Unschöne Geschichte, die sich bei der Arbeiterwohlfahrt im Kreis Recklinghausen und Münsterland (konkret wohl der Unterbezirk Münsterland-Recklinghausen) gerade ereignet hat. Deren IT ist Ziel eines erfolgreichen Cyberangriffs geworden. Als Folge dieses Angriffs sind rund 300 Einrichtungen wie Kitas und Pflegedienste aktuell nicht per E-Mail zu erreichen. Ich habe mal die verfügbaren Informationen herausgezogen.
Anzeige
AWO UB Münsterland-Recklinghausen
Das Kürzel AWO steht für Arbeiterwohlfahrt. Die Arbeiterwohlfahrt e. V. ist ein dezentral organisierter deutscher Wohlfahrtsverband, der auf persönlichen Mitgliedschaften in seinen Ortsvereinen aufbaut. Im Blog-Beitrag geht es um den Unterbezirk Münsterland-Recklinghausen. Der Unterbezirk Münsterland-Recklinghausen ist ein mittelständisches Unternehmen, das an mehr als 300 Standorten mit über 3.000 hauptamtlichen Mitarbeitern und Mitarbeiterinnen ein breites Spektrum an professionellen Dienstleistungen mit hoher Qualität für Hilfesuchende in den verschiedensten Bereichen der sozialen Arbeit anbietet.
Cyberangriff auf die AWO
Ich bin über den BlueSky-Post von Manuel Atug auf den Cyberangriff auf die Arbeiterwohlfahrt (AWO) im Kreis Recklinghausen und Münsterland aufmerksam geworden. Auf der Webseite der AWO habe ich noch nichts gefunden. Der WDR berichtet aber im Beitrag Hackerangriff auf AWO im Kreis Recklinghausen und Münsterland über den Vorfall.
Demnach ist der betreffende AWO-Unterbezirk bereits am Wochenende Opfer eines ersten Angriffs auf seine IT geworden. Am Montag, den 22. April 2024 kam dann der zweite Angriff auf den Mail-Server, der dann durch die betreffende IT abgeschaltet wurde. Der Hintergrund: Mehrere Mitarbeiter der AWO haben wohl die beim Angriff verschickten Phishing-Mails geöffnet.
Anzeige
Phishing-Mails verschickt
Nicht erwähnt wird im WDR-Bericht, dass durch die Phishing-Mails wohl Zugänge für Mail-Konten abgegriffen wurden. Die WAZ meldet hier eine Warnung der AWO UB Münsterland‐Recklinghausen in Gladbeck, dass Dritte über das Mailsystem des Unterbezirks ungefähr 30.000 Phishing-Mails an eine externe Verteilerliste verschickt hätten. "Erste Sofortmaßnahmen wurden direkt nach Bekanntwerden des Problems ergriffen." heißt es im WAZ-Artikel. Ich interpretiere den Sachverhalt so, dass dieses Ereignis sich bereits auf den ersten Angriff vom Wochenende bezieht. Denn die WAZ schreibt, dass am Montagabend trotz Sofortmaßnahmen "dennoch ein erneuter unbefugter Zugriff auf das Mailsystem erfolgte". Ein weiteres Mal wurde das E-Mail-System für den Versand von Phishing‐Mails missbraucht; diese Mails gingen auch an interne Empfänger, heißt es in der Warnung. Das war dann der Zeitpunkt, zu dem der E-Mail-Server bis auf weiteres heruntergefahren worden ist, um neue Zugriffe zu verhindern. "Der nicht autorisierte Versand der Phishing-Mails wurde so unterbunden." zitiert die WAZ die AWO.
Mail-Server abgeschaltet; Kommunikation gestört
Dies tangiert die E-Mail-Kommunikation in den Kreisen Recklinghausen, Steinfurt, Coesfeld und Borken sowie in Münster. Rund 300 Einrichtungen wie Kitas und ambulante Pflegedienste sind deswegen aktuell nicht per E-Mail zu erreichen. Genannt werden auch der Offene Ganztag an Grundschulen die von der AWO betreut werden.
Der WDR zitiert AWO-Sprecher Mau, dass "lediglich Mail-Passwörter abgegriffen wurden: "Die Daten unserer Kunden liegen auf separaten Servern und sind von dem Hackerangriff nicht betroffen". Auch seien die meisten Einrichtungen weiter telefonisch oder über Internetanwendungen erreichbar. Ihm seien nur zwei Einrichtungen bekannt, bei denen auch die Telefonanlage betroffen sei, heißt es beim WDR.
Wiederanlauf kann dauern
Die IT der AWO arbeitet jetzt die Sicherheitsmaßnahmen ab, um den abgeschalteten Mail-Server von möglicher Schadsoftware zu befreien, die Benutzerkonten zu sichern und dann diese Infrastruktur wieder ans Netz zu bekommen. Es könne aber noch einige Tage dauern, bis alle Ansprechpartner bei der AWO im Kreis Recklinghausen und im Münsterland wieder per Mail erreichbar seien, schreibt der WDR. Das liegt auch dran, dass die neuen Sicherheitsvorgaben an die Mitarbeiter per Post verschickt werden sollen.
Anzeige
Menschen die anderen Menschen helfen sollte man doch in Ruhe lassen.
Die Hacker sind doch nur Idioten die einem das Leben schwer machen wollen.
Bei den Sozialstationen ist doch eh nichts zu holen. Ich bin froh dass es diese Einrichtungen gibt. Aber die Hacker koennen sich gesitig langsam beim Knaekebrot einsortieren lassen.
