{"id":287904,"date":"2023-11-06T15:07:21","date_gmt":"2023-11-06T14:07:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287904"},"modified":"2023-11-17T11:01:47","modified_gmt":"2023-11-17T10:01:47","slug":"cyberangriff-auf-sdwestfalen-it-trifft-mindestens-103-kommunen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/06\/cyberangriff-auf-sdwestfalen-it-trifft-mindestens-103-kommunen\/","title":{"rendered":"Cyberangriff auf S&uuml;dwestfalen IT trifft mindestens 103 Kommunen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Von Sonntag auf Montag (30. Oktober 2023) gab es einen Ransomware-Angriff auf die S\u00fcdwestfalen IT (das ist ein IT-Dienstleister f\u00fcr Kommunen). Waren erst nur einzelne Kommunen als betroffen bekannt, hie\u00df es sp\u00e4ter, dass in 72 Kommunen in S\u00fcdwestfalen nicht mehr viel bez\u00fcglich IT gehe. Inzwischen sind wir eine Woche weiter, und es stellt sich heraus, dass wohl \u00fcber 100 Kommunen als Kunden der S\u00fcdwestfalen IT betroffen sind und jetzt \"einen Notbetrieb\" mit alten PCs aufziehen m\u00fcssen. Der Vorfall zeigt die Gefahr zentraler IT-Dienste, wenn diese ausfallen oder gehackt werden.<\/p>\n<p><!--more--><\/p>\n<h2>Der Cybervorfall<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/73acac3afec84dd59c6bf55c89019e39\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte ja im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/30\/stillstand-nach-cyberangriffen-auf-kommunen-in-sdwestfalen-und-parkhuser-in-osnabrck\/\">Stillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a> zeitnah auch \u00fcber den \"Hack\" der S\u00fcdwestfalen IT berichtet, der Kommunen im s\u00fcdlichen Westfalen getroffen hat. Dort gehe nicht mehr viel, die betreffenden Verwaltungen seien nach einem Cyberangriff vom Wochenende offline und weder telefonisch noch per Mail erreichbar. Im Blog-Beitrag hatte ich dargelegt, dass die <em>S\u00fcdwestfalen IT<\/em> ein kommunaler IT-Dienstleister mit Sitz in Hemer und Siegen ist. Dessen Fokus liegt auf dem E-Government, sprich, der Dienstleister \u00fcbernimmt die IT diverser Kommunen.<\/p>\n<p>Meinen ersten Informationen nach sollten um die 70 Kommunen von <a href=\"https:\/\/neheim-huesten.de\/2023\/10\/30\/it-angriff-auf-kommunen-in-suedwestfalen-stadt-arnsberg-leider-auch-betroffen\/\" target=\"_blank\" rel=\"noopener\">Arnsberg<\/a> \u00fcber Soest bis zur Kreisverwaltung Kreisverwaltung Siegen-Wittgenstein betroffen sein. In <a href=\"https:\/\/www.soester-anzeiger.de\/lokales\/kreis-soest\/computer-blackout-viele-staedte-und-gemeinden-im-kreis-soest-offline-92644651.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> hei\u00dft es, dass prim\u00e4r die 72 Mitgliedskommunen aus dem Verbandsgebiet in S\u00fcdwestfalen, darunter die Landkreise Hochsauerlandkreis, M\u00e4rkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige externe Kunden im Bundesgebiet betroffen seien. Der Anbieter <em>S\u00fcdwestfalen IT<\/em> hat folgende Stellungnahme auf <a href=\"http:\/\/www.citkomm.de\/\" target=\"_blank\" rel=\"nofollow noopener\">dieser Seite<\/a> ver\u00f6ffentlicht (per http-Protokoll eingesehen werden).