Seit dem Ransomware-Angriff auf die Südwestfalen IT (SIT) – ein IT-Dienstleister für Kommunen – zum 30. Oktober 2023, bei dem über hundert Kommunen irgendwie betroffen sind, werden die Auswirkungen langsam sichtbar. Waren zuerst nur kommunale Dienstleistungen wie Pass- und Zulassungsstellen, oder andere Verwaltungsleistungen in den Rathäusern nicht erreichbar, geht es nun finanziell ans Eingemachte. Die die Kommunen können auch ihre Steurern und Gebühren nicht einziehen und suchen aktuell nach Lösungen. Das Chaos ist perfekt.
Anzeige
Der Cyberangriff auf die SIT
Der Ransomware-Angriff auf die Südwestfalen IT, der in der Nacht von Sonntag auf Montag (30. Oktober 2023) deren Server verschlüsselt hat, nimmt dramatische Auswirkungen an. Der Dienstleister musste in Folge seine IT-Verbindungen zu den Kunden kappen, so dass über hundert Kommunen keinen Zugriff mehr auf die bei der SIT gebuchten Dienstleistungen (z.B. Fachverfahren) mehr haben.
Damit stehen alle kommunale Leistungen, die auf diese Fachverfahren angewiesen sind, den betreffenden Verwaltungen nicht mehr zur Verfügung. Das reicht von den oben erwähnten Melde-, Pass- und Zulassungsstellen bis hin zu Auszahlungen von Sozialkassen. Ich hatte in diversen Blog-Beiträgen über diesen Sachverhalt berichtet (siehe Links am Artikelende). Meinen Informationen nach versuchen die Kommunen mit noch vorhandenen älteren Rechnern einen Notbetrieb zu organisieren.
Es brennt bei den Kommunen
Einen Punkt, den ich persönlich nicht auf dem Radar hatte, der aber logisch ist, sind wiederkehrende Erhebungen der Steuern und Gebühren durch die Kommunen. Viele Einwohner und Firmen lassen die Quartalsabbuchungen für Müll, Wasser, Abwasser, Grundsteuer A und B etc. durch die jeweilige Verwaltung von den Girokonten abbuchen. Dieser Vorgang ist durch die abgeschalteten Fachverfahren bei vielen Kommunen derzeit zum Erliegen gekommen – und in diesen Tage sind wieder "Zahlungstermine" bei den Kommunen.
Anzeige
Blog-Leser Berinie hat mich bereits auf das Chaos bei den betroffenen Kommunen hingewiesen – und Jens Lange adressiert es ebenfalls in obigem Tweet. Hier einige Informationssplitter, wie bestimmte Kommunen reagieren:
- Die Stadt Leichingen kann laut diesem Bericht keine Gelder (Elternbeiträge für Kitas, Kindertagespflege oder Offene Ganztagsschule, aber auch Hundesteuer abbuchen) per SEPA-Mandat abbuchen. Die Verwaltung bittet die Zahlungspflichtigen nicht selbst zu überweisen, weil dies noch größeren Aufwand verursacht. Die Verwaltung will die Gelder später einziehen.
- Die Stadt Bergisch-Gladbach kann ebenfalls keine Gelder (Gewerbesteuern und Grundbesitzabgabe) einziehen, und muss laut diesem Bericht nun einen Kredit aufnehmen, um die Löcher in der Stadtkasse vorübergehend zu schließen. Beim Wohngeld und Asylbewerberleistungen werden Änderungen nicht erfasst, bei Auszahlungen an Kitas und OGS gibt es Verzögerungen, heißt es. Also auch hier Chaos pur.
- Beim Märkischen Kreis sind durch den Ausfall der Südwestfalen IT laut diesem Artikel ebenfalls keine Abbuchungen über die Kreis-Finanzsoftware möglich. Der Kreis bittet die Steuerpflichtigen nun, Forderungen auf Konten des Kreises zu überweisen – Hauptsache, es kommt Geld rein.
- Auch im Kreis Siegen-Wittgenstein bereiten die Folgen des Cyberangriffs auf die SIT ähnliche Probleme, wie hier zu lesen ist. Laut Stadtkasse Siegen und städtische Steuerabteilung sollen die Abbuchungen der Grundbesitz- und sonstigen Abgaben (GBA) sowie der Gewerbesteuer mit Fälligkeit zum 15. November getätigt werden. Die Grundbesitzabgaben sind seien vier Fälligkeiten gleichermaßen aufgeteilt, von denen die letzte Rate zum 15. November 2023 minimal (überwiegend Cent-Beträge) abweicht. Die daraus entstehenden Differenzen würden bei künftige Abbuchungen nachgeholt beziehungsweise erstattet, heißt es in einer Pressemitteilung. Die Daten der Gewerbesteuer seien von der städtischen Steuerabteilung anhand noch vorhandener analoger Akten validiert worden.
Also in Summe das reinste Chaos, jede Kommune handelt dann nach eigenem Gusto – muss sie auch, da sie die Finanzhoheit und Verantwortung über die betreffenden Konten hat. Für Zahlungspflichtige heißt es, dass sie sich bei der zuständigen Kommune informieren müssen – wie das gehandhabt wird.
Steuern wir auf dystopische Verhältnisse zu?
Schaut man sich die Situation der Kommunen an, die alleine durch die Verteilung ankommender Migranten oft am Limit agieren, und auch finanziell am Limit sind, könnten die Cyberangriffe mehr oder weniger der Sargnagel für die Handlungsfähigkeit der betroffenen Kommunen darstellen. Im Kreis Anhalt-Bitterfeld musste der Landrat den Notstand nach einem Cybervorfall ausrufen. Beim Cyberangriff auf die Stadt Rodgau (siehe Cyberangriff auf die IT der Stadt Rodgau – Details offen gelegt (April 2023)) wurde die IT arg getroffen und die arbeiten sich immer noch an den Folgen ab. Bei den Cybervorfällen von Potsdam und Anhalt-Bitterfeld (siehe Cyberangriffe auf die Stadtverwaltung Potsdam und auf Sachsen-Anhalt, ein Blick hinter die Kulissen) leidet man ebenfalls noch unter den Folgen. Und die Frankfurter Rundschau berichtet hier, dass die Frankfurter Uniklinik nach dem Cyberangriff (siehe meinen Blog-Beitrag Cyberangriff auf Uniklinik Frankfurt entdeckt?) ein neues IT-System braucht.
Zum Wochenende hatte ich im Beitrag Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen berichtet, dass der IT-Planungsrat der Länder im aktuellen Beschluss vorschlägt, die Kommunal-IT von der Sicherheitsrichtlinie NIS-2 auszunehmen – ob dies das richtige Signal ist?
Nur mal einige Zahlen: 2016 habe ich im Blog-Beitrag Cyber-Angriffe: 65 Milliarden Euro Schaden in Deutschlnd eine Schadenssumme genannt. Im Jahr 2021 gab es den Beitrag Mehr als 223 Milliarden Euro Schaden durch Cyberangriffe auf deutsche Wirtschaft hier im Blog. Und 2023 gab es im September eine Studie Studie des Digitalverbandes Bitkom, die den jährlichen Schaden durch Cyberangriffe auf Unternehmen auf 206 Milliarden Euro beziffert.
Nur mal zur Einordnung: Bis Ende September 2023 betrugen die Ausgaben des Bundes rund 336,4 Milliarden Euro, die Einnahmen betrugen im gleichen Zeitraum rund 278,8 Milliarden Euro (für Ende September ergab sich ein Finanzierungsdefizit von ca. 57,6 Milliarden Euro). Für 2024 sind 445 Milliarden Euro im Bundeshaushalt veranschlagt. Setze ich die 206 Milliarden Euro Schaden durch Cyberangriffe gegen die bisherigen Ausgaben im Bundeshaushalt 2023, bewegen wir uns grob bei 2/3 de Ausgabensumme. Und es wird immer noch – z.B. vom eco (Verband der Digitalwirtschaft) Digitalisierung auf Teufel komm raus – auch in der Verwaltung – gefordert, obwohl dort viele Projekte scheitern. Wäre es nicht mal an der Zeit für ein Moratorium, innehalten, nachdenken und Struktur in die Geschichte bringen, um sinnvoll, wirtschaftlich und vor allem sicher zu digitalisieren?
Ähnliche Artikel:
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
Anzeige
Gibt es eine Liste, wo wirklich alle betroffenen Kommunen/Städte aufgelistet sind?
Schau mal hier!
https://konbriefing.com/de-topics/cyberangriff-2023-sit-suedwestfalen-it.html
Totales Chaos, aber hey wenigstens müssen Komunen sich nicht an NIS2 halten. War da nicht was? Jetzt seht ihr wohin das führt. IT Sicherheit ist kein Witz oder Nice to have, es ist Pflicht und sollte auch so angesehen werden. Warum muss das immer erst krachen bevor die Leute das merken?
Und es wird ein schönes Fest für weitere Betrüger. Da kann man die Leute wunderbar – per Mail, SMS oder gar die klassische Briefpost – kontaktieren und Zahlungen für Kita/Müll/etc. auf Konto X 'verlangen'. Die Erfolgquote dürfte doch nicht schlecht sein.
Das ist die allgemeine Annahme, daß die Zugänge über Phishing Mails passieren.
