[English]Fall von sollte nicht passieren: In den Niederlanden gibt es eine Störung im Rechenzentrum des niederländischen Verteidigungsministeriums. In Folge kam es zu einer Netzwerkstörung, die niederländische Behörden lahm legt. Und noch gravierender: Am Flughafen Eindhoven geht wohl auch nichts mehr. Mir ging natürlich sofort "war das ein Cyberangriff" durch den Kopf – nach dem, was ich weiß, wird das aber negiert.
Anzeige
Ich trage es nach, weil ich die Information eben im Radio vernommen habe – Stimme aus dem Off "hatte ich gehört, dachte Du wüsstest schon". So ist Frau, aber vorher "Du, am Auto ist ein Reifen fast platt, da ist so eine komische Anzeige im Display" telepathieren – ergo habe ich heute Vormittag meine persönliche "Netzwerkstörung clearen" müssen – moderne Autos haben nicht mal einen Reservereifen – Notbetrieb geht vermutlich bis Freitag. Aber zurück zur Netzwerkstörung der Niederländer.
Rechenzentrumsstörung in den Niederlanden
Am niederländischen Flughafen Eindhoven ist der komplette Flugverkehr am heutigen Vormittag (28. August 2024) eingestellt worden. Der Grund sind IT-Probleme – der Flughafen Amsterdam ist von der Störung nicht betroffen. Gleichzeitig gibt es wohl auch IT-Probleme bei der niederländischen Küstenwache und die auch für den Grenzschutz zuständige niederländischen Gendarmerie.
Aktuell heißt es auf der Webseite des Flughafens, dass der Flugverkehr bereits wieder angelaufen sei. Um 9:00 Uhr Mitteleuropäischer Zeit hieß es, dass "Aufgrund einer Störung am Flughafen Eindhoven kein Flugverkehr möglich sei. Es war da noch unklar, wann die Störung behoben sein wird und was die Ursache war.
Gegen 11:00 Uhr Ortszeit hieß es dann: Aufgrund von Problemen mit den IT-Netzwerken des Verteidigungsministeriums ist der Flugverkehr am Flughafen Eindhoven nicht möglich. Der Flughafen Eindhoven wird vom Militärflugplatz Eindhoven aus bedient. Um 11:30 Uhr wurde sogar kommuniziert, dass bis 17:00 Uhr keine Flüge mehr möglich seien. Das wurde aber um 14:15 Uhr revidiert, da der Flugbetrieb wieder angelaufen ist.
Spontan habe ich mich gefragt, was da passiert sein kann – der Begriff Cyberangriff steht natürlich sofort im Raum. Bei Associated Press gibt es nur eine kurze Meldung, aber an der Börse Frankfurt hat eine Ad-hoc-Nachricht Lichts ins Dunkel gebracht.
Ursache ist schlicht eine Störung im Rechenzentrum des niederländischen Verteidigungsministeriums, welches am heutigen Mittwoch, den 28. August 2024, ziemliche Wellen in den Niederlanden verursacht. Am Flughafen Eindhoven ging heute Morgen nichts mehr (siehe obige Ausführung). Betroffen von diesem Ausfall waren aber alle niederländischen Einrichtungen, die für ihre IT-Systeme das Netzwerk des Verteidigungsministeriums nutzen. Hier die Liste:
Anzeige
- Flughafen Eindhoven
- das niederländische Justizministerium,
- die niederländische Küstenwache,
- die für den Grenzschutz zuständige niederländische Gendarmerie
- sowie zahlreiche Gemeinden.
Noch eine Ergänzung: Der Flughafen Eindhoven ist der zivile Teil des Militärflughafens Eindhoven und unterliegt daher der Verwaltung des Verteidigungsministeriums. Der der Ausfall bereits gestern Abend gegen 22.30 Uhr, wie ich hier gelesen habe.
Mir drängt sich da der Fall Südwestfalen IT auf, wo ein Cyberangriff auf deren Rechenzentrum die IT von über 100 Kommunen lahm legte (siehe Kommunal IT-Dienstleister Südwestfalen-IT nach Cybervorfall und CrowdStrike Bremsspuren endlich wieder arbeitsfähig und die dort verlinkten Artikel). Nach Angaben des niederländischen staatlichen Zentrums für Cybersicherheit (NCSC) war die öffentliche Sicherheit in den Niederlanden nicht gefährdet. Von einem Cyberangriff gehe man derzeit nicht aus, teilte man aus Regierungskreisen gegenüber ANP mit. Es hieß, dass an der Behebung des Schadens intensiv gearbeitet werde.
Die Blog-Leserschaft wird möglicherweise auch das Thema CrowdStrike im Hinterkopf haben, wo ein fehlerhaftes Signaturupdate Millionen Windows-Rechner in den digitalen Suizid trieb (siehe meine Artikel CrowdStrike-Nachlese: Neuer Bericht, aktueller Status, Klagen und deren Konter und Erneut Probleme mit CrowdStrike (22. August 2024)). In aktuellen Presseberichten wird der Vorfall im Juli 2024 genannt, weil auch die Niederlande arg durch den CrowdStrike-Ausfall gebeutelt wurde.
