Die Stadtverwaltung von Aschaffenburg (Bayern) ist aktuell offline, weil ein Cyberangriff deren IT weg gefegt hat. Glück im Unglück, glauben die Verantwortlichen: Der Hackerangriff auf die Stadtverwaltung erfolgt nur punktuell – die Angreifer "seien nicht ins System gekommen". Das Rathaus bleibt Freitag zu, telefonieren und mailen ist auch nicht möglich.
Anzeige
Aschaffenburg ist eine kreisfreie Mittelstadt im bayerischen Regierungsbezirk Unterfranken. Die Stadt ist Teil der Metropolregion Frankfurt/Rhein-Main, größte Stadt der Region Bayerischer Untermain und nach Würzburg die zweitgrößte Stadt im Regierungsbezirk Unterfranken.
Stadtverwaltung offline
Ich bin über nachfolgenden Tweet und den Artikel Stadtverwaltung Aschaffenburg offline nach Cyberattacke von primavera24.de auf den Sachverhalt aufmerksam geworden.
Die trockene Botschaft: "Wir sind gehackt worden, es geht nichts mehr, die IT ist heruntergefahren, mailen und telefonieren ist nicht mehr möglich". Traurige Wahrheit, da gibt es nichts zu deuteln. Aber wie wusste schon Herrmann Hesse: "Und jedem Anfang wohnt ein Zauber inne". Daher hat die Stadtverwaltung Aschaffenburg eine etwas lockerere Stellungnahme zum Ereignis abgegeben.
Anzeige
Man geht davon aus, dass ein "punktuelle Hackerangriff" auf die Stadtverwaltung Aschaffenburg erfolgt ist – keine Ahnung, was darunter zu verstehen ist, aber es liest sich gut. Radieren wir den Punkt einfach weg, sind die Hacker ausgesperrt.
Mit dem Satz "Nachdem heute Morgen ein auffälliger Zugriff auf Anmeldekonten von Mitarbeitenden der Stadtverwaltung festgestellt wurde, wurden alle IT-System vorsichtshalber vom Netz genommen. Zurzeit werden die Systeme überprüft, um festzustellen, ob ein Schaden entstanden ist." machten die Leute aber alles wieder kaputt. Denn übersetzt heißt es: Wir haben keine Ahnung, was passiert sein könnte und haben daher alles abgeschaltet. Was genau passiert ist, welche Microsoft Software eingesetzt wird und was gehackt wurde, ist unklar. Fest steht: Die Mitarbeiter der Stadtverwaltung drehen am heutigen Donnerstag und am Freitag Däumchen, da geht IT-technisch nichts mehr.
Was man den Verantwortlichen, die diese Meldung fabriziert haben, zugute halten muss: Es wird nichts von "ausgebufften Hackern", die die "modernsten Sicherheitsmaßnahmen" übersprungen haben, erzählt. Und man hebt auch nicht hervor, dass man das LKA-Bayern sowie die Strafverfolger kontaktiert habe. Mal schauen, ob noch was an Details ans Licht kommt.
Konten wohl durch Angriff gesperrt
Ergänzung: In Franken hat in diesem Artikel noch einige Details veröffentlicht. Die Pressesprecherin der Stadt, Carla Diehl, wird so zitiert, dass sich am Morgen viele Mitarbeiterinnen und Mitarbeiter nicht an ihren Computern anmelden konnten. Der Grund: Die Passwörter waren gesperrt und ließen sich von der EDV-Abteilung nicht dauerhaft entsperren. "Offenbar hat jemand versucht, durch automatisierte Eingabe von Passwörtern ins System zu kommen", sagte Diehl. Aus Sicherheitsgründen sei daher die ganze IT vom Netz genommen worden, inklusive der ebenfalls IT-gestützten Telefonanlage.
Der Oberbürgermeister der Stadt Aschaffenburg, Jürgen Herzing (SPD), sagte gegenüber In Franken: "Nach unserem jetzigen Kenntnisstand ist alles abgeblockt worden." Genaueres soll nun "ein Scan über das gesamte System" liefern. Inzwischen heißt es, dass auch die Polizei ermittle.