Im hier am 12.1.. geschriebenen Post "Wenn Ransomware-Gruppen Sicherheitstips geben" wird jedoch folgendes szenario beschrieben:
"Hier die Aufbereitung des Ganzen, wie Akira ins Netzwerk eindringen konnte:
Der erste Zugang zu Ihrem Netzwerk wurde im Dark Web erworben.
Dann wurde Kerberoasting durchgeführt und wir erhielten Hashes von Passwörtern.
Dann haben wir diese einfach Brute-Force angesetzt und das Domain-Admin-Passwort erhalten."
das heißt, das man sich einfach eine Liste mit Zugängen im Darkweb kaufen kann, die man dann abarbeitet.
Da brauchts dann garkein "Lieschen Müller am Empfang", die aus Langeweile alles anclickt, was ihr ins Postfach purzelt und die Lawine ins Rollen bringt.
Es geht darum, die "Kunden" der Behörden (z.B. Gewerbesteuerpflichtige) zu phishen.
Eine Rundmail an alle Bürger einer Gemeinde (Adressen z.B. von einem lokalen Verein abgegriffen) "Bitte überweisen Sie die Müllgebühren diesen Monat an XXX" düfte eine hohe Erfolgsquote haben.
Oder einfach ein Guerillia-Aushang am schwarzen Brett der Gemeinde. 😉
Du widersprichst dir selbst. Der "Zugang vom Darknet" war eben kein Insider und wurde natürlich durch Phishing erworben!
Den Punkt (1) im Photo, dass Angestellte keine E-Mail-Anhänge öffnen sollen, hast du in dem von dir selbst zitierten Artikel einfach überlesen. Wie schafft man das?
Dein Verständnis von Text und Kausalketten ist leider nicht korrekt. Es sind eben doch 0days, Phishing und Anhänge.
Der eine Hacker kann Phishen und low-level Zugänge abgreifen, der andere Hacker kann Active Directory knacken. Nicht schwer nachzuvollziehen.
Warum glaubst Du das? Hast Du die Geschichte geprüft und selbst solche Zugangsdaten erworben? Es wird viel behauptet im Netz…
Und diese Zugänge kommen ganz magisch ins Darknet, oder wie stellst du dir das vor?
Natürlich muss da vorher irgendwer irgendwie drangekommen sein und da ist Phishing immer noch eine sehr erfolgreiche Angriffsvariante.
Eine Frage, die sich mir als möglicherweise von ähnlichen Szenarien Betroffener in der Privatwirtschaft oft stellt: muß das so weit eskalieren?
Das wir uns richtig verstehen, ich zweifle die "reine Lehre", Vorgaben des BSI, Grundschutz usw in keiner Weise an.
Wenn auch nur der Verdacht besteht, daß die Systeme kontaminiert sind, ist die erste Maßnahme die Trennung aller Verbindungen nach außen und ein vollständiger Shutdown, die zweite Maßnahme (nach Erfüllung eventueller Meldepflichten) die Forensik und Ermittlung des Schadensumfangs samt Eindringweges.
Trotzdem frage ich mich ob das reicht und die SIT sich darauf zurückziehen kann und quasi sagt "Nach mir die Sintflut".
Wie gesagt in der Privatwirtschaft hat man da noch die Pflicht zur Erstellung geeigneter Recoverykonzepte.
Bei uns würde das so aussehen, daß wir von unseren Lieferanten entsprechende Hardware (mindestens einen Virtualisierungscluster, mit entsprechenden Verträgen kriegt man aber auch ganze Containerrechenzentren) mieten und parallel zur Forensik aus älteren (natürlich extern gelagerten) Bändern ein neues, funktionierendes System wieder aufbauen. Sicherlich nicht in jedem Detail und auch nicht so performant, aber wenigstens so weit, daß man laufende Einnahmen sichern kann (Forderungen an Kunden geltend machen, Lieferantenforderungen bedienen, Gehaltszahlungen).
Wenn ich es richtig verstehe sind die meisten "Fachverfahren" browserbasierte Webanwendungen, die man ohne weiteres auch auf einem anderen System zum Laufen bringen könnte. Sicherlich gibt es Lücken (man könnte z.B. einen zweiten Paß beantragen, wenn der erste genau in diesem Zeitfenster ausgestellt wurde), aber so etwas läßt sich mit etwas Aufwand auch auf Papier recherchieren, genauso mögliche Doppelvergaben von Kennzeichen verhindern.
Spätestens etwas in der Art "man wiederholt einfach die Zahlungsläufe von Oktober und erstattet eventuelle Unterschiede im Dezember" dürfte für nur wenig Aufwand (die Steuer für die paar abgemeldeten Hunde wird dann eben erstattet) sorgen.
Muss man denn wirklich Alles ins Netz bringen?
Warum muss eine komplette EDV einer Kommune aus dem I-net erreichbar sein?
Nun kenne ich mich, so als Privatier, nicht so gut aus mit dem Krempel,
aber ich habe mein "Smarthome" und mein Surfrechner voneinander getrennt!
Sollte ich mir also doch mal etwas einfangen, das andere Netzwerk bekommt
davon hoffentlich nichts mit.
Also meine Frage noch einmal, warum muss ein Rechner z.B. der Verwaltung, direkten
Zugang zum Internet haben?
Soweit ich der dürftigen Nachrichtenlage (es gibt eine Kommunikationssperre) entnehmen kann, wurde das interne Netz der Gemeinden bzw. der SIT kontaminiert.
Möglicherweise durch eine unbedacht geöffente eMail.
Ich denke schon, daß das Netz der Gemeinden relativ gut vom Internet getrennt ist und jede Gemeinde ein eigenes VPN ins Rechenzentrum der SIT hat. Nur wenn man halt der Bürgernähe wegen auch per Mail (und nicht nur Brief oder persönlicher Vorsprache mit Niederschrift) erreichbar sein will, muß man eben Mails annehmen und bearbeiten können.
Vermutlich haben die Gemeinden keine wirkliche IT, sondern nur ein paar PCs hinter einem VPN-Router und jede Datenverarbeitung findet bei der SIT statt – damit haben sie auch wenig Kompetenz vor Ort (meist einen örtlichen Dienstleister, der gerufen wird wenn es nicht druckt oder ein PC kaputt geht).
Hallo Mira,
das muss es natürlich nicht aber es gibt immer Kontenpunkte die miteinander kommunizieren müssen. Es gibt somit vom WAN (I-net) immer Übergänge zum einem LAN wenn auch stark abgesichert. Bei Sicherheitslücken oder Schwachstellen ( kompromittierter Benutzer) ist es für Angreifer dann relativ einfach…
Moin,
"Warum muss eine komplette EDV einer Kommune aus dem I-net erreichbar sein?"
Muß sie nicht und ist sie auch nicht. Wenn wir uns erinnern, sind nicht die Kommunen direkt betroffen, sondern der Dienstleister, der die Daten der Kommunen betreut.
"Sollte ich mir also doch mal etwas einfangen, das andere Netzwerk bekommt davon hoffentlich nichts mit."
Ja, die Hoffnung stirbt zuletzt!
"Also meine Frage noch einmal, warum muss ein Rechner z.B. der Verwaltung, direkten Zugang zum Internet haben?"
Es ist dabei der Weg zu unterscheiden. Betrifft es den Weg von innen nach außen, dann kann ein Rechner den Außenzugang erhalten.
Im anderen Fall ist das nicht zwingend notwendig und passiert auch nur selten. Und selbst zu Corona-Zeiten wurden die "Home Office Arbeitsplätze" nicht mit den Arbeitsplätzen in der Kommune "verbunden", sondern die Benutzer erhielten über eine VPN-Verbindung Zugriff auf eine VM beim RZ.
Was wir bisher über den Vorfall wissen, ist, daß "auf Servern der SIT verschlüsselte Dateien gefunden wurden". Über den Weg, wie die Schadsoftware in die Server gelangen konnte, ist derzeit nichts Belastbares bekannt.
Danke an Alle für die Antworten.
@Joe
Du hast eine bessere Lösung, als zwei unterschiedliche Netze?
Denn Deine Antwort suggeriert, dass das eben keine brauchbare Lösung ist.
Moin,
@Mira
ja, aber die Lösung willst Du nicht hören wollen: Laß den ganzen Smarthome-Krempel einfach weg.
Ich kann die Rolläden vor den Fenstern noch selbst mit der Hand hoch – und runterfahren, Fenster lassen sich bei mir auch noch per Griff öffnen und schließen, wenn ich nach Hause komme, reicht der Dreh am Heizungsthermostaten, um die Hütte warm zu bekommen, die Kafffeemaschine kann ich noch selbst anstellen und mein Kühlschrank muß sich noch nicht mit meinem Herd unterhalten, was denn eingekauft oder gekocht werden soll, genausowenig muß meine Waschmaschine dem Trockner mitteilen, daß jetzt die Wäsche umgepackt werden kann.
Hab ich noch was "Lebenswichtiges" vergessen?