Mir ging zudem noch der Stillstand am US-Flughafen Seattle Tacoma vom 24. August 2024 durch den Kopf. Hatte ich im Blog nicht dokumentiert, aber dort ging nach einem Cyberangriff nichts mehr. Die Kollegen von Bleeping Computer haben es zum 26. August 2024 in diesem Beitrag behandelt. Und das kanadische Unternehmen Park'N Fly, welches die Parkplätze der dortigen Flughäfen bewirtschaftet, musste zum 1. August 2024 erkennen, dass es gehackt wurde und Daten abgeflossen sind (siehe auch diesen Beitrag von Bleeping Computer).
Die fatalen Abhängigkeiten
Die obige Störung ist erneut ein Beispiel hinsichtlich der fatalen Abhängigkeiten, in die uns die moderne IT manövriert hat. Im aktuellen Fall der Niederlande scheint es ein technisches Problem gewesen zu sein. Was aber, wenn es Cyberkriminellen gelingt, in ein solches System einzudringen? Oder was ist, wenn staatlich gestützte Hacker einen gezielten Angriff auf die Infrastruktur fahren?
Nur mal als kurzer Rückblick: Im Februar 2024 hatte ich im Beitrag Niederlande: Militärnetzwerk über FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen berichtet, dass eine Spionageaktion der chinesischen Regierung in einem Computernetzwerk des niederländischen Militärs aufgeflogen war. Dort hatte man Backdoors des chinesischen Volt Typhoon Netzwerks gefunden.
Und diverse US-Medien berichteten gerade, dass chinesische Hacker US-Provider seit Jahren unterwandert haben. Kollege Lawrence Abrams hat es gestern im Beitrag Chinese Volt Typhoon hackers exploited Versa zero-day to breach ISPs, MSPs aufgegriffen. Erneut war es Volt Typhoon, welche eine Zero-Day-Schwachstelle (CVE-2024-39717) in Versa Director ausgenutzt haben, um eine spezifische Webshell auf diverse Unternehmensrechner zu installieren und in deren Netzwerke einzudringen. Versa Director ist eine Verwaltungsplattform, mit der ISPs und MSPs virtuelle WAN-Verbindungen verwalten.
Der Angriff wurde am 17. Juni 2024 entdeckt, nachdem Sicherheitsforscher auf eine bösartige Java-Binärdatei mit dem Namen 'VersaTest.png', die aus Singapur auf VirusTotal hochgeladen wurde, gestoßen sind. Ich fürchte, die Kopfschmerzen, die IT-Verantwortliche haben, werden in Zukunft nicht weniger oder eher mehr.
Anzeige
Hach ja. Was denn, wenn "jemand" ein System unbemerkt kompromittiert und jahrelang nichts tut, bis es für das Tun einen Anlass gibt? Wenn man davon ausgeht, dass Strukturen, einmal aufgebaut, zwar repariert, aber nie wieder grundlegend neu aufgebaut werden … wie gering ist die Wahrscheinlichkeit nicht-kompromittiert zu sein über die betrachtbaren langen Zeiträume und den Myriaden von Optionen?
Die verdammten Windows-Updates wieder.
Warum wird hier immer von angeblich chinesiche Attackern berichtet aber praktisch nichts von den amerikanischen und westlichen Hackern, die für deren Geheimdienste arbeiten? Und sag mir keiner, die gibt es nicht, oder die sind die Guten. Das errinnert mich an meine Jugend, wo ständig mit der "gelben Gefahr" Propaganda gemacht wurde. Ein Technik Blog sollte sich nicht auf diesen Niveau begeben.
Schon mal was von "False Balance" gehört? Schon mal eine Firewall administriert und die Logs angeschaut? Ich befürchte, dass ist hier aber
vergebene Liebesmüh.
Profi-Angreifer machen das eher nicht aus dem eigenen Netz.
Und tatsächliche Experten halten sichere "Cyberattribution" für unmöglich. Wenigstens insoweit ist die Frage von @mw sehr berechtigt, mir stösst die kritiklose Übernahme solcher Behauptungen jedenfalls auch ein wenig auf.
BTW: Sobald, wie von Populisten gefordert, die Attribution zu Konsequenzen für den Beschuldigten führt (selbst die NATO fabuliert davon*!) werden wir (Cyber-)Swatting** live und in Farbe erleben, dann lohnt es sich nämlich richtig, Gegner "über Bande" anzugreifen (angreifen zu lassen).
* merkur .de/politik/nato-macht-sich-bei-cyber-angriffen-zum-gegenschlag-bereit-zr-10294896.html
** RL-Swatting: de .wikipedia .org/wiki/Swatting
War da nicht mal was mit Redundanz für Rechenzentren? Oder wurde die Redundanz auch lahmgelegt?