Noch eine kleine Nachbearbeitung des Cybervorfalls beim kommunalen IT-Dienstleister Südwestfalen IT (SIT), der um die hundert Kommunen betraf. Die Folgen sind noch immer nicht ausgestanden, Kommunen können auf manche Fachverfahren nach wie vor nicht zugreifen. Derweil hat der Deutschlandfunk den Cybervorfall in einer Postcast verarbeitet. Und die Stadt Mössingen hat zwar einen Cybervorfall erlitten, aber wohl vorbildlich reagiert und über einen Krisenplan größeren Schaden verhindert.
Anzeige
Der Südwestfalen IT-Fall
Von Sonntag auf Montag (30. Oktober 2023) gab es einen Ransomware-Angriff auf die Südwestfalen IT (das ist ein IT-Dienstleister für Kommunen). In Folge dieses Angriffs mussten die IT-Dienste dieses Anbieters heruntergefahren werden, und mehr als hundert Kommunen standen ohne funktionsfähige IT da.
Primär betraf es die 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige externe Kunden im Bundesgebiet.
Ich hatte den Vorfall hier im Blog begleitet und zahlreiche Artikel dazu veröffentlicht. In der Artikelreihe Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1 hatte ich die technischen Details des Angriffs bzw. die Versäumnisse nachbereitet. Bei heise gibt es noch diesen Artikel, die Angreifer der Akira-Ransomware-Gruppe kamen "mit geratenem Passwort und über Cisco-Schwachstelle ins Netzwerk der SIT.
Inzwischen hat der Deutschlandfunk den Cybervorfall in einer Postcast verarbeitet. Das Ganze liegt nun als Postcast vor und kann auf dieser Webseite des Deutschlandfunk abgerufen werden.
Anzeige
- Zero Day in Südwestfalen (1/5)Hackeralarm bei Nacht
- Zero Day in Südwestfalen (2/5)Bürgerservice down
- Zero Day in Südwestfalen (3/5)Cyberspur ins Ausland
- Zero Day in Südwestfalen (4/5)Digitale Trümmerarbeit im Amt
- Zero Day in Südwestfalen (5/5)Rathäuser in Gefahr
Derweil ist die Wiederherstellung aller Datenbanken, Server und Programme bei der Südwestfalen IT immer noch nicht komplett abgeschlossen. Die 72 Mitgliedskommunen müssen weiterhin auf 180 verschiedene Verfahren für ihre Verwaltung verzichten. Die Die Wiederherstellung wird nach dem digitalen Blackout nach aktuellem Stand noch bis Ende September 2024 dauern, wie aus folgendem Tweet und diesem Artikel hervorgeht.
Mössingen hat aus Vorfällen gelernt
Auch die Stadt Mössingen wurde Opfer eines Cybervorfalls, aber wohl vorbildlich reagiert und über einen Krisenplan größeren Schaden verhindert. Jens Lange von Kommunaler Notbetrieb weist in nachfolgendem Tweet auf diesen Sachverhalt hin.
Die Details lassen sich in diesem GEA-Artikel nachlesen. Vom LKA gab es jedenfalls ein Lob für das Vorgehen der Beteiligten, so dass größerer Schaden abgewendet werden konnte.
Mängel in Gesundheitsämtern
Schlechter sieht es bei der Digitalisierung von Gesundheitsämtern aus. Ich hatte im Beitrag Nachlese: Software-Sicherheitslücken in Mikropro Health in deutschen Gesundheitsämtern auf ein Problem in diesem Bereich hingewiesen. In Thüringen gab es bei der der Digitalisierung der Gesundheitsämter sogar einen Stopp, wie der Artikel Verfahrensrüge blockiert Digitalisierung Thüringer Gesundheitsämter ausführt. Es liegt noch viel Arbeit vor uns.
Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT; Stand Januar 2024
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2
Anzeige
Man muss sich nicht vormachen. Früher oder später wird es jede Firma ober Institution einmal erwischen. Die Frage ist nur wann und in welchem Umfang. Vor allem wenn man sieht, wie einfach KI inzwischen nach dem Füttern mit allen bekannten Sicherheitslücken in der Lage ist einen Angriff zu fahren.
Die Frage ist nur, wie man den Schaden möglichst gering hält und möglichst schnell wieder arbeitsfähig wird. Deshalb ist es wichtig einen Notfallplan zu haben und diesen auch zu erproben.
Daher, alles richtig gemacht in Mössingen.
>>> … Mössingen … wohl vorbildlich reagiert und … größeren Schaden verhindert. <<<
Fake News, wer 's glaubt wird selig. Wie passt das zum Titel von (1): "Stadt Mössingen braucht nach Cyber-Angriff neue IT-Struktur"? Gilt es jetzt schon als Erfolg, wenn zumindest an Leib und Leben keine Schäden entstanden sind?