Ja, ich muß auch keine Befürchtungen haben, daß sich irgendwer doch durch mein vermeintlich so gut abgesichertes Smarthome-Netz gehackt hat, während ich auf der Arbeit bin, und bei strömendem Regen die Dachfenster hat sich öffnen lassen oder die Heizung auf volle Pulle gedreht hat. Ich würde natürlich über diese Vorfälle informiert, aber bevor ich meine Arbeitsstelle verlassen und zu Hause angekommen bin, hat der Saugroboter schon so viel Wasser aufgesaugt, daß die Elektrik einen Kurzschluß erzeugt hat und jetzt das Wohnzimmer in Vollbrand steht, was die Versicherung natürlich überhaupt nicht interessiert, da ich für den Einsatz der Smarthome-Gerätschaften selbst verantwortlich bin und evtl. auftretenden Fehlfunktionen nicht zu Lasten der Versicherung gehen.
PS: Ich gehe mal davon aus, daß Du körperlich soweit in der Lage bist, die von mir angeführten "Handreichungen" auch selbst durchzuführen und nicht aufgrund körperlicher Beeinträchtigungen auf die Nutzung der angesprochenen Komponenten angewisen bist, um das Leben für Dich ein wenig einfacher zu gestalten.
@Joe – Du wirst mir immer sympatischer ;-) Mit Dir würd ich gern mal ein Projekt machen. Kommst Du zufällig aus meiner Gegend (wegen "moin"-Affinität, IT-Wissen und Beitragsqualität) ?
Moin,
@Norddeutsch
nee, ich bin nicht "Nordisch by Nature", komme aus NRW. Hab aber mal längere Zeit mit "Nordlichtern" zusammengearbeitet und von denen das "Moin" adoptiert.
:-) Moin @Joe. Na, bin auch grad isoliert ganz an Deiner Landesgrenze …
Moin,
"Wenn ich es richtig verstehe sind die meisten "Fachverfahren" browserbasierte Webanwendungen, die man ohne weiteres auch auf einem anderen System zum Laufen bringen könnte. Sicherlich gibt es Lücken (man könnte z.B. einen zweiten Paß beantragen, wenn der erste genau in diesem Zeitfenster ausgestellt wurde), aber so etwas läßt sich mit etwas Aufwand auch auf Papier recherchieren, genauso mögliche Doppelvergaben von Kennzeichen verhindern."
Ganz eindeutig NEIN, das verstehst Du mitnichten richtig. Die von Dir titulierten "Fachverfahren" sind durch die Bank weg C/S-Anwendungen. Und wo steht der Server zum Client? Richtig, im RZ der SIT. Also nix mit anderen Rechner hinstellen, Web-Browser drauf und weiter gehts.
Apropos Daten: Wo stehen denn die Meldedaten, Kassendaten, Zulassungsdaten, etc.? Richtig, auch bei RZ der SIT.
Ersatz-EDV im Container vor das Rechenzentrum gestellt, und dann? Wie kommt man an die Daten? Von ausgelagerten Sicherungsbändern zurückspielen? Klar, aber ab welchem Stand? Seit wann ist die Schadsoftware schon im System und welche Datenträger hat sie schon "befallen", ohne daß etwas gemerkt worden ist (sog. "Schläfer")? Und gesetzt den Fall, sowas würde problemlos über die Bühne gehen und man hätte dann wieder einen "sauberen" Datenbestand von sagen wir mal vor 14 Tagen. Dann müsen ab dem Zeitpunkt über die Logdateien der einzelnen Fachverfahren alle Transaktionen in der richtigen Reihenfolge wieder eingespielt und so das System auf aktuellen Stand gebracht werden. Mit evtl. bereits verschlüsselten Logdateien wird das aber auch schwierig bis unmöglich.
Und Ja, vor Ort in den Kommunen wird auch Datensicherung betrieben, aber eben nicht für die durch die Fachanwendung genutzten Daten. Die werden übers RZ gesichert. Lokal werden "nur" die lokal genutzten "Formulare" und Office-Dokumente sowie die der lokalen Verfahren (Orts- und Gebietspläne, etc.) gespeichert und gesichert.
Nochmal zurück zum RZ im Container, der kostet natürlich und muß auch gewartet werden, was auch wieder Geld kostet. Diese Kosten sind vom RZ zu tragen. Das RZ als kommunale Einheit darf einerseits keinen Gewinn durch seine Leistungen erzeugen, muß aber andererseits Personal- und Anwendungskosten aufbringen. Dies geschieht durch Umlagen für die erbrachten Leistungen, welche wiederum durch die angeschlossenen Kommunen zu erbringen sind. Wird jetzt klar, worauf das hinausläuft? Nicht, dann weiter.
Das RZ stellt also besagten Container hin bzw. läßt hinstellen und einrichten. Die Kosten dafür werden umgelegt und die Pauschalen für die Kommunen steigen. Die wiederum müssen die Ausgaben für die Umlagen aufbringen. Einnahmen der Kommunen werden durch Steuern, Abgaben und Entgelte gedeckt. Der Kommune bleiben jetzt genau zwei Möglichkeiten: entweder sie kürzen die Leistungen, die sie für ihre Bürger erbringen, oder sie erhöhen die kommunalen Steuern, wie zum Beispiel die Grundsteuer.
Man kann also ein Ersatz-RZ so betreiben, wenn sichergestellt ist, daß die eingesetzten Daten "sauber" sind. Der Bürger der Kommunen zahlt dann so oder so für diesen "Service", der vielleicht nie in Anspruch genommen werden muß. Jetzt allerdings wäre so ein "Worst Case"-Fall eingetreten, und man hätte auf ein Ersatz-RZ zurückgreifen können. Nur, wie schon oben zu den Datensicherungen geschrieben, wie "sauber" sind diese Daten und hat man dann nicht nach kurzer Anlaufzeit ein ähnliches Desaster?
Es gibt vermeintlich viele Lösungen, aber wie realitätsnah sind die?
"Ganz eindeutig NEIN, das verstehst Du mitnichten richtig. Die von Dir titulierten "Fachverfahren" sind durch die Bank weg C/S-Anwendungen."
Hallo Joe,
zunächst mal Danke für Deinen langen und aufschlußreichen Beitrag. So eine Art Klarstellung hätte ich mir irgendwie von der SIT erhofft, um die aktuellen Herausforderungen zumindest einordnen und – ein Stück weit – verstehen zu können.
Ich hatte meinen Beitrag ja (hoffentlich ausreichend genug) als Vermutung gekennzeichnet.
"Und wo steht der Server zum Client? Richtig, im RZ der SIT."
Nichts anderes habe ich behauptet. Ja, die SIT sollte nach meiner Vorstellung ad hoc eine solche zweite IT neben ihr RZ stellen und damit Arbeitsfähigkeit herstellen.
Wir haben mit unserem Dienstleister eine Rahmenvereinbarung, daß er uns im Notfall aus seinem Pool von Ersatz-, Test- und ggf. auch noch nicht angelieferten Kundengeräten kurzfristig ein paar Maschinen leihen kann – im Fall von größeren Hardwareausfällen hat er das auch schon getan.
"Wie kommt man an die Daten? Von ausgelagerten Sicherungsbändern zurückspielen?"
Wenn man einen konservativen Zeitpunkt wählt (sagen wir 1 Monat zuvor) hat man zwar nicht alle Fluktuation erfaßt, aber zumindest einen Grundstock von Einwohnern, Firmen und Hunden, auf den man aufbauen kann.
Übertragen auf unsere Firma hätte ich dann zwar nicht alle Neukunden, aber zumindest die weitaus wichtigeren Bestandskunden mit (größtenteils) richtigen Anschriften, Kontodaten usw. Importiert als CSV in ein neu aufgesetztes ERP (direkt vom Hersteller installiert) sollte es erst mal auch keine Probleme mit Viren geben.
Natürlich muß ich in den entsprechenden Nummernkreisen Lücken lassen um ggf. die Rechnungen und Lieferscheine der letzten Wochen nachtragen zu können, ggf. muß ich auch die wichtigsten Lagerbestände mit einer Inventurzählung erfassen, aber ich bin wenigstens wieder in der Lage die Firma am Laufen zu halten und weiter Geld zu verdienen.
Das, was die Gemeinden in ihrer höchsten Not gerade machen klingt mir jedenfalls nach noch viel unglaublicherem Gebastel und schreit auf alle Fälle nach weiteren Betrügereien – von menschlichen Fehlern mal ganz abgesehen.
Moin,
@Fritz,
Du Trennst bei Deinem Beitrag nicht die Kommune vom IT-Dienstleister. Sicherlich lassen sich browsergestützte Anwendungen auch auf einem anderen System installieren (RZ der SIT), aber wenn es um die Ausstellung von Ausweisen und die Zulassunge von Fahrzeugen geht, sind wir wieder auf der kommunalen Seite. Die Kommunen brauchen aber die Daten vom RZ, und zwar in sauberer Form, ohne irgendwo noch versteckte Schadsoftware.
"Nichts anderes habe ich behauptet. Ja, die SIT sollte nach meiner Vorstellung ad hoc eine solche zweite IT neben ihr RZ stellen und damit Arbeitsfähigkeit herstellen."
