Zum Wochenabschluss noch ein Sammelpost zu diversen Sicherheitsmeldungen und -Vorfällen der letzten Tage. So wurde das Europol Platform for Experts (EPE) gehackt. Das FBI und Strafverfolger haben das Breach-Forum übernommen und das BSI verklagt Microsoft auf Herausgabe von Informationen im Kontext des Storm-0558 Cloud-Hacks. Zudem gab es einige Ransomware-Fälle (Polizeihochschule, Landmaschinenhersteller etc.).
Anzeige
Portal Europol Platform for Experts (EPE) gehackt
Europol ist ja die europäische Polizeibehörde der Europäischen Union mit Sitz im niederländischen Den Haag. Die Behörde fällt schon mal auf, dass sie weitgehende Befugnisse zur Überwachung ihrer Bürger fordert und massiv Daten sammeln will. Problem, was ich so sehe: Die Behörde hat die eigene Datensicherheit nicht im Griff. So sind der Behörde Personalakten "abhanden gekommen", die teilweise später "auf der Straße" von einem Bürger gefunden wurden. Ich hatte das im Beitrag Sicherheitsvorfälle März/April 2024 (Stand 9.4.2024) erwähnt. Nun wurde der nächste Vorfall bekannt, denn das Europol-Portal Platform for Experts (EPE) wurde gehackt.
In obigem Tweet wird auf den Beitrag von Bleeping Computer zum Thema hingewiesen – auch auf Politico findet sich dieser Beitrag. Die Kollegen von Golem hatten zeitnah diesen deutschsprachigen Artikel zum Thema veröffentlicht.
FBI übernimmt Breach Forum
Die Tage gab es auch eine Beschlagnahmeaktion des FBI und internationaler Strafverfolger, die das sogenannte Breach Forum übernommen haben. In diesem Forum wurden abgezogene Daten aus Hacks und erfolgreichen Cyberangriffen gehandelt. Die Kollegen von Bleeping Computer haben in diesem Artikel einige Details zusammen getragen.
Anzeige
BSI klagt gegen Microsoft auf Offenlegung
Es ist ein besonderes Schmankerl: Microsoft hat ja kürzlich die Backen mächtig aufgeblasen, dass man jetzt wirklich was in Sachen Security macht – ich hatte die Ausführungen des Microsoft-Managements (mit einer Prise Skepsis) im Blog-Beitrag Microsoft macht ab sofort Security zur Top Priorität reflektiert.
Wie so etwas praktisch ausgeht, wenn es um die Aufarbeitung der eklatanten Sicherheitsvorfälle bei Microsoft im Sommer 2023 (siehe u.a. Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich) geht, lässt sich an obigem Tweet ablesen. Das Bundesamt für Sicherheit in der Informationstechnik hat ein offizielles Verfahren gegen Microsoft eingeleitet, um Informationen zu dessen Sicherheitsvorkehrungen zu bekommen. Das Ganze scheint seit Ende 2023 zu laufen, §7a des BSI-Gesetzes gibt der Behörde die Handhabe dazu, schreibt heise in diesem Beitrag, der noch einige Details enthält.
Laut heise sei die Information durch ein Leak aus dem Digitalausschuss des Bundestags bekannt. Anke Domscheit Berg geht in diesem Podcast vom 26. April 2024 auf die Thematik ein, dass das BSI die Herausgabe von Informationen von Microsoft rechtlich erzwingen musste. Läuft. Ich hatte seinerzeit bei Microsoft und beim BfDI, Ulrich Kelber nachgefragt, war aber gegen eine Wand gelaufen. Die Ergebnisse sind in den Blog-Beiträgen Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1 und Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2 nachzulesen.
Cyberangriff auf Landtechnikhersteller Lemken
Ein Blog-Leser hat mich gestern auf Twitter in einer PM auf den Cyberangriff auf den Landtechnikhersteller Lemken aufmerksam gemacht. Laut Pressemitteilung ist das in Alpen residierende Unternehmen, dass auf die Produktentwicklung, Produktion und den Vertrieb von Landtechnik spezialisiert ist und knapp 1.700 Mitarbeiter hat, am Samstag, den 11. Mai 2024, von Hackern angegriffen geworden. Das Unternehmen gibt an, das die Sicherheitssysteme sofort angeschlagen hätten – die IT-Systeme seien zum Schutz heruntergefahren worden.