Und dann noch die einfältige Anmerkung oben von Pau1: "Daher, alles richtig gemacht in Mössingen." Da fällt einem doch nichts mehr ein.
(1) swr.de/swraktuell/baden-wuerttemberg/tuebingen/cyber-angriff-auf-stadt-moessingen-im-kreis-tuebingen-100.html
Zumal Mössingen auch keine Chance auf eine "richtige" Reaktion gehabt hätte, wenn sie Kunde der SIT gewesen wären. Ist aber bei einer Stadt in Baden-Württemberg wohl eher unwahrscheinlich…
Ganz großes NEIN und VETO!
Jede Form von angeblichen falschen Mausklicks auf Mails oder Links, jeder angebliche Diebstahl von Zugangsdaten weist auf eine kaputte und mangelhafte Infrastruktur hin.
Warum können nicht privilegierte Anwender fremde Executables (per Mail oder Dokumente nachgeladene Payloads) ausführen? (Stichwort Whitelisting/SRP!) Warum können sich Fremde einfach so einloggen? (Stichwort MFA!) Warum operierte die IT blind und konnte die lateralen Bewegungen eines Eindringlings nicht sehen? (Stichwort Monitoring, EventIDs!)
Das ganzen Narrative, maximal böse "Angreifer" mit profunden Wissensvorsprung auf der einen Seite, heroische Betreiber, die "schlimmeres" verhindert hätten auf der anderen. Das ist so falsch wie verlogen und einfach nur kaputt.
Der Trend geht zum Zweit- und Drittbefall.
1+
Tomas Jakobs… das kann ggfs. auch nichts bringen.
Selbst MFA kann umgangen werden.. einfach alles kann irgendwann irgendwie umgangen werden… und umso größer das ganze Gebilde, umso mehr lohnt es sich doch, Zeit und Geld zu investieren…
Harte Segmentierung ist der einzige Weg..
einige Kommunen hatten auch nur wenige "Fachverfahren" bei SIT.. die scheinen gestreut zu haben. Auch ein Weg der Segmentierung..
Ich lese da nur raus, man hat Besprechungen noch und nöcher durchgeführt.
Die eigentliche Arbeit der Admins wird hier unter den Teppich gekehrt.
Durften die nach 10 Stunden heim oder haben die im Amt übernachtet?
Und ausgerechnet die SIT behauptet bis heute und im Hörspiel immer wieder, wie toll doch Ihr Sicherungskonzept sei.
Hey! Wenn der Restore nach einem 3/4 Jahr immer noch nicht fertig ist und die Hälfte fehlt, dann gibt es kein Schönreden. Das ist ein beschissenes Backup-Konzept!
Ein Unternehmen mit einer solchen Business Continuity ist weg vom Markt. Bei der politisch gewollten Konstruktion einer SIT oder vergleichbarer kommunalen Dienstleister, wo jahrzehntelang bewusst und sehenden Auges auf maximalen Profit gefahren wurde, passiert nichts. Der Geschäftsführer, by the way komplett fachfremd aus der Marketing kommend, versucht alles mit einer Medienkampagne weg zu lächeln und plädiert sogar für eine größere Konzentration. Wie wäre es mit mehr Resillienz durch Dezentralisierung?
Aber was weiß ich schon… ich muß aufhören, das geht einem an die Pumpe.
Die Grundproblematik ist doch die, dass jeder Admin – egal ob Behörde oder priv. Unternehmen – sich im Zweifel gegen die eigene Führung positionieren muss.
Da brauchst du als derjenige, der den ganzen Trümmerhaufen sonst zusammenfegen müsste, schon ein gewisses Renommee, um zu verhindern, dass es soweit kommt.
Versuch doch einfach mal umzusetzen, dass von jetzt auf gleich alle USB-Ports gesperrt sind – also alle ext. Datenträger verboten sind (ohne eine Alternative anzubieten).
Es dauert nicht lange, und es wird nach ersten Ausnahmen gebettelt.
Jeder Admin ist am Ende auf das Wohlwollen (Verständnis) der Führung angewiesen.
Das kann meiner Erfahrung nach nur funktionieren, wenn man der Führung stets und ständig derartige Meldungen (wie die von der SIT) unter die Nase hält und klar macht, dass die IT von Zeit zu Zeit schnell und eigenständig entscheiden MUSS.
>>> Das kann meiner Erfahrung nach nur funktionieren, wenn man der Führung stets und ständig derartige Meldungen (wie die von der SIT) unter die Nase hält und klar macht, dass die IT von Zeit zu Zeit schnell und eigenständig entscheiden MUSS. <<<
Gut gemeint aber untauglich. Was es stattdessen braucht, ist eine massive Ausweitung und Verschärfung der Organhaftung (1) in Richtung Informationssicherheit.
(1) de.wikipedia.org/wiki/Organhaftung
Man muß nicht ein mal die USB-Ports sperren.
Es gibt schon lange entsprechende Tools, mit denen man USB-Datenträger zentral verwalten kann.