Ich habe es glaube ich Günter gegenüber mal erwähnt, als es um die Entstehung der SIT ging. Kurz angerissen, ohne jetzt in die Einzelheiten zu gehen, ist bei dem Zusammenschluß der zwei Rechenzentren der Hemeraner Teil mit seinem Operating komplett nach Siegen umgezogen. Man hätte also dort die Möglichkeit gehabt, eine zweite IT als Backup aus den vorhandenen Ressourcen zu erstellen. Das ist aber aus Gründen, die mir nicht bekannt sind, so nicht gemacht worden.
"Wenn man einen konservativen Zeitpunkt wählt (sagen wir 1 Monat zuvor) hat man zwar nicht alle Fluktuation erfaßt, aber zumindest einen Grundstock von Einwohnern, Firmen und Hunden, auf den man aufbauen kann."
Kann man theoretisch so machen, aber wie sieht das praktisch aus? Ich kann mich nur wieder auf den Hemeraner Teil der SIT beziehen: Dort sind datenmäßig drei Kreise mit ihren Kommunen vertreten (Märkischer Kreis, Hochsauerlandkreis und Kreis Soest). Setzen wir mal den Fall, daß jeder Kreis einen eigenen Dataspace hat, der nicht mit dem der anderen Kreise auf einem Storage, sondern auf einem separaten, eigenen Storage liegt. Dann liegen die Daten von 15 Kommunen des MK auf einem Storage, von 12 Kommunen des HSK auf einem Storage und die Daten von 14 Kommunen des SO-Kreis auf einem Storage.
Nehmen wir jetzt nur mal drei Server pro Kommune (Daten, SQL, Mail) dann greifen 45 Instanzen des MK, 36 Instanzen des HSK und 42 Instanzen des SO-Kreis auf den jeweiligen "Kreis-Storage" zu. Laut offiziellem Statement der SIT wurden "in der Nacht von 29.10. auf den 30.10 2023 verschlüsselte Dateien auf den Servern der SIT gefunden". Es wurde nicht verlautbart, welche Server genau betroffen waren, sondern aus Sicherheitsgründen wurde alle Verbindungen der Kommunen vom und zum RZ gekappt.
Ich denke, es ist müßig, sich jetzt irgendwelche Recovery-Szenarien auszudenken, ohne zu wissen, wieweit die Verschlüsselung schon fortgeschritten war und welche Datenvolumen davon betroffen sind. Ganz davon abgesehen, daß man mal eben mit dem Import einer CSV-Datei einen Datenbestand dieses Ausmaßes auch nicht im Entferntesten wieder herstellen kann.
Aus dem "Firma" entnehme ich, daß Du in der freien Wirtschaft tätig bist. Dazu kann ich nur sagen: "Vergiß alles, was Du Dir in der freien Wirtschaft bezüglich EDV oder IT angeeignet hast, in der kommunalen Verwaltung kannst Du mit dem Wissen nie und nimmer punkten, denn da ist alles grundlegend anders."
Das ist ja u.a. der Grund, warum die Kommunalen Zweckverbände gegründet wurden, damit die Kommunen eine einheitliche Hard- und Softwarelandschaft und damit eine EDV-Unterstützung erhielten. Bei der SIT ist man noch gut bedient, da kann sich die Kommune noch aussuchen, von welchem Hersteller/Lieferanten sie die Harware bezieht, da sind nur die Eckpunkte (CPU, RAM, ggfls HDD, wenn Thin Client oder Fat Client) vorgegeben, in anderen Rechenzentren werden sogar die Endgeräte noch vom RZ vorgegeben.
"… aber ich bin wenigstens wieder in der Lage die Firma am Laufen zu halten und weiter Geld zu verdienen."
Hehe, für die freie Wirtschaft mag das gelten, in der Kommunalverwaltung ist "Geldverdienen" ja quasi verboten, wie ich schonmal ausgeführt habe. Mal provokant gefragt: Ist Dir einen Kommune bekannt, die Pleite gegangen ist oder Konkurs angemeldet hat?
Jede Kommune hat einen sog. "Haushalt", in dem die Einnahmen eigentlich die Ausgaben decken sollten. Gewisse Fehlbeträge lassen sich durch Zuweisungen vom Land ausgleichen, können allerdings nicht auf Dauer genutzt werden. Diesen Haushalt bzw. den Plan dazu, muß die Kommune der Aufsichtsbehörde (Kreis bzw Bezirksregierung) vorlegen und genehmigen lassen. Erfolgt diese Genehmigung mehrmals in Folgejahren hintereinander nicht, so wird die Kommune in ein "Haushaltssicherungskonzept" eingebunden. Das bedeutet, daß die Kommune nicht mehr selbst über ihre Einnahmen verfügen kann, um damit ihre Ausgaben zu bestreiten, sondern daß von der Aufsichtsbehörde festgelegt wird, welche Einnahmen in welcher Höhe zu veranschlagen sind und welche Ausgaben in welcher Höhe davon geleistet werden dürfen. Da dies für die Kommunen nicht erstrebenswert ist, versuchen die natürlich mit allen Mitteln, nicht in ein HH-Sicherungskonzept eingebunden zu werden. Und wenn man bei der hauseigenen IT sparen kann, indem man die an das RZ abgibt, ist man da schon einen großen Schritt in die richtige Richtung gegangen. Und für den "Support vor Ort"
reicht dann ein Hilfs-Admin, der neben seiner Hauptaufgabe in der Kommunalverwaltung auch noch die EDV aufs Auge gedrückt bekommt, weil der mal verletzungsfei einen PC aufgeschraubt hat.
(Wer Sarkasmus findet, darf den behalten).
Daß auf einem solchen Level die Kommunen bzw. deren Mitarbeiter dann zu sämtlichen Strohhalmen greifen, um wenigstens einen kleinen Teil ihrer Aufgaben erledigen zu können, ist in meinen Augen nicht verwerflich, sondern ein Zeichen der Hilflosigkeit mit einem Gefühl, allein gelassen zu sein.
Was jetzt kommt, paßt nicht so ganz zu Deinen Anmerkungen, aber ich pack die Infos von Günter (vom 11.11.2023) mal hier mit bei, weil ich keinen neuen Thread aufmachen will:
" In June 2023, just three months after Akira was discovered, Akira expanded its list of targeted systems to include Linux machines. Malware analyst rivitna shared on X that Akira ransomware actors used a Linux encryptor and targeted VMware ESXi virtual machines.
Meanwhile, in August, incident responder Aura reported that Akira was targeting Cisco VPN accounts that didn't have multifactor authentication (MFA).
Cisco released a security advisory on Sept. 6, 2023, stating that Akira ransomware operators exploited CVE-2023-20269, a zero-day vulnerability in two of their products' remote access VPN feature: the Cisco Adaptive Security Appliance (ASA) software and Cisco Firepower Thread Defense (FTD) software."
Also bereits im Juni 2023 hat die Akira-Gruppe damit begonnen, mit Verschlüsselungen auf Linux-Basis virtuelle Maschinen unter VMware ESXi anzugreifen.
Im August wurde dann versucht, Systeme anzugreifen, die über Cisco VPNs ohne zwei-Faktor-Authentifizierung erreichbar waren.
Und am 6. September wurde bekannt, daß die Akira-Gruppe eine Schwachstelle herausgefunden hat, die in den Remote Zugriffen auf Ciscos VPN-Software in den Produkten "Cisco Adaptive Security Appliance (ASA)" sowie "Cisco Firepower Thread Defense (FTD) software" genutzt werden kann.
Inwieweit dies auf die Umgebung bei der SIT oder den angeschlossenen Kommunen zutreffend ist, kann ich nicht sagen und möchte mich auch nicht an wilden Spekulationen diesbezüglich beteiligen.
Hallo Joe
…und noch einmal vielen Dank für Deine lange und äußerst informative Antwort.
Ja, ich verdiene meine Brötchen in der "freien Wirtschaft". Daß es da durchaus Unterschiede zur Welt der Ämter und Behörden gibt war mir schon bewußt, nur nicht daß sie SO groß sind.
Und ich dachte schon, der Umgang mit Großkonzernen wie Siemens mit ihren komplizierten internen Freigabe- und Genehmigunsstrukturen wäre herausfordernd. 😯
Ich kann es mir nur so erklären, daß von den Amtsleitern einerseits keiner die Befürchtung haben muß seinen Job zu verlieren bzw. die ganze Gemeide pleite gehen zu lassen und andererseits jeder Angst hat sich auch nur einen Schritt außerhalb der festgelegten Prozeduren, Vorschriften und Gesetze zu bewegen und dafür am Ende persönlich haftbar gemacht zu werden.
Vermutlich muß er sich auch nicht bei der Bank so krumm machen wie ein privater GF beim Beantragen eines Überbrückungskredits – wie oben zu lesen.
Wie gesagt hier prallen Welten aufeinander, entschuldige bitte den naiven Blick aus meiner und Danke für die Einblicke in die, in der Du zu Hause zu sein scheinst.
Mein letzter Kontakt mit einem "Fachverfahren" (ein Wort, das ich mir übrigens nicht ausgedacht sondern einer der vielen Pressemitteilungen entnommen habe) war dagegen durchweg positiv.
Vor einem Jahr habe ich den Umtausch meines alten rosa Führerschein in einen EU-Kartenführerschein beantragt. Dazu habe ich auf einer Seite der Gemeinde "Führerscheinstelle online" ein Webformular ausgefüllt, ein paar Scans hochgeladen, anschließend einen ausgedruckten Zettel unterschrieben und zusammen mit dem Paßbild eingeschickt.
