Nennt sich wohl Kollateralschaden: Die gesamte Verwaltung des Landes Hessen hat derzeit eine "Internet-Sperre". Keine Zensur, sondern es gelten Sicherheitsgründe. Der tiefere Hintergrund ist der Hack des US-Sicherheitsanbieters Trellix zum 17. April 2026, bei dem Teile des Quellcode-Repository erbeutet und meinen Informationen nach verschlüsselt wurden.
Kurzer Rückblick: Der Trellix-Hack
Trellix ist ein weltweit tätiges US-Unternehmen im Bereich der Cybersicherheit, welches Anfang 2022 aus der Fusion von McAfee Enterprise und FireEye entstand. Trellix bietet weltweit Dienstleistungen für über 50.000 Unternehmens- und Regierungskunden an und schützt mehr als 200 Millionen Endgeräte.
Zum 17. April 2026 gelang es meinen Informationen nach der Cybergruppe RansomHouse in die IT-Systeme von Trellix einzugreifen. Die Angreifer konnten Teile des Trellix Quellcode-Repository abziehen und dann die Dateien auf den Rechnern des Unternehmens zu verschlüsseln. RansomHouse hat zum 7. Mai 2026 Teile der beim Hack erbeuteten Dateien auf einer Leak-Seite eingestellt. Im Blog-Beitrag Sicherheitsanbieter Trellix Opfer der RansomHouse-Hacker; Quellcode erbeutet hatte ich diesen Cybervorfall, der durch Trellix bestätigt wurde, angesprochen.
Hessische Landesverwaltung "ohne Internet"
Im Diskussionsbereich des Blogs hat sich ein anonymer Leser mit der Information "Aktuell sind bei mindestens einem hessischen Amt 'aufgrund der aktuellen Cybersicherheitslage' die Browser für den Zugriff nach draußen gesperrt. Weiß jemand mehr?" gemeldet. Ein zweiter Leser hat mir per Mail dann einige Informationen zu einem Sicherheitsvorfall zukommen lassen, der passgenau zu sein scheint (danke für die Hinweise).
Die Frankfurter Rundschau (FR) berichtet in diesem Artikel ihrer Online-Redaktion, dass "die gesamte Verwaltung des Landes Hessen" aktuell wegen Sicherheitsbedenken das Internet nicht nutzen könne. Die FR bezieht sich dabei auf eine Mitteilung der Hessische Zentrale für Datenverarbeitung (HZD) an die Redaktion. Die HDZ habe auf Anfrage der Redaktion bestätigt, dass "auf den hessischen Dienstrechnern die üblichen Webbrowser wie Google Chrome oder Microsoft Edge bereits seit Ende vergangener Woche gesperrt seien". Das ist aber genau die obige Information, die der Leser im Diskussionsbereich eingestellt hat.
E-Mails könnten dagegen von der hessischen Verwaltung des Landes normal genutzt werden (auch Fax funktioniert nach dem Flurfunk noch). Selbst Webex ist für Videokonferenzen nutzbar. Spannend wird die Begründung für die Sperre der Webbrowser, da dann der obige Puzzle-Stein ins Bild fällt.
Laut FR ist der technische Hintergrund für die Einschränkungen der Browsernutzung nach Angaben der HZD "ein Sicherheitsvorfall bei einem IT-Sicherheitsunternehmen, dessen Software in der Landes-IT eingesetzt wird". Es wird dabei das US-Unternehmen Trellix genannt. Derzeit gebe es keine Hinweise darauf, dass Systeme des Landes betroffen seien, heißt es. Die Browsersperre wurde vorsorglich verhängt, um "potenzielle Risiken" zu minimieren. Sie bleibe vorerst bestehen, bis es neue Erkenntnisse gebe.
MVP: 2013 – 2016
Und wo bleibt freedom (= Freiheit) of
internet? Heute hessische Amtsstuben,
morgen die ganze Welt? Irgendwie
riecht das nach absolutistischer Macht-
ausübung, wenigstens aber nach einem
Kniefall vor… wem eigentlich? Big Tech? Amerika? Es lebe die digitale
Souveränität, aber so haben wir uns das nicht vorgestellt.
