{"id":277234,"date":"2023-01-26T12:52:28","date_gmt":"2023-01-26T11:52:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277234"},"modified":"2023-02-02T19:18:18","modified_gmt":"2023-02-02T18:18:18","slug":"cyber-desaster-tu-freiberg-down-stadtverwaltung-potsdam-wieder-offline-polizei-bw-offline-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/26\/cyber-desaster-tu-freiberg-down-stadtverwaltung-potsdam-wieder-offline-polizei-bw-offline-und-mehr\/","title":{"rendered":"Cyber-Desaster: TU-Freiberg down; Stadtverwaltung Potsdam wieder offline, Polizei BW offline und mehr"},"content":{"rendered":"

\"SicherheitAktuell rappelt es ja wieder gewaltig mit Cyber-Vorf\u00e4llen. Die IT der TU-Freiberg ist wohl zum Wochenende als Opfer eines Cyberangriffs weitgehend lahmgelegt worden. Noch heftiger trifft es die IT der Stadtverwaltung Potsdam. Waren die Ende 2022 \"vorsorglich\" wegen einer Warnung vor einem Cyberangriff offline gegangen, hat der Versuch der \"Wiederinbetriebnahme\" nicht geklappt. Die IT der Stadtverwaltung Potsdam ist erneut offline. Zudem gibt es Warnungen der Sicherheitsbeh\u00f6rden, dass die russische Gruppe Killnet es auf deutsche Webseiten abgesehen habe. Aktuell hat es einen massiven Cyberangriff auf die Webseiten der Polizei Baden-W\u00fcrttemberg gegeben, die nicht erreichbar sind.<\/p>\n

<\/p>\n

Cyberangriff auf Polizei Baden-W\u00fcrttemberg<\/h2>\n

\"\"Gerade telefonisch von einem Leser \u00fcber einen massiven Cyberangriff auf die Webseiten der Polizei Baden-W\u00fcrttemberg informiert worden. Die Stuttgarter Nachrichten berichten hier<\/a> exklusiv \u00fcber den Vorfall. Die Redaktion wurde dar\u00fcber informiert, dass die Webseiten der Polizei Baden-W\u00fcrttemberg bereits seit Mittwoch unter einem DDoS-Angriff in die Knie gezwungen wurden.<\/p>\n

Da die Abwehrma\u00dfnahmen nicht 100 % Erfolg hatten, entschloss sich das Technik-Pr\u00e4sidium der Polizei, den Web-Server aus Sicherheitsgr\u00fcnden vor\u00fcbergehend selbst abzuschalten. Die Internetseite<\/a> mit zahlreichen Informationen und Serviceangeboten f\u00fcr die B\u00fcrger ist aktuell nicht erreichbar.<\/p>\n

Angriff auf deutsche Webseiten<\/h2>\n

Die russische Hackergruppe Killnet greift wohl nach Bekanntwerden der Panzerlieferungen an die Ukraine gezielt Webseiten deutscher Beh\u00f6rden, Institutionen und Firmen an. Der obige Angriff ist wohl die Folge davon. Gestern las ich beim RND<\/a>, dass am Mittwoch ein Krankenhaus und die Webseite von Au\u00dfenministerin Annalena Baerbock wegen DDoS-Angriffen nicht erreichbar seien.<\/p>\n

Stadt Potsdam wieder offline<\/h2>\n

Kommen wir zur Stadt Potsdam, vor den Tore Berlins. Bereits im Januar 20202 war deren IT Opfer der sogenannten Shitrix-L\u00fccke geworden (siehe mein Beitrag Potsdam offline\u2013Ungereimtheiten erzwingen Server-Shutdown<\/a>). Als gebranntes Kind ging die Stadtverwaltung kurz vor dem Jahreswechsel 2022\/2023 mit der IT erneut offline. Angeblich habe es eine Warnung vor einem Cyberangriff gegeben (siehe mein Beitrag Vermuteter Cyberangriff auf Stadt Potsdam, Stadtwerke auch offline (29.\/30. Dez. 2022)<\/a>).<\/p>\n

Einen Cyberangriff mochte man nicht best\u00e4tigen, auch wenn die Systeme offline waren. Vor zwei Tagen ist mir die Information<\/a> untergekommen, dass man wieder online gehen wolle. Das hat aber nicht wirklich geklappt, wie folgender Tweet suggeriert.<\/p>\n

\"Stadt<\/a><\/p>\n

Der B\u00fcrgermeister schrieb in einem sehr langen Text, den ich hier auszugsweise zitiere, folgendes:<\/p>\n

Information des Oberb\u00fcrgermeisters zur IT-Situation in der Landeshauptstadt<\/p>\n

Sehr geehrte Damen und Herren,<\/p>\n

Auf Anraten der Sicherheitsbeh\u00f6rden und in Absprache mit unseren Sicherheitsexperten, habe ich mich daher umgehend am 29. Dezember daf\u00fcr entschieden, unsere Systeme vorsorglich vom Netz zu nehmen. Und nachdem wir die Systeme seit Mitte Januar schrittweise wieder einschalten konnten, sind wir seit gestern Abend \u2013 zumindest jetzt aktuell zu dieser Stunde und vorl\u00e4ufig \u2013 wieder offline. Ich m\u00f6chte diese Gelegenheit nutzen, um Ihnen die Hintergr\u00fcnde darzulegen und Ihnen m\u00f6gliche Konsequenzen aufzuzeigen, wenn diese Entscheidung nicht in dieser Form getroffen worden w\u00e4re.<\/p>\n