Einen Monat später konnte ich meinen neuen Führerschein (der alte wurde entwertet) an der Dokumentenausgabe abholen – ganz ohne Termin oder Wartezeit.
Also im Prinzip so wie man es sich bei den hochgelobten Digitalisierungsvorreitern wie z.B. Estland vorstellt.
Daß es hinter den Kulissen ganz anders zugeht hatte ich zwar irgendwie vermutet, aber eben nicht in dieser Deutlichkeit gesehen.
Moin,
@Fritz,
ja, so wie Du es mit dem Umtausch des Führerscheins beschrieben hast, könnte es in einigen "Fachanwendungen" auch laufen. Leider tut es das nicht, weil der notwendige Bürokratismus uns das Leben so schwer macht. Auf der einen Seite soll alles möglichst leicht bedienbar sein und schnell zu Ergebnissen führen, auf der anderen Seite muß aber auch dafür gesorgt sein, daß die Daten sicher beim Empfänger ankommen und nicht irgendwo im Netz verschwinden oder durch Dritte manipuliert werden. Aber die Fachanwendung "Umtausch Führerschein" ist nur ein Steincen im Mosaik des Fachverfahrens "Führerscheinwesen". Da "laufen" die Daten , nicht der Bürger oder Antragsteller.
So wie Du jetzt "überrascht" bist, was in einer Kommunalverwaltung abgeht, so geht es evtl. jetzt vielen, die noch mit dem Gedanken "da sitzen doch nur Beamte rum, warten auf die nächste Beförderung und lassen pünktlich um 16:00 Uhr den Griffel fallen" daherkommen. Nicht alle Aufgaben einer Kommune sind hoheitliche Aufgaben, die nur ein Beamter ausführen darf. Es gibt auch jede Menge Angestellte, die dort Aufgaben zu erfüllen haben, die keinem hoheitlichen Zweck zugeordnet sind.
Du beschreibst sehr schön, wie die Hierarchiestrukturen für Dich erscheinen und wie die Beteiligten dort in ein Korsett aus Vorschriften, Verfügungen, Gesetzestexten und deren Auslegung, Dienstanweisungen und sonstigen Regularien eingeschnürt sind.
Hier wird manchmal der "Admin" angeführt, der doch für die IT-Landschaft verantwortlich ist. Soweit die Theorie, aber wie sieht es denn in der Kommune in NRW aus. Mit Einführung des "Neuen Steuerungsmodells" in der Kommunalverwaltng wurden die Ämter und damit die Amtsleiter eigentlich abgeschafft und an deren Stelle traten die Fachbereiche und Fachbereichsleiter. Die EDV war früher beim "Hauptamt" angesiedelt, jetzt im Fchbereich 1 "Allgemeine Dienste". Der Admin macht den Job quasi nebenberuflich, da er eigentlich für andere Verwaltungsaufgaben zuständig ist. Ihm vorgesetzt ist der Fachbereichsleiter, über dem wiederum der Bürgermeister "regiert", und das meine ich im wahrsten Sinne des Wortes.
Nur ein Beispiel: Was soll denn der Admin machen, wenn der BM meint, er müsse unbedingt außerhalb der Bürozeiten auch noch auf seine Dokumente in der Verwaltung zugreifen? Entweder er richtet einen entsprechenden Zugang ein bzw. läßt den übers RZ einrichten, oder er stellt sich quer und steht am nächsten Tag draußen vor der Tür. Du kannst dann als Admin immer noch hingehen und Deine Bedenken schriftlich fixieren, die dem BM mit der Bitte um Gegenzeichnung zukommen lassen und wenn der Deiner Bitte nicht nachkommt, das ebenfalls vermerken und den Vorgang abheften. Wenn es dann kracht, kannst Du schön mit dem Vermerk rumwedeln, aber Du hast die Arbeit an der Backe, das Problem wieder aus der Welt zu kriegen, denn Du bist ja der Admin und damit verantwortlich. Und nun frag Dich mal, warum richtig gute Admins in der Kommunalverwaltung so rar gesät sind.
@Jon
"vielen, die noch mit dem Gedanken "da sitzen doch nur Beamte rum, warten auf die nächste Beförderung und lassen pünktlich um 16:00 Uhr den Griffel fallen" daherkommen."
Da hat mich leider vor Jahrzehnten (noch während meines Studiums) ein Erlebnis geprägt, von dem ich die Bilder bis heute nicht aus dem Kopf bekommen:
Ich wollte mir zum Studium etwas dazuverdienen und brauchte dazu eine Gewerbeanmeldung. Also bin ich nach der Vorlesung um drei zum Amt, setze mich (blauäugig ohne Termin) auf auf den entsprechenden Flur und warte bis die Leute vor mir durch sind.
Mit der Zeit sammeln sich dann immer mehr Leute auf dem Flur, die miteinander über augenscheinlich privates schwatzen. Irgendwann ruft einer aus dem Pulk "Es ist um vier". Daraufhin stellen sich alle an einem Zeiterfassungsgerät (das ich an der Wand vorher gar nicht wahrgenommen hatte) an und stempeln aus. Mintuten später war der Flur leer.
Das will ich jetzt keinesfalls verallgemeinern und auf die heutige Zeit übertragen, aber ich kann mir zumindest vorstellen, wo diese Denkweise herkommt.
Bei dem Führerschein-Beispiel stand übrigens unten auf dem Formular "Copyright © 2015 by GekoS GmbH", also habe ich vermutet, daß das schon seit vielen Jahren so geht und ich es bisher nur nicht wahrgenommen haben.
Ich habe eben nur selten mit Behörden zu tun (die Autos meldet das Autohaus bzw. der AG an und einen Hund habe ich nicht).
"Du kannst dann als Admin immer noch hingehen und Deine Bedenken schriftlich fixieren, die dem BM mit der Bitte um Gegenzeichnung zukommen lassen und wenn der Deiner Bitte nicht nachkommt, das ebenfalls vermerken und den Vorgang abheften."
Auch so ein Beispiel. Wenn das bei uns von bzw. an die richtigen Postfächer geht brauche ich da nichts gegenzeichnen zu lassen oder abzuheften. Geschäftlich relevanter Mailverkehr läuft automatisch in ein DMS und sowohl mein Chef als auch ich wissen, das dahinter etwas steht, was mindestens der Hersteller als "rechtssichere Archivierung" beschreibt. Am Ende der Kette sind da WORM-Medien, die vermutlich (so sichert es der Hersteller zu) auch ein russischer oder chinesischer Hacker nicht einfach verschlüsseln kann.
Ich wüßte zumindest von keinem Fall im näheren Umfeld, bei dem derartige Verschriftlichungen dann später vor einem Arbeitsgericht angezweifelt oder bestritten wurden.
Ja, manchmal kommen auch "unlautere" Forderungen, etwa das für einen ausgefallenen Mitarbeiter eine Abwesenheitsnotiz (das wäre ja noch OK), eine Weiterleitung auf ein anders Postfach oder "mal nachschauen, ob was Wichtiges drin ist" zu machen, dann reicht aber oft schon ein Hinweis auf die gesetzlichen Vorgaben (mit Fundstelle) oder in hartnäckigen Fällen ein Verweis an den DSB, um auf der sicheren Seite zu sein.
"Malware analyst rivitna shared on X that Akira ransomware actors used a Linux encryptor and targeted VMware ESXi virtual machines."
Deswegen sage ich ja "komplette IT daneben stellen". Auf die originalen Systeme haben sowieso verschiedene Parteien (nach der Polizei die externen Forensiker bzw. die entsprechende Versicherung) die Hand drauf und man sollte sie schon aus Prinzip nicht anfassen.
Sicherlich hat unser Lieferant auch nicht mal eben eine HPE Primera oder Nimble so 'rumstehen, aber zur Not nehme ich dann eben auch eine Synology mit iSCSI statt FC und ein paar ältere Server mit weniger Ram und Cores.
Aber "geht langsam" hat eine ganz andere Qualität als "geht gar nicht".
Für ein Containerrechenzentrum sind wir eh viel zu klein, aber ich hatte es z.B. im Zusammenhang mit der Flut im Aartal bei der Telekom gesehen.
Moin,
@Fritz,
tja, da ist er wieder der Fehler: Du gehst von Deiner "Butze" aus, was Dir Dein Dienstleister im Fall der Fälle alles an Hardware, auch älteren Semesters, vor die Tür stellen und einrichten kann. Jetzt multipliziere das mit 100 und Du kommst so annähernd in die Dimensionen, die den Ausfall der SIT ausmachen.
Knackpunkt ist und bleibt das Datenvolumen, welches betroffen ist bzw. auch sein kann. In der Nacht vom 29. auf den 30. Oktober 2023 ist im RZ "etwas passiert", das gegen 1:00 Uhr bemerkt worden ist. Daß gegen 2:00 Uhr die Anfrage einer Kreispolizeibehörde nicht beantwortet werden konnte, "weil nichts mehr ging", mag mit dem "etwas passiert" zu tun haben, genausogut kann es aber ein Ergebnis der zu dem Zeitpunkt schon abgeschalteten Verbindungen vom und zum Rechenzentrum gewesen sein. Und "die heiß gelaufenen Telefonleitungen" sind auf einer ganz anderen Ebene gelegen, als auf der, wo sich die Verantwortlichen der SIT zusammengefunden haben.
