{"id":284066,"date":"2023-07-23T00:02:00","date_gmt":"2023-07-22T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284066"},"modified":"2023-07-23T11:33:14","modified_gmt":"2023-07-23T09:33:14","slug":"cyberangriffe-auf-die-stadtverwaltung-potsdam-und-auf-sachsen-anhalt-ein-blick-hinter-die-kulissen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/23\/cyberangriffe-auf-die-stadtverwaltung-potsdam-und-auf-sachsen-anhalt-ein-blick-hinter-die-kulissen\/","title":{"rendered":"Cyberangriffe auf die Stadtverwaltung Potsdam und auf Sachsen-Anhalt, ein Blick hinter die Kulissen"},"content":{"rendered":"

\"SicherheitAnfang 2020 wurde die IT der Stadtverwaltung Potsdam durch einen Cyberangriff \u00fcber eine Citrix-Schwachstelle lahm gelegt und im Dezember 2022 gab es zumindest wieder einen Sicherheitsalarm. Der andere \"Cybervorfall\" betraf die IT des Landkreises Anhalt-Bitterfeld, wo 2021 eine Ransomware zuschlug. Danach war die IT des Landkreises f\u00fcr Monate offline und der Landrat musste die \"IT-Notstand\" erkl\u00e4ren. Zu beiden F\u00e4llen sind mir die Tage \"Nachlesen\" untergekommen, die ich kurz im Blog f\u00fcr interessierte Leser und Leserinnen vorstellen bzw. anrei\u00dfen m\u00f6chte.<\/p>\n

<\/p>\n

Cyberangriffe auf die Stadt Potsdam<\/h2>\n

\"\"Im Januar 2020 hatte ich \u00fcber die sogenannte Shitrix-Schwachstelle in den Citrix Netscaler ADCs berichtet, \u00fcber die eine Reihe Firmen angegriffen wurden. \"\"Zum Hintergrund: Im Citrix ADC (Application Delivery Controller, fr\u00fcher Netscaler) wurde am 17. Dezember 2019 die Schwachstelle CVE-2019-19781 bekannt, f\u00fcr die es keinen Patch gab. Ich hatte zeitnah am 24. Dezember im Beitrag Schwachstelle in Citrix Produkten gef\u00e4hrdet Firmen-Netzwerke<\/a> dar\u00fcber berichtet. Von Citrix wurde ein Workaround ver\u00f6ffentlicht, mit dem Administratoren ihre Citrix-Appliances gegen die Ausnutzung der Schwachstelle abdichten mussten.<\/p>\n

Das Shitrix-Desaster<\/h3>\n

Da das alles kurz vor Weihnachten passierte, haben viele Administratoren das wohl nicht mehr mitbekommen. Hier im Blog hatte ich das in einem Sicherheits-Sammelbeitrag Sicherheitsinformationen (3.1.2020)<\/a> direkt zum Start des neuen Jahres nochmals hochgeholt. Als in der 2. Januar-Woche des Jahres 2020 Proof of Concept (PoC) Exploits vorlagen, um die Schwachstelle auszunutzen \u2013 und Honeypots bereits angegriffen wurden \u2013 war es f\u00fcr einige Leute bereits zu sp\u00e4t. Ich hatte zwar erneut vor der Schwachstelle gewarnt (siehe Exploit f\u00fcr Citrix ADC\/Netscaler-Schwachstelle CVE-2019-19781<\/a>). Aber mir waren Hinweise untergekommen, dass bereits Systeme durch ungepatchte Netscaler ADCs kompromittiert worden waren. Mitte Januar wurden allein in Deutschland \u00fcber 2.000 weiterhin angreifbare Netscaler ADCs, erreichbar per Internet, betrieben.<\/p>\n

Die Stadtverwaltung Potsdam erwischte es Anfang Januar 2020, als Unbekannte in das Netzwerk und die IT eindringen konnte. Nach den mir vorliegenden Informationen erfolgte der Angriff \u00fcber ungepatchte Citrix-Schwachstellen (ich hatte die Informationen im Blog-Beitrag Potsdam offline\u2013Ungereimtheiten erzwingen Server-Shutdown<\/a> nachgetragen und auch im Beitrag Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?<\/a> erw\u00e4hnt). Im Dezember 2022 gab es dann erneut einen Vorfall, bei dem die IT der Stadtverwaltung Potsdam offline ging (siehe Linkliste am Artikelende).<\/p>\n