Anzeige
Ich hätte mir hier mehr Sachlichkeit gewünscht, zwischen den Zeilen schwingt schon eine gewisse Häme mit (so zumindest mein Eindruck beim Lesen).
Ich finde die Reaktion der Stadtverwaltung sehr vorbildlich, es wird offen und klar nach außen kommuniziert. Das betroffene Netzwerk wird herunterfahren, um es einer detaillierten Prüfung zu unterziehen. Was außer sich nicht hacken lassen hätte man den in solch einem Fall besser machen können?
Häme bzgl. des Angriffs definitiv nicht – wo ich mich echauffiere, sind Umschreibungen wie "punktueller Hackerangriff" etc., wo sprachlich arg gedrechselt wird. Wenn es eine faktenbasierte Meldung der Art "am xxx wurden ungewöhnliche Aktivitäten im Netzwerk entdeckt – wir gehen von einem Cyberangriff aus – die Systeme wurden vorsorglich heruntergefahren – die Analyse läuft – die Stadtverwaltung ist vom xxx bis voraussichtlich xxx nicht erreichbar" gewesen wäre, hätte sich das auch sachlich im Text gespiegelt. Mag aber jeder anders sehen.
Ich sehe das ähnlich wie MI.
Wenn ich an einer Stelle ("punktuell") merke, dass etwas nicht stimmt, mache ich dicht und untersuche die Sache.
Bin kein IT-Forensiker, daher ein Analogie-Versuch:
– Vielleicht haben die Einbrecher die Haustür nicht aufbrechen können und sind wieder abgezogen,
– vielleicht haben sie es doch irgendwie geschafft, ohne deutliche Spuren zu hinterlassen (Dietrich, Rüttler), und ich muss erst mal schauen, ob was fehlt
– vielleicht haben sie auch zusätzlich die Hintertür oder ein Fenster probiert …
Ich habe dort einmal gearbeitet und kenne die ITler dort. Wenn sich der Ton nicht grundlegend geändert hat, dann soll das nur bedeuten, dass man einen direkten Angriff vermutet und keinen "Rundumschlag" á la DDOS oder Ähnliches.
Ich verstehe den Unmut, aber man muss wirklich sagen, dass die Leute dort viel vorangebracht haben in den letzten Jahren!
Die Webseiten der Sysops GmbH (in Aschaffenburg ansässig) sind ebenfalls seit heute morgen offline. Wenn man da einen Zusammenhang sehen könnte, scheinen sich die Auswirkungen wohl nicht nur "punktuell" auf die IT der Stadt zu begrenzen.
https://youtu.be/9CpFGhMQ1pA?t=925
Wenn der Fuchs im Hühnerstall ist und das scheint er ja zu sein wenn er Brute-Force-Angriff auf AD Konten macht, ist ohnehin alles kompromittiert. Abschalten, alles neu Aufsetzen und die FW engmaschig einstellen. Dauer bei gescheiter Datensicherung und Fachverfahren Anbindung 2-4 Monate. Der nächste bitte….
FW … das sind die Geräte, die den bekannten großen Herstellern aktuell jede Woche komplett um die Ohren fliegen, oder?
nicht auszuschließen, das das die offene Tür ins Netz war
Da kommt halt wieder die Dummheit der IT Manager zu Tage. Wie kann man nur ein Telefonanlage in die IT integrieren. Diversität war und ist einer der guten Ansätze systematischen Schwachstellen zu begegnen. Nun die Industrie machts schwer, eine Telefonanlage unabhängig der IT zu betreiben, das war mal viel einfacher und deutlich robuster. Schließlich sparen die IT Füchse auch an den Endgeräten und dedizierte "Telefonapparate" sind eher selten geworden. Wann endlich hat solches fahrlässiges oder gar vorsätzliches Handeln für die Verantwortlichen spürbare Konsequenzen?