Nochmal zurück zum Datenvolumen, wir reden hier nicht über Mega-, Giga-, oder Terrabyte an Daten, sonder eher Penta- oder gar Exabyte. Und die Backups dieser Datenbestände stehen auch noch zur Untersuchung auf evtl. vorhandene Schadsoftware an. Da muß man nicht, wie weiter unten, darüber philosophieren, ob die interne IT der SIT auf derselben Hardware läuft, wie die Server der Anwender oder warum die Restorezeit so lange dauert und es nur eine Not-Homepage mit Infos gibt und die Erreichbarkeit über ein Mail-Account bei gmail abgewickelt wird. Alle Leitungen kappen heißt alle, und nicht "alle mit Ausnahme von …", unabhängig davon, ob hinter den gekappten Leitungen noch funktionierende Hardware und unverseuchte Daten vorhanden sind.
Tja, Dein Beispiel mit dem Korridor paßt mal wieder wie die Faust aufs Auge. Kein Wunder, daß die Kommunalverwaltungen so ein schlechtes Image bei den Bürgern haben. Aber innerhalb der Verwaltung ist es auch nicht einfach.
DA mußt Du manchmal einen gekonnten Spagat zwischen Aufgabenerfüllung und Datenschutz hinlegen und entweder kannst Du dann die Aufgaben erfüllen, oder den Datenschutz einhalten.
Hallo Joe
…und wieder erwischt ;-)
Ich hatte in der Tat keinerlei Vorstellung davon, in welchem Umfang der Staat heutzutage Daten über seine Bürger speichert.
Selbst wenn man mal sehr großzügig schätzt, daß in den ganzen Gemeinden eine Millionen Bürger (KFZ, Hunde, Gewerbebetriebe…) betroffen sind, braucht es ja Datenmengen im Terabyte-Bereich pro "Fall" um in die Exabyte zu kommen (selbst wenn das brutto gerechnet ist).
Da kann ich in der Tat nicht mithalten. "Meine Butze" hat zwar auch Datenbanken im einstelligen Terabyte-Bereich, aber da sind schon sämtliche Geschäftsvorfälle der letzten 10 Jahre zusätzlich zu den Stammdaten mit enthalten.
So große Datenmengen kenne ich sonst eigentlich nur von den Energieversorgern – oder dem CERN.
Wie gesagt, 'nimm mir meine Fragen nicht übel. Es war pure Neugier gepaart mit der Hoffnung, ein paar Ideen und Ansätze für die eigene Arbeit daraus ziehen zu können. Aber dafür sind die Welten wohl doch zu unterschiedlich.
Bei Bleeping ist gerade zu lesen, dass ein australischer Hafenbetreiber "getroffen" wurde. Das betrifft mehrere große Häfen wie Sidney, Brisbane, Mebourne usw. insgesamt muss Australien gerade auf 40% seiner Hafenkapazität verzichten. Leute, das macht doch keinen Spaß mehr, das hat inzwischen andere Dimensionen als ein Lamer-Exterminator-Bootblock-Virus auf einem Amiga.
Das Thema steckt im Beitrag Cyberangriff zwingt Australiens Häfen in den Shutdown.
Ja @1ST1 – gegen "kein Spaß" brauchen wir Diverses – von "Honorierung nachvollziehbarer + ehrlicher IT-Arbeit" über Paradigmenwechsel – bis hin zu Awareness oder Budget. Günter war mW der 1ST1 der in DE darüber schrieb, siehe hier, übrigens 1/2 Tag vor Heise hier.
Wer schon 1000+ 5.25" Disketten nach Bottsektorviren durchsucht hat … ich :-( … der weiss: Reaktiv ist immer Mist und 2. Wahl. Amiga? Zu luxuriös – echten ITlern reichen 64K :-p
Stichworte: Kritische Infrastruktur, digitale Patientenakte, digitaler Euro, etc.
Das sozialistische System verheddert sich in seinem selbst gesponnenem Netz. Zu viel Staat, zu viel Murks. (gilt auch für die Lieferantenauswahl bzgl. IT)
Nord-Süd-Ost-West-Westfalen ;-)
Ich finde es gut. (meine ganz persönliche Meinung).
Was so alles schief läuft in unserem Überwachungsstaat: https://netzpolitik.org/
Oh Je – der sozialistische Staat kann nicht weiter abzocken und verteilen. Bei viel weniger Staat bräuchte man auch viel weniger anfällige IT.
Kommt es einem nur so vor oder werden sie erst richtig aktiv, wenn sie keine Steuern und Gebühren mehr einziehen können?
Sozialhilfe überweisen kann warten, Müllgebühren und Hundesteuer kassieren hat Vorrang!
(fritz, noreply, anonymous & johnny => erbsenzähler!)
weiter gehts bei der TargoBank:
https://www.golem.de/news/nach-angriffsversuchen-targobank-sperrt-onlinebanking-konten-tausender-kunden-2311-179390.html
"Sozialhilfe überweisen kann warten, Müllgebühren und Hundesteuer kassieren hat Vorrang!"
Wann habe ich das behauptet?
Natürlich sollte man auch den Zahlungslauf für die Auszahlungen auf Stand des Vormonats wiederholen.
Der Sonderfall, daß jemand nicht mehr anspruchsberechtigt ist und das überzahlte Geld verpraßt statt zurückzuzahlen dürfte eher als Ausnahme zu bewerten sein.
China, Nordkorea und Russland kalt stellen!
Schon sollten es weniger Angriffe geben.
Dennoch sollten sich Verantwortliche mal Gedanken über die Sicherheit des ganzen "Gebilde" machen.
Stimmt leider nicht. Die Hacker sitzen irgendwo auch wenn diese für Russland, Nordkorea o.ä. tätig sind.
Kommnt halt drauf an, wie man sie kalt stellt. Wir haben seit ein paar Monaten ein komplettes Geoblocking für die genannten Schurkenstaaten, wir haben weder Kunden, Lieferanten noch Mitarbeiter von dort, also shice drauf. Seit dem haben wir viel weniger DDOS und Bruteforce-Attacken auf unseren öffentlichen IP-Adressen. Das ist so wenig geworden, dass wir inzwischen viel feinere kleinere raffiniertere Attacken finden, die vorher als Rauschen zwischen den großen Dingern unter gingen. Hab gerade wieder heute etwa 50 Ip-Subnetze von 6 verschiedenen Hosting-Dienstleistern aus USA, Kanada, Seychellen, Hong-Kong und Vietnam auf der Firewall aussperren lassen, nachdem ich über 800 IP-Adressen, die wechselseitig in mehreren kleinen Wellen mit jeweils ca. 50 Bruteforce-Attacken pro Minute auf unser VPN-Gateway im SIEM entdeckt habe. Das war hoch interessant zu beobachten, der Angreifer hat aus allen Subnetzen immer nur so einszwei Server benutzt, und jeder davon 1 oder 2 Versuche innerhalb einer Minute, mehr nicht, dann längere Pause, und die nächste Attacke von anderen Servern aus den selben Subnetzen. Neben der Sperrung dieser Subnetze konnten wir mit der Erkenntnis ein neues Regelwerk für unser Intrusion-Detection erstellen, das jetzt solche Low-Speed-Attacken hoffentlich erkennt, sobald die Attacker es von neuen Adressen versuchen. Außerdem habe ich Abuse-Mails an die Provider geschickt, und zwei davon (USA, Kanada) haben mir immerhin bestätigt, dass sie die Server abschalten werden, oder sogar schon dabei waren, weil es auch noch andere Beschwerden gab. Wieder ein kleiner Sieg.
Aber eigentlich muss man diese Schurkenstaaten und die Angreifer, die sich dort verstecken, oder gar staatlich betätigen, finanziell besser austrocknen, warum haben wir z.B. Russland immer noch nicht komplett aus Swift rausgeworfen? Das Land hat sich in den letzten Monaten sowas von verzichtbar gemacht. Ohne Geld lohnt es sich für diese Angreife nur noch politisch, z.B. mit der Doktrin, den Westen zu spalten und lahm zu legen.
Immerhin hast eine Antwort der Provider bekommen. Andere, sehr große Anbieter wie z.B. M$ reagieren gar nicht auf Abuse-Meldungen (z.B. wenn von einer m365 Mailadresse spam versandt wird oder "fragwürdige" Dokumente auf eine "my" Site liegen).
Aber da ist M$ nicht anders wie kleine Anbieter, wenn man die Firmen direkt anschreibt, reagieren die im Regelfall auch nicht. Komischerweise sind gerade deutsche Firmen die jenigen, die am wenigsten reagieren und zum größten Teil sogar pampig antworten :(
Mir tun die MA leid, die am Ende der Nahrungskette stehen, alles jenseits des Abteilungsleiters wird mit dem Recovery nichts zu tun haben und die gesamte Schuld und Verantwortung auf die unterste Ebene abwälzen :(, selbst mit anpacken wird von denen keiner.