Aufarbeitung: Interna dieses Vorfalls<\/h3>\n

Durch Zufall bin ich auf diesen Beitrag<\/a> der Kollegen von Golem gesto\u00dfen, der den Umstand, dass die Stadt Potsdam zwei Mal den IT-Notstand ausrufen und alles vom Internet trennen musste, aufgreift. Geschildert wird der Sachverhalt aus Sicht von Thomas Morgenstern-Jehia, der am 22. Januar 2022 den 100. Arbeitstag als Fachbereichsleiter E-Government bei der Landeshauptstadt Potsdam hatte.<\/p>\n

Morgenstern-Jehia ist studierter Bauingenieur, der nach der sogenannten Wende eher zuf\u00e4llig zur EDV kam und sein Wissen selbst und \u00fcber Weiterbildungen erwarb. Eigentlich war er zertifizierter SAP-Berater. Im Jahr 2019 wechselte er dann zur Stadt Potsdam in die Position des Fachbereichsleiters mit Verantwortung f\u00fcr die IT.<\/p>\n

Der Golem-Beitrag skizziert die Situation in der IT der Stadt Potsdam nach dem Cybervorfall im Januar 2022, in der der Fachbereichsleiter mit einer unterbesetzten IT die Probleme l\u00f6sen und Behelfsl\u00f6sungen finden musste. Zahlungsinformationen wurden per \"schnell gekauftem\" USB-Stick zur \u00f6rtlichen Sparkasse transportiert, um die \u00dcberweisungen t\u00e4tigen zu k\u00f6nnen. Beim Vorfall im Dezember 2022 kam es dagegen auf Grund einer Warnung der Geheimdienste zur vorsorglichen Abschaltung der IT. Bei etwas Zeit ist die kursorische Auflistung der Entwicklung ganz lesenswert, auch wenn keine technischen Details zu den ausgenutzten Schwachstellen genannt werden.<\/p>\n

Cyberangriff auf Anhalt-Bitterfeld<\/h2>\n

Der zweite Cybervorfall, der im Nachgang aufbereitet wurde, gilt dem Landkreis Anhalt-Bitterfeld, dessen Landkreisverwaltung 2021 Opfer eines Ransomware-Angriffs wurde. Vermutet wurde urspr\u00fcnglich ein Angriff \u00fcber PrintNightmare<\/a>, was aber wohl wieder verworfen<\/a> wurde). Die IT-Systeme des Landratsamts Anhalt-Bitterfeld wurden am 6. Juli 2021 durch den Ransomware-Angriff au\u00dfer Gefecht gesetzt. Ein Trojaner hatte alle Speichermedien verschl\u00fcsselt, so dass die Systeme nicht mehr arbeitsf\u00e4hig waren. Ich hatte im Blog-Beitrag Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld<\/a> berichtet.<\/p>\n

Die Verwaltung des Landkreises war \u00fcber viele Monate wegen fehlender IT und Daten nicht mehr arbeitsf\u00e4hig. Ich hatte im Beitrag Notstand nach Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld<\/a> darauf hingewiesen, dass der Landrat den Notstand erkl\u00e4rte, auch, um Unterst\u00fctzung von au\u00dferhalb zu erhalten.<\/p>\n

K\u00fcrzlich wurde ich von Mitarbeitern des MDR kontaktiert, weil in der Redaktion der Cybervorfall von Anhalt-Bitterfeld im Nachgang als Podcast aufbereitet wird. Marcel Roth (Podcast \u201eDigital Leben\", Lehrbeauftragter Heinrich-Heine-Universit\u00e4t D\u00fcsseldorf) schl\u00fcsselt den Fall des Landkreises, der mit der Nachricht \"You are fucked. Do not touch anything\" auf den Systemen begann, in einem Podcast auf.<\/p>\n

Hacker, die 500.000 Dollar vom Opfer erpressen wollten und deren Spuren nach Russland f\u00fchrten, haben mit diesem Cyberangriff einen ganzen Landkreis lahmgelegt. Der Podcast versucht nachzuzeichnen, wie kopf- und ahnungslos die Verwaltung versucht hat, das Problem zu l\u00f6sen, welche Auswirkungen das konkret f\u00fcr die betroffenen B\u00fcrgerinnen und B\u00fcrger hatte, wer die mutma\u00dflichen T\u00e4ter sind und vor allem stellt der Podcast die Frage: Kann so etwas jederzeit wieder und \u00fcberall in Deutschland passieren?<\/p>\n