Naja, der Angriff zielte wohl weniger auf die Sazialstationen selbst ab als auf den Mailserver.
Das Ziel war wohl, den zu kapern, um den dann als Spam- und Phishingmailschleuder zu missbrauchen.
"Menschen die anderen Menschen helfen sollte man doch in Ruhe lassen."
Dieser gesellschaftliche Konsens ist spätestens mit den ersten körperlichen Angriffen auf Rettungssanitäter inzwischen auch aufgekündigt worden.
"Die Daten unserer Kunden liegen auf separaten Servern und sind von dem Hackerangriff nicht betroffen"
Wieder mal sehr verharmlosend. Zu den "Daten der Kunden" gehören doch auch die Kunden-E-Mails, die sich auf den gehackten Mailservern befunden haben, also jede Menge Kontaktdaten und vermutlich unzählige personenbezogene Daten und Informationen, die für gezielte Phishing-Maßnahmen verwendet werden können.
Der Vorfall zeigt mal wieder, wie extrem wichtig die Schulung der Mitarbeiter in Bezug auf Emails etc. ist.
sorry aber das ist in der Realität nur begrenzt von Nutzen. Gerade in diesen Bereichen gibt es eine hohe Mitarbeiterfluktuation und diese Leute können Maus nicht von Tastatur unterscheiden (kein Vorwurf). Es muss nur einer auf so eine Phishing Mail reinfallen.
Besser fährt man unter der Annahme, dass die User allesamt nicht wissen was sie tun und setzt entsprechende Maßnahmen um. Es gibt ja durchaus technische Schritte um den User an vielen Stellen vor sich selbst zu schützen.
Mal ganz blöd gefragt: Es gibt seit 20+ Jahren in den Schulen ein Fach "Informatik". Was lernt man da?
Dem Vernehmen nach (ich bin eher die Generation G.B. und kenne es nicht mehr aus eigener Erfahrung) ist das im Wesentlichen Umgang mit Office-Programmen.
Warum lernt man da so etwas nicht?
Ich meine es wird inzwischen von jedem vorausgesetzt, daß man ein Handy hat und damit zumindest in Grundzügen umgehen kann (manche Fahrkarten wie das Deutschlandticket gibt es gar nicht mehr auf Papier), waum sollte man nicht auch zumindest die Grundzüge elektronischer Kommunikation in der Schule beigebracht kriegen?
Ist es wirklich Aufgabe der AWO, beim Onboarding neuer Mitarbeiter eine Schulung in Mail-Programmen zu machen? Und selbst wenn – warum integriert man die nicht in jährlich sowieso stattfindende Pflichtschulungen wie z.B. Datenschutz?
Man kann den Leuten noch so viel wiederholt erklären, wenn es nicht im Kopf ankommt, ist alles vergebens. Und ja, die haben alle ein Smartphone, aber das macht es eher noch schlimmer, da diese intransparenten Geräte m.E. jegliches Verständnis für Zusammenhänge noch weiter zerstören. Ja, gerade auch bei jungen Leuten. Die sogenannten "Digital Natives" verstehen durch ihre ach so tollen Smartphones und Tablets, auf denen sie schon als Dreijährige herumgedaddelt haben, nicht einmal mehr, was eine Ordnerstruktur und was Speicherorte sind. Und sie gehen völlig "unbefangen" mit all dem digitalen Spielzeug um.
Nein,
User haben keine Chance dauerhauft sicher zu arbeiten.
Das OS ist einfach mur mies und Ursache des Übels.
Aber die Diskussion ist schon 30 Jahre als und MS hat die perfekte Täter Opfer Umkehr in der Gesellschaft verankert.
Inkompetente Admins und Firmenlenker in Kombination mit einem skrupellosen Softwarehersteller schieben ihre Verantwortung den armen Schweinen in die Schuhe.
> sind rund 300 Einrichtungen wie Kitas und Pflegedienste aktuell nicht per E-Mail zu erreichen. <
Ein paar Tage ohne eMail dürfte nicht das grösste Problem der AWO sein. M. E. gehört die Organisation zerschlagen. Für eine vermeintliche 'Wohltätigkeitsorganisation' sind es der Unregelmässigkeiten zu viele, s. google.de/search?q=awo+unterschlagung
Du weißt aber schon das die Awo eine Organisation ist, die es nicht nur einmal im Land gibt?! Die gliedert sich in viele einzelne, selbstständige Ortsvereine, GmbH', etc.. Diese pauschal zu verurteilen ist nicht richtig.
Und zu dem IT Problem: hier scheint ja wieder die berühmte Kombi aktiv gewesen zu sein: Active Directory plus Exchange plus schlecht gewartete IT. Man könnte schon etwas anderes einsetzen um Mitarbeiter aus der Schusslinie zu nehmen bzw. Rechte knallhart definieren.
Wohlfahrtsorganisationen bekommen das M$-Zeugs billiger, deshalb stehen die Entscheider total darauf, zumal sie ja auch nichts anderes kennen. Und seitdem die On-Premise-Softwarespenden eingestellt worden sind, nehmen sie das, was sie nun billiger bekommen, nämlich 365.
Mal wieder der klassische Fall. Ein fast ein Jahr nicht gepatchter Exchange Server 2016, öffentlich erreichbar und ohne 2FA wie es scheint und ein Proxmox Mail-Gateway, was diese Flut an Spams wohl ja auch nicht verhindern konnte. Sind alles Infos, die man öffentlich findet und das finden auch die Hacker.
Danke für die Ergänzung – ich habe diesbezüglich nicht mehr in Sachen Shodan weiter geforscht.