In Netzwerken von Organisationen – egal ob Unternehmen oder Behörden – gibt es kein Recht auf freien Internetzugang. Das sind Arbeitsmittel, die für die Leistungserbringung notwendig sind. Die Leistungen einer Landesverwaltung fallen im weitesten Sinne unter Daseinsvorsorge für die Gesellschaft, also für alle Bürger des jeweiligen Landes.
Das im Rahmen einer Risikoabschätzung und daraus abgeleiteter Maßnahmen gehandelt wird, ist richtig. Das die eingesetzte Software, von der man ein Risiko vermutet, aus USA kommt, ist ein anderes Thema. Es sollen ja auch schon Europäische und auch Deutsche Softwarehersteller Opfer von Cyberattacken geworden sein…
Was hat das denn mit dem Thema Digitale Souveränität zu tun? Das ist eine (nachvollziehbare, wenn IMHO überzogene) Einzelfallentscheidung der Hessischen Landesverwaltung.
Edge gesperrt, E-Mail die sicherlich HTML darstellt erlaubt, muss man nicht verstehen.
Ich kann dir aus einer anderen Behörde sagen, dass bei uns die HTML-Ansicht seit Monaten deaktiviert ist wegen Sicherheitslücken. Kann aber nicht für Hessen sprechen.
ja, Teile der hessischen Landesverwaltung haben kein Internet (aber Mail), und das heisst: keinen Zugriff auf "Nachichtenplattform" (organisationsübergreifender Gruppenkalender, Aufgaben, Chat) UND keinen Zugriff auf so "Dateiaustauschplattform" , und wenn die "Dateiaustauschplattform" abrechnungsrelevant ist dann merken das Bürger in Hessen möglicherweise im Geldbeutel.
Festnetztelefon funktioniert momentan auch nicht, was aber recht entspannend ist, wie mein Informant angibt.
Ich möchte keine Namen nennen.
Wie ich soeben noch erfahren habe, funktionierten auch die Türsprechanlagen, Zugriffskontrollen und Schranken zum Teil nicht mehr.
Vielleicht hilft es ja für die digitale Souveränität sich einen Europäischen Dienstleister für Cybersicherheit auszusuchen.
Die Webbrowser wegen Sicherheitsbedenken abzuschalten finde ich sehr fragwürdig. Dann funktionieren nicht mal mehr interne Webseiten. Ich könnte da garnicht mehr arbeiten, weil ich die internen Monitoring-Systeme, Ticketsysteme usw. nicht mehr nutzen könnte. Man könnte denen auch einfach nur den Internetzugang abdrehen, bis es genauere Informationen gibt.
Weiß jemand, welche Quellcodes abgeflossen sind, Antivirus oder auch andere Sachen wie der Skyhigh Proxy?
Internet Intranet :) Letzteres ging, aber googeln halt nicht.
intranet und alle internen Anwendungen gehen, nur Internet nicht. Der Telefonausfall heute war zufällig
Ich steh hier noch etwas auf dem Schlauch. Trellix wurde gehackt und es ist Quellcode abgeflossen und jetzt darf man in einer hessischen Behörde kein Internet mehr nutzen, weil die Trellix verwenden. Soweit richtig?
Aber wie hängt das zusammen? Ist denn bekannt, dass Trellix Updates kompromittiert wurden und damit auch die Installation der Behörde? Das passt doch nicht zusammen.
du hast eine Software, die u. u. kompromittiert ist und Daten aus leitet. also machst du erst Mal die Tür zu und beobachtest deinen Traffic der raus will.
das ist die einfachere Variante, statt die Software auf allen Systemen zu entfernen, um sie dann wieder zu installieren, wenn nichts war.
Der Quellcode ist nicht nur abgeflossen, da hatte jemand unauthorisiert Zugriff drauf (wenn sie keinen Schreibzugriff hätten, hätten sie nicht verschlüsseln können).
Bis der Code geprüft wurde, sind also zwei Angriffsvektoren denkbar: den Trelix selbst zum Angriffstool zu machen und den Trellix wegschauen zu lassen, wenn deine Malware auf anderem Weg reinkommt.
Zumal die Betroffenen entscheiden müssen, ob sie den verdächtigen Trellix laufen lassen oder darauf verzichten und auf ein anderes Produkt umsteigen, was nicht von heute auf Morgen geht.