Betroffen sind alle Standorte – die Produktion ist eingestellt. Angestellte im Bürobereiche können mobil arbeiten. Momentan arbeiten externe Spezialisten an der Aufarbeitung des Falls und die Geschäftspartner seien auch informiert worden. Zwischen den Zeilen lese ich, dass es mutmaßlich einen Ransomware-Befall gegeben haben könnte, bei dem dann auch Daten abgeflossen sein könnten. Ergänzung: Inzwischen ist klar, dass die Ransomware-Gruppe 8BASE hinter diesem Angriff steckt.
Ransomware-Angriff auf Polizei-Hochschule in Hessen
Auf eine Polizei-Hochschule in Hessen (hessische Hochschule für öffentliches Management und Sicherheit, HöMS) hat es bereits im Februar 2022 einen Angriff mit Ransomware gegeben. Es kann nicht ausgeschlossen werden, dass dabei auch persönliche Daten abgeflossen sind, die bis ins Jahr 2010 zurückreichen. Jetzt werden Betroffene gewarnt. Die Redaktion von heise hat in diesem Artikel einige Details veröffentlicht.
Australische Regierung warnt vor Datenleck
In Australien hat es wohl eine Warnung der Regierung vor einem "groß angelegten Ransomware-Datenleck" gewarnt, der Gesundheitsdaten im Land betrifft. Beim Gesundheitsdienstleister MediSecure hat es einen Ransomware-Befall gegeben, bei dem "die persönlichen und gesundheitlichen Daten von Einzelpersonen" betroffen sind. MediSecure teilte mit, dass "erste Anzeichen darauf hindeuten, dass der Vorfall von seiner unserer Drittanbieter ausging". The Record Media hat die Details in diesem Artikel zusammen getragen.
Aktiv ausgenutzte Lücke in D-Link-Routern
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat am Donnerstag zwei Sicherheitslücken CVE-2014-100005, CVE-2021-40655 in der Firmware von D-Link-Routern in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen, da es Hinweise auf eine aktive Ausnutzung gibt. The Hacker News hat in diesem Beitrag einige Informationen zusammen getragen.
Schwachstellen in HP Poly CCX IP-Telefonen
Keine Ahnung, ob bei der Leserschaft HP Poly CCX IP-Telefone im Einsatz sind. Dort erlauben ältere Firmware-Versionen eine unerlaubten Zugriff, was aber durch ein Update behoben werden kann. heise hatte das Thema vor einigen Wochen in diesem Beitrag aufgegriffen.
ChatGPT und ausgenutzte Schwachstellen
Noch ein zweiter Nachtrag, den ich hier rein kippe. Sicherheitsforscher hatten sich die OpenAI AI-Lösung ChatGPT darauf hin angesehen, wie diese mit öffentlich bekannten Schwachstellen umgehen kann. Beim Test kam heraus, dass ChatGPT die beschriebenen Schwachstellen erfolgreich für Angriffe ausnutzen kann, wie u.a. heise in diesem Beitrag ausführt.
Sicherheitslücken in Azure Machine Learning
Vor einiger Zeit bin ich auf diesen Artikel von Trend Micro gestoßen. Die Botschaft: Sicherheitslücken in Azure Machine Learning (AML) erlauben es Angreifern, sich unbemerkt persistent in AML Workspaces festzusetzen. Die Sicherheitsforscher von Trend Micro haben untersucht, wie ein solcher Angriff funktionieren kann und was dagegen zu tun ist.
Wie steht es um Südwestfalen IT?
Erinnert sich noch wer an die Südwestfalen IT (SIT) und den Ransomware-Angriff im November 2023 (ich hatte letztmalig im Beitrag Südwestfalen IT: Chaos ist das neue Normal; Mail für NRW-Verwaltungen wegen Sicherheitslücke gestoppt berichtet). Dort wurde bekannt, dass für die 72 Kommunen die Verbandsumlage erhöht werden musste, um die finanziellen Folgen der SIT abzufangen.