<\/p>\n<p><img decoding=\"async\" title=\"Cybervorfall: SIT-Stellungnahme\" src=\"https:\/\/i.postimg.cc\/bNwxtv2z\/image.png\" alt=\"Cybervorfall: SIT-Stellungnahme\" \/><\/p>\n<p>Seit diesem Zeitpunkt sind die Verbindungen der Nutzer zum Rechenzentrum gekappt, um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, so dass die Kommunen die betreffenden Dienste nicht mehr nutzen k\u00f6nnen. Der IT-Dienstleister steht zwar mit dem BSI und dem LKA sowie externen Sicherheitsdienstleistern in Kontakt. Aber das wird an der Situation nach meinem daf\u00fcrhalten kurzfristig nichts \u00e4ndern. Der Dienstleister muss den Infektionsweg ermitteln, die System s\u00e4ubern und neu aufsetzen und dann schrittweise wieder in Betrieb nehmen. Angesichts der Komplexit\u00e4t d\u00fcrfte dies eine Mammut-Aufgabe sein. Von der SIT hei\u00dft es dann auch, dass man \u00fcber die Dauer des Ausfalls nichts sagen k\u00f6nne.<\/p>\n<h2>In den Kommunen geht nichts mehr<\/h2>\n<p>In den betroffenen Kommunen geht nichts mehr (siehe auch meinen Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/31\/cyberangriff-auf-sdwestfalen-it-trifft-72-kommunen-mehr-als-erwartet\/\">Cyberangriff auf S\u00fcdwestfalen IT trifft die 72 Kommunen mehr als erwartet<\/a>), und das hat drastische Folgen, wie der WDR <a href=\"https:\/\/www1.wdr.de\/nachrichten\/westfalen-lippe\/cyber-angriff-suedwestfalen-kommunen-100.html\" target=\"_blank\" rel=\"noopener\">berichtet<\/a>.<\/p>\n<ul>\n<li>Antr\u00e4ge in Sozial\u00e4mtern k\u00f6nnen teilweise nicht bearbeitet werden, Auszahlungen funktionieren oft nicht (der Vorfall begann am Monatsende),<\/li>\n<li>in einigen Einwohnermelde\u00e4mtern kann man keine Ausweise bekommen,<\/li>\n<li>bei manchen Standes\u00e4mtern funktioniert die Registrierung von Todesf\u00e4llen oder Geburten nicht.<\/li>\n<li>In betroffenen Zulassungsstellen k\u00f6nnen keine Autos an- oder umgemeldet werden.<\/li>\n<li>Laut WDR seien auch Computersysteme in Krankenh\u00e4usern betroffen und funktionieren teilweise nicht mehr.<\/li>\n<\/ul>\n<p>In Haltern und Dorsten bezieht sich der Ausfall hingegen nur auf Teile der Internetseite, in Borken soll die gesamte Internetseite betroffen sein. Seit wenigen Tagen gibt es die <a href=\"https:\/\/notfallseite.sit.nrw\/\" target=\"_blank\" rel=\"noopener\">Notfall-Seite des SIT<\/a> (danke an den Leser f\u00fcr den Hinweis), wo \u00fcber den Stand informiert werden soll. Dort hei\u00dft es, dass prim\u00e4r die 72-Mitgliedskommunen aus dem Verbandsgebiet in S\u00fcdwestfalen, darunter die Landkreise Hochsauerlandkreis, M\u00e4rkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und die Stadt Schwerte betroffen seien. Dar\u00fcber hinaus seien weitere Kunden au\u00dferhalb des Verbandsgebietes betroffen, die einzelne Fachverfahren nutzen.