Die Verwaltung der Stadt Potsdam ist nach einem vermuteten Cyberangriff auf die IT seit dem 29. Dezember 2022 offline. Inzwischen wurde auch bekannt, dass die Stadtwerke Potsdam ihre Systeme ebenfalls offline genommen haben. Das Ganze soll präventiv erfolgt sein, weil es Hinweise auf einen bestehenden Cyberangriff gegeben habe. Die Stadt war bereits 2020 Opfer eines Cyberangriffs, der die IT der Stadtverwaltung von Potsdam in die Knie zwang. Ergänzung: Weitere Informationen von Januar 2023 nachgetragen.
Anzeige
Vorsorgliche Abschaltung?
Ein Leser hatte die Info bereits vor einigen Stunden hier im Blog als Kommentar eingestellt. Die Landeshauptstadt von Brandenburg, Potsdam, ist möglicherweise Ziel eines Cyberangriffs. Ob der nur drohte oder bereits stattgefunden hat, bleibt allerdings unklar. Auf der Webseite potsdam.de erscheint momentan ein Popup mit einem entsprechenden Hinweis auf eingeschränkte Dienste der Stadtverwaltung auf Grund eines IT-Angriffs.
In einer Pressemitteilung vermeldet die Stadt, dass die Internetanbindung der IT aktuell aus Sicherheitsgründen offline sei. Oberbürgermeister Mike Schubert, der einen Verwaltungsstab eingerichtet hat, sagt dazu: "Die Abschaltung erfolgte präventiv, weil wir seitens der Sicherheitsbehörden des Landes ernstzunehmende Hinweise auf einen bevorstehenden Angriff auf die Potsdamer IT-Infrastruktur bekommen haben. Ich bin der Empfehlung der IT-Verantwortlichen gefolgt, die Daten der Stadt durch eine präventive Abschaltung der Internetverbindung, also dem Eingang in die Systeme der Verwaltung, zu schützen. Es ging darum, Szenarien wie in anderen deutschen Städten nach Cyberattacken zu verhindern. Dabei haben uns augenscheinlich auch die Erfahrungen und Vorkehrungen geholfen, die wir nach dem Angriff vor zwei Jahren aufgesetzt haben. Nun gilt es zügig, unsere Systeme zu überprüfen, wenn nötig Sicherheitsstandards zu erweitern und dann die Online-Erreichbarkeit wiederherzustellen."
Zunächst ist daher keine Kommunikation per E-Mail mit der Stadtverwaltung möglich. Auch die Internetverbindung bleibe offline. Der Bürgerservice der Landeshauptstadt Potsdam ist nur eingeschränkt nutzbar, heißt es. Die vereinbarten Termine können gewährleistet werden. Nicht möglich sind unter anderem die An- und Abmeldung von Fahrzeugen, die Bestellung eines Express-Reisepasses und die Ausstellung eines Führungszeugnisses. Auch die Urkundenstelle des Standesamtes, die Volkshochschulanmeldung und das Portal Maerker und Maerker Plus stehen nicht zur Verfügung. Zudem kann im Bürgerservice aktuell nur eingeschränkt mit Karte gezahlt werden.Inzwischen berichten Medien, dass auch die Stadtwerke Potsdam die IT-Systeme vom Netz getrennt haben.
Anzeige
Unklare Sachlage
So richtig eindeutig ist die Nachrichtenlage aber nicht. RBB24 berichtet hier ebenfalls über das Thema und zitiert das Landeskriminalamt. Es deute laut Sprecherin des Polizeipräsidiums, Beate Kardels, viel darauf hin, dass es sich um einen Angriff handele. "Das LKA hat die Ermittlungen übernommen." Drohschreiben mit Forderungen seien der Polizei bislang aber nicht bekannt, heißt es, und keine Hinweise auf Cyberattacken gegen weitere Kommunen in Brandenburg lägen nicht vor.
Es wird auch bestätigt, dass die IT-Fachleute des LKA im Kontakt mit der Stadt und im Austausch mit anderen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) seien, so die Polizei-Sprecherin. Die Spezialisten wollen ermitteln, wer hinter dem wahrscheinlichen Cyberangriff steckt. Sie untersuchen auch, ob es Sicherheitslücken im System der Stadt gibt.
Der Cyberangriff im Jahr 2020
Zwischen den Zeilen gelesen, könnte es bedeuten, dass man Anzeichen für einen Cyberangriff gefunden hat. Aber es ist auch möglich, dass es lediglich eine Warnung gab und man präventiv handelte. Denn im Jahr 2020 gab es einen gezielten Cyberangriff auf die IT der Stadtverwaltung (siehe nachfolgende Artikellinks). Damals gelang es den Angreifern über eine Schwachstelle im Citrix Netscaler auf die IT-Infrastruktur zuzugreifen. Es dauerte fast ein Jahr, bis seinerzeit alle Dienste wiederhergestellt waren.
Ob wieder so etwas im Busch ist, bleibt im Dunkeln. Mir fallen aber sofort meine beiden nachfolgenden aktuellen Blog-Beiträge zu Angriffe auf ungepatchte Exchange Server und Citrix ADC und Gateway-Instanzen ein.
Informationen von Januar 2023
Zum Januar 2023 liegen nun einige zusätzliche Informationen vor, was Potsdam zur Abschaltung des Internetzugangs seiner IT bewogen hat. In Zeit Online ist eine DPA-Meldung veröffentlicht worden, der ich entnehme, dass da einiges im Argen liegt.
Beim einem IT-Dienstleister der Stadt Potsdam sind zwei alte Router in Betrieb, die sich nicht mehr aktualisieren lassen. Laut den Verantwortlichen der Stadt Potsdam sind die kritisierten alten Router zwar noch erreichbar. Die Stadt Potsdam nutze diese aber seit Jahren nicht mehr. Es werden keine Daten zu den Servern der Stadt über dise Router ausgetauscht.
Die Stadt negiert zudem, dass es eine Sicherheitslücke gegeben habe und weist Berichte zurück, dass das Netzwerk von Potsdam weiterhin per "Hacker-Trick" erreichbar sei. Es gebe keine Sicherheitslücken, heißt es. Das Netzwerk der Stadt sei extern nicht erreichbar, weil die Online- und VPN-Verbindungen getrennt sind.
Ähnliche Artikel:
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?
Droht eine Exchange ProxyNotShell-Katastrophe zum Jahreswechsel 2022/2023?
Ungepatchte Citrix-Server zu Tausenden über kritische Schwachstellen angreifbar
Anzeige
"Sie untersuchen auch, ob es Sicherheitslücken im System der Stadt gibt."
"Sicherheitslücken?"
"Nein …"
"Doch!"
Ooooohhhh!"
Es ist einer der merkwürdigsten Cybervorfälle, die mir in letzter Zeit vorgekommen sind. Einerseits spricht die Stadtverwaltung Potsdam offiziell von einem "vermuteten Cyberangriff". Anderseits ist die IT der Stadtverwaltung sowie der Stadtwerke offline. Und dem Artikel hier zufolge, bleibt das auch so bis voraussichtlich nächste Woche. Es heißt, dass die Systeme schrittweise nach Tests wieder hochgefahren werden sollen.
Immerhin ist nun bekannt, dass es a) eine Sicherheitswarnung der der Sicherheitsbehörden gab (was immer das heißt) und b) die Stadt einen Brute-Force-Angriff auf die IT-Systeme feststellte.