Bürger haben die Nase Voll und klagen nun gegen Kommunen, die ihre IT über die Südwestfalen IT bereitstellen ließen und von dem Cybervorfall betroffen sind. Details finden sich in diesem Beitrag. Und die Stadt Euskirchen konnte im April 2024, sechs Monate nach dem Cyberangriff auf die SIT, erstmalig wieder Kita- und Kita-Verpflegungsbeiträge abbuchen. Die Fachverfahren stehen wieder zur Verfügung und die Nacharbeiten sind abgeschlossen. Jens Lange hatte dies auf X in diesem Tweet erwähnt.
Anzeige
>>> Lemke
Lemken!
>>> Das Unternehmen gibt an, das die Sicherheitssysteme sofort angeschlagen hätten
Kann ich der Pressemitteilung so nicht entnehmen. Stattdessen ist die Rede von "Lemken hat bereits umfangreiche Cyberabwehrmechanismen und Notwehrpläne im Unternehmen für diesen Fall installiert, die sich bereits bewährt haben."
Heisst für mich: Wir wurden voll erwischt, mussten die Notwehrpläne (passender wohl 'Notfallpläne') aus der Schublade holen und krebsen jetzt herum. Lemken spricht von "werden wir in den nächsten Tagen noch weiter massiv in unserem Alltagsgeschäft behindert sein".
@Anonym – Deine Einschätzung teile ich. Voll erwischt.
:-) mit meinem T und 50 t +50 Km/h im Schein: Zeit, den 7-Schar-Volldreh oder gleich den Tiefpflug (schafft der Case gerade noch) aus der Ecke zu suchen und dort mal die IT durchzuackern – Stellenanzeigen für "IT" oder gar "IT-Security" finden sich bei Lemken jedoch nicht.
Diese Sammelthreads der Incidents, Fails und Outages machen mir langsam Angst. Früher ™ war das alle x Wochen einmal ein Artikel.
Günter kennt Lemken im Süden evtl. weniger, hier sind die zB neben Frost recht häufig. Dafür hatte der Süden mW viel mehr Porsche-Trecker ( und ein "Porsche" wiederum war für Günter nach meiner Erinnerung seiner Zeilen auch Antrieb für Karriere – PORSCHE fahn is wie wenze fliegst)!
@Norddeutsch: Dein Satz mit dem Porsche hatte bei mir in der Grundschule (60er Jahre) und als Teen (70er Jahre) schon Bart. In der Grundschule pflegt ein Mitschüler (aus einer kinderreichen Familie) bereits den Spruch "Mein Vater fährt einen Porsche". Ich wusste, der war der einzige Kleinbauer, der einen Trecker von Porsche in der Gegend hatte. Der Witz mit dem Porsche funktionierte bei dem Kerl auch noch, als er schon Teen und 17 / 18 war. Ach ja, der "Hausfrauen-Porsche" (VW Karmann Ghia" des Onkels war mir so in den späteren 60ern auch ein Begriff. Mein Entschluss "zurück zur Schule und dann Studium" muss so 1972 durch einen echten Porsche Targa 911 eines Ingenieurs irgendwie beeinflusst worden sein – genau kriege ich es nicht mehr zusammen, was "Vater des Entschlusses" war ;-).
@Anonym: Ja, Du hast Recht – die Original-Passage lautet "Nach ersten Detailanalysen sind Daten unserer Kunden nicht betroffen, da unsere Sicherheitssysteme sehr gut gegriffen haben." – wurde von mir (unbelegt) als "Sicherheitssystem haben sofort angeschlagen" interpretiert. Könnte natürlich vieles bedeuten. Und das n habe ich unter dem Schreibtisch gefunden und angeklebt ;-)
>>> Bürger haben die Nase Voll und klagen nun gegen Kommunen, …
Dachte zuerst 'es geschehen noch Zeichen und Wunder'. In der Quelle ist dann aber doch nur die Rede von "Einige Bürger … Auch im Märkischen Kreis gibt es so einen Fall.".
Das entspricht auch meinen Erfahrungen, Ignoranten allüberall! Wenn ich im Regionalzug spasseshalber herumfrage 'Schon mal über die Informationssicherheit Ihrer Stadtwerke nachgedacht?' schielen alle nach der Notbremse.