<\/p>\n<p>Blog-Leser Bernie <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/31\/cyberangriff-auf-sdwestfalen-it-trifft-72-kommunen-mehr-als-erwartet\/#comment-162023\">berichtet hier<\/a>, dass einzelne Gemeinden sich inzwischen bestm\u00f6glich helfen, indem sie intern neue Mininetzwerke aufbauen, WLAN per Mobilfunkanbieter nutzen und Handys verteilen. Weitere Kommunen bauen zudem gerade Not-Homepages auf und lassen die Adressen verbreiten. Bernie hat einen Link auf <a href=\"https:\/\/b2b-cyber-security.de\/nrw-cyberattacke-auf-it-dienstleister-legt-70-kommunen-lahm\/\" target=\"_blank\" rel=\"noopener\">diese Seite<\/a> gepostet, wo eine kurze Liste von verf\u00fcgbaren Infoquellen der einzelnen Landkreise samt Telefonnummern zu finden ist. Und die Stadt Borken baut gerade einen <a href=\"https:\/\/heimatreport.de\/cyberangriff-legt-stadtwebsite-von-borken-lahm\/\" target=\"_blank\" rel=\"noopener\">neuen Webauftritt<\/a> auf.<\/p>\n<h2>Es sind wohl mehr Kommunen betroffen<\/h2>\n<p>Der Angriff auf den IT-Dienstleister erweist sich als GAU f\u00fcr die betroffenen Verwaltungen, zeigt aber auch das Dilemma des Ganzen auf. Einerseits haben die Kommunen oft keine Chance, ihre eigene IT (sicher) zu betreiben. Es ist daher naheliegend, auf Dienstleister zur\u00fcckzugreifen und es haben sich ja einige kommunale IT-Dienstleister gebildet. Andererseits sind Angriffe auf IT-Dienstleister inzwischen an der Tagesordnung. Gelingt es einem Angreifer diese Systeme zu hacken, hat er quasi den Jackpot. Denn er bekommt Zugriff auf die Daten der Kunden und kann den Schaden potenzieren.<\/p>\n<p><a href=\"https:\/\/kommunaler-notbetrieb.de\/uebersichtskarte\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"IT-Sicherheitsvorf\u00e4lle in Kommunen\" src=\"https:\/\/i.postimg.cc\/Dw4JSLDL\/image.png\" alt=\"IT-Sicherheitsvorf\u00e4lle in Kommunen\" \/><\/a><\/p>\n<p>Dann h\u00e4ngt es vom IT-Dienstleister und dessen Sicherheitskonzepten ab, wie gro\u00df der Schaden wird und wie lange die Folgen anhalten. In obigem Fall ist der Schaden wohl gewaltig. Jens Lange f\u00fchrt obige interaktive <a href=\"https:\/\/kommunaler-notbetrieb.de\/uebersichtskarte\/\" target=\"_blank\" rel=\"noopener\">\u00dcbersichtskarte mit IT-Sicherheitsvorf\u00e4llen<\/a> auf seiner Seite Kommunaler-Notbetrieb, in der er Cybervorf\u00e4lle eintr\u00e4gt. Der obige Vorfall ist bereits mit einem Eintrag vorhanden (die betroffenen Kommunen sind wohl nicht aufgef\u00fchrt).<\/p>\n<p>Am Wochenende habe ich Tweets von Jens Lange gesehen, dass es nicht bei den oben genannten 72 betroffenen Kommunen bleibe. Lange <a href=\"https:\/\/kommunaler-notbetrieb.de\/2023\/10\/30\/externer-angriff-auf-it-dienstleister-mehrerer-kommunen-in-suedwestfalen\/\" target=\"_blank\" rel=\"noopener\">gibt an<\/a>, dass er bereits bei 103 Betroffenen sei.<\/p>\n<blockquote><p>Stadtverwaltung von Schleiden, sowie die Stadt- und Kreisverwaltung Euskirchen sind ebenfalls betroffen. Damit erh\u00f6ht sich die Zahl auf 88 Kommunalverwaltungen. 2\/<\/p>\n<p>Wir begr\u00fc\u00dfen aus dem Kreis Unna die Kommunen Werne, Fr\u00f6ndenberg, Selm und Holzwickede, als weitere Betroffene (Schwerte und L\u00fcnen hatte ich bereits erfasst). Damit sind wir jetzt bei 92 Kommunalverwaltungen. 