeschaltet werden und keine 24/7 Server.
Das erklärt das Angriffs Zeit Fenster.
Später haben die auch Rechner in Holland genommen.
Insofern ist eine autarke 30 Euro DCF Schaltuhr, die SaSo und zwischen 20 und 6 Uhr die Leitung kappt keine schlechte Idee, auch wenn man dafür kein Tausende Euros an Lizenzgebühren ernten kann.
deshalb werden auch gerne Feiertage und Holiday Seasons genutzt. zB zu Weihnachten, wo die Abteilungen wegen Krankheiten und Urlaub weniger besetzt sind und alle die Köpfe mit anderen Dingen voll haben.
Ein oft zitiertes Beispiel ist der Millionen-Bankraub der Bank von Bangladesch vom 5.-8. Februar 2016.
Dabei wurde der Freitag (Feiertag in Bangladesch), das Wochenende und der Montag (chinesisches Neujahr, Feiertag auf den Philippinen) geschickt kombiniert, um ein Fenster von 4 Tagen zu bekommen.
https://www.nytimes.com/interactive/2018/05/03/magazine/money-issue-bangladesh-billion-dollar-bank-heist.html
Felix von Leitner (Fefes Blog) hat den Sachverhalt in einem Beitrag
auf seinem Blog spitzfindig kommentiert, siehe:
https://blog.fefe.de/?ts=9b4d72e1
Ansonsten:
Was man der SIT zugutekommen lassen muss ist die Transparenz und Veröffentlichung über den genauen Tathergang.
Das hilft anderen Kommunen, ihre IT-Sicherheit kritsch zu überprüfen.
Vielen Dank dafür!
Der Abschluss- bzw. Incident-Report-Bericht kann übrigens hier eingesehen werden:
Den Link zum Forum Wermelskirchen habe ich gelöscht und bitte auch andere Leser diesen hier nicht zu posten. Das Dokument ist als "Vertraulich" klassifiziert und ich möchte nicht, dass am Ende des Tages ein "hauen und stechen" wegen der Verlinkung passiert. Hatte heute Nachmittag eine längere Diskussion mit Norddeutsch per Telefon darüber.
Der Bericht ist eh in der vorliegenden Form für den schnellen Leser "hartes Brot".
sorry Günter, das war mir nicht bewusst.
Vielen Dank für diesen Artikel und wie immer für die exzellente und "wachsame" Moderation.
Das mit dem VPN ist so eine Sache. Ausserdem werden Firmen im Vorfeld ausspioniert um lohnende Angriffspunkte zu finden. Wenn Passwörter privat und geschäftlich genutzt werden und diese leaken dann probiert der Angreifer natürlich zuerst diese aus für den VPN. Leider ist die MFA noch nicht so weit verbreitet bzw. wenn Kosten entstehen dann wird es lieber ausgeklammert.