[…]<\/p>\n

Um sicherzustellen, dass sich nicht bereits ein Angreifer in unserem Haus aufh\u00e4lt, haben wir direkt nach dem Shutdown mit der Hilfe externer Dienstleister umfangreiche und tiefgehende Scans durchgef\u00fchrt. Bei diesen Scans wurden keine besonderen Auff\u00e4lligkeiten festgestellt. Daher hatten wir die Entscheidung getroffen, in der vergangenen Woche wieder E-Mails zu erm\u00f6glichen und zu Beginn dieser Woche mehrere Fachverfahren wieder ans Netz zu bringen.<\/p>\n

Im Rahmen der Wiederinbetriebnahme unserer Online-Dienstleistungen haben wir eine Reihe von zus\u00e4tzlichen Sicherheitsma\u00dfnahmen implementiert und bestehende Systeme verbessert. Also wir haben im Haus, doppelte Schl\u00f6sser, Gitter an den Fenstern und Video\u00fcberwachung mit Direktaufschaltung zu einer Sicherheitsfirma installiert. Dabei wurde im Laufe des gestrigen Tages allerdings eine ernste Bedrohung f\u00fcr unsere Netzwerkstruktur festgestellt.<\/p>\n

Zum gegenw\u00e4rtigen Zeitpunkt gehen wir davon aus, dass durch die schnelle Abschaltung ein Datenabfluss verhindert worden ist. Es gibt auch keine Hinweise auf die Verschl\u00fcsselung von Daten. Zur Reduzierung des Gefahrenpotenzials habe ich gestern in Absprache mit unseren IT-Experten entschieden, dass wir unsere Verbindung zum Landesverwaltungsnetz trennen und den externen Emailverkehr erneut einstellen. Dies bleibt solange der Fall, bis wir ausschlie\u00dfen k\u00f6nnen, dass f\u00fcr die Daten der B\u00fcrgerinnen und B\u00fcrger, die Server der Landeshauptstadt Potsdam oder unserer Partner eine Gefahr besteht.<\/p><\/blockquote>\n

Die Kollegen von Golem haben es hier zusammen<\/a> gefasst. Nach dem Hochfahren des Netzwerks am 24. Januar 2023 wurde durch einen erweiterten Virenscan \"eine hohe Anzahl automatisierter Kommunikationsversuche aus dem internen Netz der Landeshauptstadt Potsdam an externe Server nachgewiesen\"<\/em>. Sprich: Es gibt den begr\u00fcndeten Verdacht, dass die Angreifer weiterhin in der Infrastruktur der IT mit Backdoors oder infiziertem Code verankert sind. Keine guten Aussichten.<\/p>\n

Cyberangriff auf TU Bergakademie Freiberg<\/h2>\n

Ich hatte es zum Wochenende zeitnah mitbekommen, aber nicht im Blog thematisiert.\u00a0 Am 21. Januar 2023 vermeldete nachfolgender Tweet<\/a> \"Unregelm\u00e4\u00dfigkeiten in der IT der TU Bergakademie Freiberg\" in Sachsen.<\/p>\n

\"Cyberangriff<\/a><\/p>\n

In dieser Meldung<\/a> hei\u00dft es, dass die TU Bergakademie Freiberg wegen \"Unregelm\u00e4\u00dfigkeiten in der IT-Infrastruktur\" alle Verbindungen zum Internet gekappt habe. Es sei keine E-Mail-Kommunikation m\u00f6glich und auch s\u00e4mtliche Onlinedienste seien nicht nutzbar, so die Mitteilung der Hochschule zum 19. Januar 2023. Zur Ursache des Ausfalls hei\u00dft es, dass ein \"Cyberangriff vermutet werde\".<\/p>\n

Bei Interesse l\u00e4sst sich bei heise.de<\/a> die \"Best\u00e4tigung, dass keine Daten abgeflossen seien\" nachlesen. Die Uni dr\u00fcckt die Hoffnung aus, dass man in 2 Wochen wieder online gehen k\u00f6nne. Anfang Januar 2023 war die HAW Hamburg Opfer eines Cyberangriffs<\/a> auf die IT-Systeme geworden. Die Tage las ich, dass die Universit\u00e4t immer noch mit den Folgen k\u00e4mpft.<\/p>\n

Cybervorfall bei GKV-IT-Dienstleister Bismark<\/h2>\n

Der f\u00fcr deutsche Krankenversicherungen aktive IT-Dienstleister Bitmarck hat die Tage ein Datenleck eingestanden. Cyberkriminellen gelang der Abzug von Jira-Daten von den Servern. Heise hat das Ganze in diesem Artikel<\/a> aufbereitet.<\/p>\n

\"Cybervorfall<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Aktuell rappelt es ja wieder gewaltig mit Cyber-Vorf\u00e4llen. Die IT der TU-Freiberg ist wohl zum Wochenende als Opfer eines Cyberangriffs weitgehend lahmgelegt worden. Noch heftiger trifft es die IT der Stadtverwaltung Potsdam. Waren die Ende 2022 \"vorsorglich\" wegen einer Warnung … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-277234","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277234","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277234"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277234\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}