"Hacker Angriff, da kann man nichts machen" ist eine dumme Schutzbehauptung inkompetenter Manager. Wir gießen tonnenweise Schlangenöl darüber und installieren von Marktschreiern angebotene Gadgets aka Firewall, IDS SIEM usw.. die die Angriffsoberfläche vergrößern und regelmäßig implodieren.
Herr schmeiß Hirn runter!
Back to Fax und Brieftaube. Das ist genau das was wir Deutschland brauchen!
Wie kommst Du denn darauf? Noch nie was von CTI gehört. Definierte Schnittstellen und nicht die Integration in allumfassende Systeme. Das funktioniert ganz hervorragend und ist m. E. auch dann noch nutzbar, wenn andere Systeme down sind. Und auch ein FAX Gerät vorzuhalten ist keine schlechte Idee (aber immer drauf achten, daß es auch funktionsfähig ist, d. h. regelmäßige Tests). Hochverfügbarkeit mit Fallback Lösungen gibt es eben nicht für lau.
Ja, ich predige auch immer das vermeiden von 'Single Points of Failure' und werde dann erstmal blöd angeguckt.
Aber getrennte Systeme fallen halt nicht gleichzeitig aus. Ein Ausfall ist dann zwar störend und ärgerlich, reisst aber nicht gleich die ganze Bude in den Abgrund. Daher sollte die Grundfunktionalität 'telefonieren' halt so abgebildet sein, dass sie den Ausfall der IT übersteht. Sprich: Echte eigene Telefone und eigenes Netz dafür, ob das dann inhause auf IP oder ISDN basiert ist egal, aber halt getrennt zum Netz der PCs.
Ein Ausfall eskaliert dann nicht gleich ins Bodenlose.
Aber diverse Consultants wollen einem ja 'das Neueste, Modernste alles in einem Netz' verkaufen. Resilenz kennen die nicht.
Was spricht gegen eine Cloud Telefonanlage?
Gegen Cloud spricht erst einmal nichts, wenn man sicherstellen kann, das die Cloud im Ernstfall noch erreichbar ist, d.h. wenn alle Systeme offline sind. Oft wird gleich direkt am Router abgeschaltet um jeglichen Traffic zu verhindern.
Also alles eine Frage der Planung für das Worst Case Szenario.
OnPrem ist man da meist wesentlich schneller und sicherer aufgestellt.
Verlust von Kontrolle und Verlust der Inselfähigkeit.
Bei nem Ausfall deiner Internetleitung oder deines internen IP-Netzwerks telefonierst auch innerhalb des Hauses nicht mehr. Das ist bei größeren Liegenschaften ein eklatanter Nachteil.
Alles eine Frage des Geldes und der Manpower. Unsere Telefonanlage ist z.b. virtuell und redundant über 2 Standorte verteilt. Ist super im Falle eines Brandes, Hochwasser etc. Aber wenn uns jemand das Netzwerk plättet stehen wir ohne da. Aber was wäre die Alternative? Ein komplettes Parallelnetz mit eigenen Switchen und alle Gebäude und Standorte doppelt anbinden und dann hoffen, dass das Telefonnetz nicht betroffen ist? Das kann und will auch niemand bezahlen. Das ist völlig an der Realität vorbei.
In fast allen Gebäuden ist ein konventionelles Telefonleitungsnetz vorhanden. Warum das nicht weiternutzen, ist doch eh da?
ComputerTelefonIntegration CTI wird zwischen nem Server zur Anbindung der PC-Seite und der Zentralkomponente der Anlage gemacht. Dem steht das POTS nicht im Wege… Aber die telefone laufen auch bei nem kompletten Down der IP-Technik. Grade bei deinem Szenario mit mehreren Gebäuden etc. ist es sicher sehr wertvoll, bei nem IP-Ausfall noch intern telefonieren zu können.
Bewerbe dich gerne dort und zeige es denen, wie es ein richtiger ITler machen würde. Dann bekommst du sicherlich auch den städtischen Verdienstorden.