Der sechsteilige Storytelling-Podcast YOU ARE FUCKED \u00fcber ein wahres Cyber-Verbrechen<\/i><\/b> startete am 6. Juli in der ARD-Audiothek<\/a>. Inzwischen sind bereits die ersten drei Folgen (jeweils knapp unter einer Stunde) online abrufbar. Pers\u00f6nlich tue ich mich schwer mit Podcasts, weil die Informationen nicht auf die Schnelle durch Querlesen erfasst werden k\u00f6nnen.<\/p>\n

Ich habe aber mal stichprobenartig in die Podcasts reingeh\u00f6rt – wer gerne ein Bild erh\u00e4lt, wie das Ganze von Betroffenen erlebt wurde, kommt auf seine Kosten. \"Unvorstellbar, alles neu zu machen\", das ist die Aussage, eines Mitarbeiters. Ob man die Aufbereitung mit der Musikunterlegung mag, ist eher eine pers\u00f6nliche Geschichte.<\/p>\n

Was nett ist: In den Podcast-Folgen erh\u00e4lt man Einblicke, wie die Mitarbeiter des Landkreises in der IT durch den Angriff und in der Folgezeit betroffen waren. Wie sagt Fefe \"wer sch\u00f6ne Verschw\u00f6rungstheorien hat, her damit\". Im Podcast erf\u00e4hrt man, wie Leute ihren Urlaub absagen mussten oder mit ihren Ehefrauen beim Essen beeintr\u00e4chtigt wurden. Der geneigte H\u00f6rer bekommt auch eine Beschreibung eines Beamten mit \"Halbglatze\" – wie sagte Joschka Fischer \"wenn es der Wahrheitsfindung dient\" – wer gerne H\u00f6rkrimis konsumiert, wird auf seine Kosten kommen. Spannend fand ich dann doch die Informationen, die in Teil 2 eingestreut wurden – einmal zur ausgenutzten Schwachstelle (Print Nightmare, hat sich aber sp\u00e4ter als falsch herausgestellt) – aber auch zur Rolle des BSI (mit begrenzten Ressourcen), zu externen IT-Firmen, die dann \"mal weg waren\".<\/p>\n

Was bleibt unter dem Strich? Die Podcast-Folgen zeichnen die Irrungen und Wirrungen der Verwaltung und der agierenden Beteiligten nach – sozusagen ein St\u00fcck aus dem Leben. Wie ich schon schrieb, wer gerne H\u00f6rkrimis konsumiert, wird auf seine Kosten kommen. Pers\u00f6nlich habe ich das Problem, dass mir solche Formate nicht liegen – ich ben\u00f6tigt die Information sehr kompakt, technisch auf den Punkt gebracht, um schnell \u00fcber die relevanten Fakten informiert zu sein. Damit bin ich als Blogger, der \u00fcber Sicherheit schreibt, definitiv nicht der Zielkreis. Aber vielleicht gibt es in der Leserschaft Leute, die Interesse an den Hintergr\u00fcnden – und Zeit zum Anh\u00f6ren des Podcasts<\/a> – haben – vielleicht Stoff f\u00fcr laue Sommerabende, wenn es noch nicht zu kalt zum drau\u00dfen Sitzen und Sterne schauen ist.<\/p>\n

\n

Erg\u00e4nzung: Golem hat hier<\/a> die Geschichte ebenfalls aufbereitet.<\/p>\n<\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nCyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?<\/a>
\nVermuteter Cyberangriff auf Stadt Potsdam, Stadtwerke auch offline (29.\/30. Dez. 2022)<\/a>
\nCyber-Desaster: TU-Freiberg down; Stadtverwaltung Potsdam wieder offline, Polizei BW offline und mehr<\/a><\/p>\n

Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld<\/a>
\nNotstand nach Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Anfang 2020 wurde die IT der Stadtverwaltung Potsdam durch einen Cyberangriff \u00fcber eine Citrix-Schwachstelle lahm gelegt und im Dezember 2022 gab es zumindest wieder einen Sicherheitsalarm. Der andere \"Cybervorfall\" betraf die IT des Landkreises Anhalt-Bitterfeld, wo 2021 eine Ransomware zuschlug. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-284066","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284066","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284066"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284066\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284066"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284066"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284066"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}