Die werden dann schön in der neusten Ausgabe des "IT-Cyber-Cyber Ausredenkatalog, neue Auflage 11-2023" blättern und am Ende des Tages, weil es so anstrengend war, erstmal ein paar Tage Erhohlungsurlaub brauchen.
Die Fleißbienchen am Ende der Kette, die am Ende alles nach-/einbuchen / erfassen, denen sollte man den gesamten "Bonus" der Führungsriege auszahlen, weil die es auch ausbaden.
ich habe den Eindruck, daß manchen nicht klar ist, daß es keine Schuld der betroffenen Städte und Kommunen ist, daß deren Diensleister gehackt wurde.
Lustig wird das erstmal, wenn DATEV verschlüsselt ist, dann bekommen Millionen Arbeitnehmer keine Abrechnung mehr…ups, ich auch nicht :-(
das ist mir schon klar, aber am Ende haben die Leute in den Kommunen trotzdem den Aufwand alles zu erfassen / buchen was liegengeblieben ist, da wird der Dienstleister wohl kaum für die machen :c
Ohjeh, die ehrwürdige alte Datev, einer der ganz dicken Fische, würde es die treffen, ginge schnell garnix mehr. Gerade mal eben ein Stoßgebet, dass die nicht erwischt werden, bzw. so fähig sind, dass denen nichts passieren kann! Amen!
So wie es für mich aussieht lief die interne IT des Dienstleisters auf der gleichen Infrastruktur, somit haben Sie sich den eigenen Ast abgesägt und sind dadurch handlungsunfähig. Anders kann man sich die lange Restorezeit, die Notfall-Webseite und gmail E-Mailadressen der Pressestelle nicht erklären.
Hallo Herr Born, gehört nicht direkt zum Inhalt, aber DANKE für die Berichterstattung zum Thema Ransomware/Cyberabgriffe. Die Beiträge sind aus meiner Sicht super aufbereitet, man versteht alles, ohne ganz tief in der Thematik zu sein und die rege Beteiligung dazu macht es dann noch rund. Ich bin kein "Gaffer", der sich darüber amüsiert, eher Konsument der Wege, wie so was passieren kann. Die hier in dem Blog breit gefächerte Berichterstattung (Öffentlicher Dienst, Krankenkassen, private Firmen etc.) gibt ein sehr guten Einblick. Nochmals DANKE!
[15.11. – 8-9:00 Uhr] Die Kreisverwaltung Meschede im Hochsauerlandkreis (HSK) ist laut Liste hier bei KonBriefing auch betroffen. Um 09:18 und 9:25 (Timestamps sind nicht korrekt o. Sommer) nimmt Fachdienst 13, IuK Technik …
– gerade etwas Faxfunktionalität (wieder) in Betrieb, siehe Testfax zu Simplefax.
– Testfaxe sind öffentlich einsehbar :-)
– und je nach Aufkommen einige Stunden sichtbar
– umfassen pbD's wie Email, Name, Telefon Abteilung, …
Ein freiwilliges "Datenleck" und fehlendes Organisationsverständnis hier als Übersicht bei Faxanbietern. Monitore ich schon seit 5 Jahren mit Genuss … hier findet sich ALLES, vom (A)rztbericht bis zur (Z)ustellurkunde.
Falls berechtigte Institutionen und @Günter bis zu seriösen Kollegen da Interesse hätten: Mit meinem Team hab ich da ein "Archiv" der Highlights der letzten Jahre – von diversen Plattformen.
Cyberangriff auf kommunalen IT-Dienstleister: Eine detaillierte Analyse
Lesenswerter Artikel aus meiner Sicht, insbesondere die Auflistung der Maßnahmen zur Stärkung der IT-Sicherheit.
—-
GB: Ich habe den Beitrag mal überflogen – ist ja eine Pressemitteilung. Was da als "detaillierte Analyse" verkauft wird, ist mehr oder weniger ein Werbetext der BRISTOL GROUP, die im Bereich IT-Sicherheit auch als Berater unterwegs ist. Die Punkte, die die Leute aufwerfen, sind alle bedenkenswert. Nur welchen Hut ziehe ich mir an? Aus Sicht der Kommunen kann man die Punkte "Vor- und Nachteile" des Outsourcing herausziehen – auf den Rest hat die Kommune, die Fachanwendungen bei der SIT gebucht hat, Null Einfluss. Die SIT hätte die Punkte sicherlich beachten können – wenn es da aber eine Schieflage im Management gegeben haben sollte, ist das "Eulen nach Athen tragen" – imho.
Guter Einstieg, Danke @Bernie. Sich mit denMaßnahmen zu beschäftigen halte ich für wichtig. Mehrere hinterfrage ich eher kritisch:
1. hxxps://www.bristol.de ist Verfasser – und hat klare Eigeninteressen
2. Einige Termini (zB Disaster und Notfall) grenzt Bristol schon seit Jahren oft in Projekten nicht sauber voneinander ab.
3. Das Pro/Contra Outsorcing am Anfang ist nach Literatur stark verbesserungswürdig oder falsch, die Aggregation mag evtl die Artikelkürze entschuldigen.
3. Nur von "Buzzwords" wir VaaS, Notfallplan oder DRP alleine hat man noch keine Lösung (nun gut, sie nennen mehr).
4. Einhaltung von (IT-)Gesetzen ist positiv – ist das wirklich eine Maßnahme – allenfalls doch nur mit NIS2 etc? WENN sich Öff-Dienst operativ an UNSERE JETZIGEN Gesetze halten würde – so wäre schon etwas gewonnen.
Ich habe solche Projekte schon seit Jahren erlebt, gemacht, auditiert oder konzipiert. ALLE vom Artikel genannten o. gerade von uns erlebten Probleme … sind und waren zu großem Teil LANGE bekannt oder sind alter Wein in neuen Schläuchen.
Mir ist recht egal, wie ich Maßnahmen für {| Prozess | Audit | Disaster | Awareness | Compliance | Cyberattack | ITSM |} – Konzepte nenne o. welcher Standard es ist. Aber es sollte operativ durchgängig (Bottom-up, Top,Down) adaptiert ankommen, umgesetzt sein und funktionieren. Bisher kenne ich in DE ein Dutzend Projekte in denen PWC, Steria, Bristol kommen, Security machen und nach X Monaten weg sind. Und es geht operativ dennoch nichts oder wenig.
Ich möchte ganzheitliche & tragbare Lösungen. Ich möchte saubere, sicherere IT für uns in DE. Ich glaub da bei Bristol nur nicht dran.
p.s.: Auch find ich gute IT und Bits+Bytes und so'n Zeug echt toll und geil und will mir das nicht kaputt machen lassen.
(k,A. warum bei Dir (Berni) erst jetzt inline Dein Zusatzkommentar auftaucht – der war eben noch nicht da, da hätt ich weniger zu meckern gehabt)
Zum k.A. – der Zusatzkommentar ist ja mit einer gestrichelten Linie und einem GB: vom eigentlichen Kommentar abgetrennt. Ich hatte bei der Kontrolle der Kommentare am gestrigen Abend das Ganze gesehen – und weil Links in der Mobildarstellung nicht umbrochen werden, wandele ich die schon mal händisch in echte Verlinkungen mit Titel um. Dabei habe ich zwangsweise den Artikel in der Pressebox überflogen und mich gewundert. Daher ist dann meine kurze Anmerkung direkt in den Kommentar gewandert – mache ich gelegentlich, um einen Thread nicht gänzlich durch Kommentare zerflattern zu lassen – oder auch, weil es einfach passt.
Moin,
ich glaub, ich sattle um auf "Analyst". :-))
Wenn das, was in der vermeintlichen Analyse steht, alles ist, was ein selbsternannter Analyst leisten muß, dann bekomme nicht nur ich das hin. Eine Aufzählung aller Maßnahmen, die man unternehmen kann, welche Bedrohungsszenarien eintreten _könnten_, wie man diese _hätte_ vermeiden _können_, wenn man Dieses oder Jenes getan / eingesetzt _hätte_, usw. usw. Also großes BlaBla, das genausogut aus einem Werbetext entnommen worden sein könnte, bei dem man in einem kolportierten Szenario die Bezeichnung der potentiell gefährdeten Firma durch "SIT" ersetzt. Man könnte dadurch sogar auf die Idee kommen, daß die Bristol Group bei der Analyse der Vorgänge bei der SIT beteiligt war oder die Analyse selbst durchgeführt hat. Ein paar Informationen dazu sind ja im Text untergebracht. Allerdings sind das keine Informationen aus einer möglichen, eigenen Untersuchung, sondern durch Veröffentlichung der SIT bzw. der Staatsanwaltschaft Köln schon bekannte Informationen (Ransomware-Vorfall, Unterbrechung aller Verbindungen vom und zum RZ, dadurch Totalausfall aller Fachanwendungen, kommunalen Internet-Portalen und elektronischer Post bei den angeschlosssenen Kommunen, Ursache wohl ein Angriff der Akira-Gruppe).
Für mich ist das eine ziemlich durchsichtige Aktion der Bristol Group, sich im Umfeld der Berichterstattung über den Vorfall bei der SIT mal eben mit ihren Analysen ins Gespräch zu bringen.