3\/<\/p>\n<p>Wir sind bei 103 Kommunalverwaltungen. Die Serviceportale von Stadt u. Kreis Recklinghausen mit seinen St\u00e4dten Castrop-Rauxel, Datteln, Dorsten, Gladbeck, Haltern am See, Herten, Marl, Oer-Erkenschwick, Waltrop und der Kreisverwaltung Ennepe-Ruhr-Kreis in Schwelm sind offline. \/4<\/p><\/blockquote>\n<p>Der WDR schreibt aktuell in <a href=\"https:\/\/www.wa.de\/nordrhein-westfalen\/cyber-angriff-nrw-suedwestfalen-siegen-it-hacker-erpressung-loesegeld-polizei-staatsanwaltschaft-kommunen-zr-92657044.html\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a>, dass die Angreifer L\u00f6segeld erpressen wollten. Da es sich um eine Ransomware-Infektion handelt, ist der Schadensumfang bisher unklar. Es sollte davon ausgegangen werden, dass auch Daten von B\u00fcrgern von den Servern der <em>S\u00fcdwestfalen IT<\/em> abgeflossen sind. Prof. Denis Kipker, der IT-Sicherheit lehrt, <a href=\"https:\/\/twitter.com\/etguenni\/status\/1720730027333915081\" target=\"_blank\" rel=\"noopener\">schreibt<\/a> auf X:<\/p>\n<blockquote><p>So kann es nicht mehr weitergehen: Entweder L\u00e4nder und Kommunen steuern in der Vereinheitlichung des Cybersicherheitsniveaus nach, oder wir brauchen eine einheitliche bundesgesetzliche Regelung f\u00fcr die Cybersicherheit in der \u00f6ffentlichen Verwaltung.<\/p><\/blockquote>\n<p>und verlinkt auf <a href=\"https:\/\/www1.wdr.de\/nachrichten\/hackerangriff-legt-kommunen-weiter-lahm100.html\" target=\"_blank\" rel=\"noopener\">diesen WDR-Artikel<\/a> vom 2. November 2023, wo die Folgen des Angriffs beschrieben werden.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/10\/30\/stillstand-nach-cyberangriffen-auf-kommunen-in-sdwestfalen-und-parkhuser-in-osnabrck\/\">Stillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/06\/cyberangriff-auf-sdwestfalen-it-trifft-mindestens-103-kommunen\/\">Cyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/10\/neues-zum-cyberangriff-auf-sdwestfalen-it\/\">Neues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/11\/cyber-security-i-massive-sicherheitslcken-in-deutschen-gesundheitsmtern-keinen-interessiert-es\/\">Cyber-Security I: Massive Sicherheitsl\u00fccken in deutschen Gesundheits\u00e4mtern \u2013 keinen interessiert es<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/12\/cyber-security-ii-it-planungsrat-empfiehlt-kommunal-it-von-nis-2-richtlinie-auszunehmen\/\">Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/14\/cyberangriff-auf-sdwestfalen-it-sit-chaos-bei-betroffenen-kommunen\/\">Cyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/11\/17\/sdwestfalen-it-sit-will-bald-erste-fachverfahren-nach-angriff-wieder-freischalten\/\">S\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Von Sonntag auf Montag (30. Oktober 2023) gab es einen Ransomware-Angriff auf die S\u00fcdwestfalen IT (das ist ein IT-Dienstleister f\u00fcr Kommunen). Waren erst nur einzelne Kommunen als betroffen bekannt, hie\u00df es sp\u00e4ter, dass in 72 Kommunen in S\u00fcdwestfalen nicht mehr &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/06\/cyberangriff-auf-sdwestfalen-it-trifft-mindestens-103-kommunen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-287904","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287904","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287904"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287904\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287904"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287904"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287904"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}