Nur Datenträger, die dem System bekannt sind, werden akzeptiert.
Und man kann für jeden einzelnen Datenträger Rechte definieren.
Z.B.: Fremde Rechner können von dem Datenträger lesen, aber nichts drauf schreiben.
Oder:
Fremde Rechner haben keinen Zugriff auf den Datenträger, er ist verschlüsselt.
Steckt man einen fremden Datenträger ein, wird einem der Zugriff verweigert.
Oder man erlaubt Schreibvorgänge auf fremde Datenträger, verbietet aber Lesezugriff.
etc.
Alles einstellbar, so wie man es haben möchte.
Und manchmal braucht man einen externen Datenträger für bestimmte Programme.
Beispielsweise Bankingsoftware, wenn man das Banking per HBCI macht.
Die Software will den HBCI-Schlüssel immer auf einem beschreibbaren Wechseldatenträger haben.
Andere Datenträger werden nicht akzeptiert.
Also die alte Diskette oder einen USB-Datenträger dafür nehmen.
Frage der Motivation.
Bei uns, Behörde in RLP. Ich brauche mehrere Jahre Rechtsstreit um die EG10 zu bekommen. Neue Kollegin wird eingestellt nach einem ein wöchigen Kurs als Sharepoint Spezialistin.
Jetzt Dienst nach Vorschrift. Macht keinen Spaß, bietet aber viel Freizeit.
Bin kein Einzelfall. Es ist Systembedingt bzw. gewollt. Mein Zimmerkollege seit diesem Monat in der Verwaltung bekommt EG11.
Proaktivität auf Minimum.
Bestätigung aus Bayern, wobei das behördlich unterschiedlich ist. Gerade der Unterschied zwischen EDV und IT macht mal schnell ein – zwei Stufen aus. Wie unterscheiden nun jene, die selbst kaum nen PC nutzen können ? Im Prinzip wird bei Nachbarkommunen geschaut wie die ausschreiben. Das der Unterschied ein 1st Level Support der Anrufe in Tickets umwandelt bis hin zu jemand der ne komplette IT Infrastruktur aus dem Boden stampft sein kann, spielt selten eine Rolle.
Diesbezüglich aber auch, es gibt Ausnahmen und MUSS NICHT in der Behörde so laufen. Man KANN als Behördenleiter sagen, es ist ein gerechtfertigter, höherer Stellwert. Man KANN die Boniprogramme die es im ÖD extra für Fachkräfte gibt nutzen und man KANN weitere Dinge wie Kantinenzuschlag, Fortbildungsversprechen und Fahrkostenübernahme anbieten. Nur, wenn der Frustrationshintergrund erstmal etabliert ist, hilft Pizza Party, Public Viewing und Wandertag für Halbtag an Stunden in der Walachei bei einem Konzern der Protochemie auch nur noch bedingt für den Zusammenhalt und ein Fernbleiben ist dann nicht zwingend mit Mangel an Kollegialität verbunden.
Die Entscheider wollen da ganz in Fußballverein Manier nicht nur die Gehaltsausgaben drücken, sondern auch ein Lohnvergleichswettlauf verhindern. Ist aber ein Schnitt ins eigene Fleisch und wenn irgendwann doch die IT ausgeht, die Dienst nach Vorschrift für Freizeit und – sind wir ehrlich – die Freiheiten mitmacht, wird outgesourct. Wenn dann aber die KI ans Telefon geht und nicht eben mal schnell ein neues Produkt eingeführt wird, weil SLA sagen nein, oder bei Hochwasser am Wochenende keine Erreichbarkeit da ist, kucken alle sehr betreten. Besonders, wenn man sich nach der Ausschreibung für das billigste ein-Mann Unternehmen entschieden hat, welches einem die Verträge auf Drop Box mit Passwort 1234 geschickt hat (Übertreibung). Geht aber um die Kontrollpflicht der Verantwortungsträger == Führungsebene.
In der Entgeltordnung für "Bedienstete in der Informations- und Kommunikationstechnik" ist doch alles klar geregelt.
Natürlich kann Personaler XY nicht im geringsten deine konkreten Tätigkeiten einschätzen.
Genau aus diesem Grund mussten wir uns (2016?) in Vorbereitung der zu prüfenden Eingruppierungen die Stellenbeschreibungen selbst schreiben.
Über ein vorgegebenes Musterformular wurde dann durch einen externen Dienstleister die Neubewertung der Stelle vorgenommen, weil man offen zugab, sich das nicht zuzutrauen.
Wenn das bei euch nicht so gelaufen sein sollte, wäre das mal zu hinterfragen.
Ansonsten hat man ja heute die Wahl. Wer sich nicht wohl und wertgeschätzt fühlt, sollte wechseln.
Hier jedenfalls (tiefster Osten) bekommst du in der Kneipe Jobs angeboten…
Alles Gute!