Übrigens von meiner Seite mal ein persönliches Lob an deine sachlichen Beiträge zur Lage. Ich arbeite in einer der betroffenen Gemeinden in der IT und muss mir in den "sozialen Medien" diese Melange aus völliger Ahnungslosigkeit bei meinungsstarkem Auftreten anschauen, mich als Mitarbeite im öD permanent mit dummen Sprüchen beschimpfen lassen und mir Ratschläge von ITlern anhören, die ihre Kinder-EDV auf ein komplettes Rechenzentrum hochskalieren und dann Ratschläge jeder Couleur erteilen.
Zwei wichtige Aspekte:
1. In der freien Wirtschaft betreut man eine Handvoll Programme, in der Verwaltung sind es alleine hier ein paar hundert (!) Fachverfahren. Die kann man nicht alle on premise haben. Soviel Know-how kannst du als kleine/mittlere Gemeinde überhaupt nicht haben. Deswegen hat man für eine Handvoll Verfahren eben ein Rechenzentrum, das diese Sachen für viele Gemeinden zur Verfügung stellt und das Know-how mitbringt.
2. Den meisten Kommentatoren ist auch nicht klar, wie viele Schnittstellen es zwischen den einzelnen Bereichen und Verfahren gibt. Nur ein einziges winziges Beispiel: Wohngeld beantragst du über ein bundesweites Webportal. Eine Schnittstelle im Wohngeldverfahren nimmt diese Anträge entgegen. Oder der Bürger reicht Papier rein. Die Daten werden im (in diesem Fall lokal gehosteten) Wohngeldverfahren über das Einwohnerwesen (RZ) auf Plausibilität geprüft. Eine Zahlung wird irgendwann freigegeben. Die Sollstellungsdatei wird ans RZ gegeben. Dort werden z.B. Kassenzeichen zu den Zahlungen generiert, die Zahlungen werden ins Finanzwesen (RZ) importiert, die Daten werden weitergeleitet an x Stellen (statistisches Bundesamt, Bund und Land, weiß der Geier) und zur Zahlung dann letztendlich an die auszahlende Stelle.
Das ist alles gar nicht so einfach, wie sich das Lieschen Müller im stillen Kämmerlein vorstellt. Dass es mit einem regionalen Rechenzentrum leider einen Multiplikator erwischt hat, ist das wirklich Bedauerliche. Nur sind Häme und Spott hier absolut nicht zielführend.
cu +quakemaster+
Moin,
@Quakemaster,
soweit wie beim Wohngeld mußt Du gar nicht gehen. Nimm eine einfache An-, Ab-, oder Ummeldung aus dem Einwohnermeldeamt. Solange die Person sich einem der von der SIT betreuten Kreisgebiete bewegt, wandern die Daten von dem einen Netzwerksegment zum anderen, bleiben aber immer noch im Kreis-Kontext. Wechselt der Wohnort von einem Kreis in den anderen, kommen da schon zwei weitere Netzwerk-Schnittstellen hinzu. Aber auch das bleibt immer noch im Verantwortungsbereich der SIT, wenn es zwei Kreise betrifft, die an die SIT angeschlossen sind. Liegt der neue oder alte Wohnort außerhalb des Verbandsgebietes der SIT, laufen die Daten dann von und nach extern. Welche internen und externen Sicherheitslösungen dann zum Einsatz kommen, kann ich nicht beurteilen, da mir das nicht bekannt ist. Da die SIT jedoch nicht erst seit gestern IT betreibt, sollte sie wissen, was sie machen muß.
Wenn ich mir dazu dann noch die Ausführungen des Allerersten zu dem Thema anschaue, der selbst zugeben muß, daß er einen Tag damit verbracht hat, die IP-Ranges aus dem Angriff auf sein Netzwerk zu analysieren und Gegenmaßnahmen zu konfigurieren, dann frage ich mich, wie er denn reagiert hätte, bei einem Vorfall wie bei der SIT? Und irgendeine "Instanz" muß ja wohl bei der SIT im Einsatz gewesen sein und den Alarm ausgelöst haben, daß "verschlüsselte Dateien auf den Systemen der SIT gefunden wurden". Oder ist da ein Wachmann mit seinem Kampfdackel "Brutus" auf Nachtstreife durch die heiligen Hallen des Operatings der SIT gezogen und weil Brutus bei einem der Serverschränke das Beinchen gehoben hat, ist der Alarm losgegangen?
Tja, das mit den dummen Sprüchen aus den unqualifiziertesten Ecken kenne ich auch, sogar von oberster Stelle. Ich erinner noch eine Begebenheit, als der neue Chef sich vorstellte und auch in die EDV-Abteilung kam. Damals lief noch ein Midrange System AS/400-200 bei uns. Nach ein wenig Smalltalk meinte er dann: "Wenn Sie mal Probleme mit Ihrem Server haben, sagen Sie nur Bescheid, ich kann dann meinen PC von zu Hause als Ersatz mitbringen." Ich mußte schwer an mich halten, um nicht in einen Lachanflash zu verfallen. Auf die Frage meinerseits, ob er denn schon wüßte, wieviele Mitarber er hier unter sich habe und wie viele Rechner und Drucker da zu verwalten und zu betreiben seien und wie sein Rechner zu Hause denn ausgestattet sei, um das alles zu bewerkstelligen, wechselte "Cheffe" dann mehrmals die Gesichtsfarbe und hatte urplötzlich noch einen anderen Termin und mußte dringend weg.
Zu den offiziellen Zugriffen von außen: Nehmen wir nur mal Polizei oder Feuerwehr, die die Daten von Personen benötigen, und das auch mal außerhalb der "Bürozeiten". Natürlich kommen die über ein VPN-Netz rein, aber wie sieht denn der Rechner am anderen Ende der Leitung aus? Sind da alle Sicherheitsmaßnahmen durchgeführt worden, befindet der Rechner sich auf dem neuesten Stand, was die Erkennung und Abwehr von Schadsoftware angeht?
Wenn ich nur die Beiträge von Günter hier im Blog über Geschehnisse seit dem bekannt gewordenen Ramsomware-Angriff auf die SIT sehe, dann hat sich das in sehr kurzer Zeit vervielfältigt. Für mich sieht das so aus, als ob die Angriffe der Akira-Gruppe da ein Scheunentor aufgestoßen haben, das die Verantwortlichen IT-ler bisher noch nicht auf dem Schirm hatten, das aber jetzt von anderen Akteuren vermehrt genutzt wird. Nimmt man dazu noch das vermeintliche Einfallstor "Cisco", deren Produkte zum großen Teil im Bereich RZ-Technik eingesetzt werden, dann muß ich mir eigentlich keine Gedanken mehr über die Rechner in den einzelnen Kommunen machen.
Es ist auch meines Wissens eine Anforderung seitens der SIT an die Kommunen ergangen, daß keine Hardware bei den Kommunen eingesetzt werden "sollte", die auch im RZ zum Einsatz kommt. Und auch bei der AV-Software gab es eine solche Regelung.
Auch wenn hier des Öfteren der Ruf nach einem "Ersatz-RZ im Container" aufkommt, was soll das helfen in dem Fall, wo bei dem RZ die Daten nicht mehr zur Verfügung stehen, die Hardware aber noch intakt ist? Und nochmal: die Daten sind sozusagen "futscht", nicht die Rechner, die für deren Verarbeitung benötigt werden. Insofern macht es auch wenig Sinn, wenn sich die Kommune besagten Container aufstellen läßt.
Führt man sich zudem die Örtlichkeit der betroffenen Kommunen einmal vor Augen, so liegen die zum großen Teil im ländlichen Bereich, nur wenige sind Großstädte. Zudem liegen die Rathäuser zumeist noch zentral im Ort und sind ggfls. in Gebäuden untergebracht, die unter Denkmalschutz stehen. Da ist dann nichts mit mal eben umbauen oder einen neuen Zugang schaffen. Und den Container vor die Türe, also mitten in die Fußgängerzone oder auf die Hauptstraße? Und wie kommt der an die Stromversorgung (vom EVU über Freileitung oder durch einen Graben, oder doch übers Kellerfenster vom Rathaus aus), ohne daß ein paar "Spaßvögel" mal sehen wollen, was passiert, wenn man den Kabeln mit entsprechendem Werkzeug zu Leibe rückt? Apropos Container: Wie werden die nochmal gebracht? Eben, und so kann man die auch "abholen"!
Über die "Daten der Kommune" haben wir noch gar nicht gesprochen, die liegen ja beim RZ. OK, in Zeiten von Internet kann man die ja übers Netz als tagesaktuelle Kopie im Rathaus bzw. im Ersatz-RZ speichern. Und das machen dann alle 103 bisher bekannten Kommunen, am besten abends nach Dienstschluß, wenn alle anderen auch "im Netz" sind?
Aääähmm, gibts eigentlich schon was Schnelleres in Glasfaser als Lichtgeschwindigkeit, nur damit wir dann mit den Datenübertragungsraten zurande kommen?
Alles ganz tolle Ideen, aber irgendwie noch nicht so ganz richtig in der Wirklichkeit angekommen.
Sorry, aber das ist bestenfalls ein Eigenwerbeartikel für eine Securityklitsche. Nach drei Absätzen hätte ich "Bingo!" schreien können. Die wollen sich im Fahrwasser des Angriffs auf die SIT als Heilsbringer positionieren.
cu +quakemaster+