{"id":288075,"date":"2023-11-10T13:46:16","date_gmt":"2023-11-10T12:46:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288075"},"modified":"2024-05-02T07:58:06","modified_gmt":"2024-05-02T05:58:06","slug":"neues-zum-cyberangriff-auf-sdwestfalen-it","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/10\/neues-zum-cyberangriff-auf-sdwestfalen-it\/","title":{"rendered":"Neues zum Cyberangriff auf Südwestfalen IT"},"content":{"rendered":"

\"SicherheitDer Ransomware-Angriff auf die S\u00fcdwestfalen IT (SIT) zum 30. Oktober 2023 hat ja in \u00fcber hundert Kommunen eingeschlagen, denn die SIT ist ja ein IT-Dienstleister f\u00fcr Kommunen. Kommunen sind damit besch\u00e4ftigt, eine Not-IT-Verwaltung oder eigene Webseiten aufzubauen. Inzwischen wurde bekannt, wer hinter dem Angriff steckt und ich habe Informationen aus diversen Quellen, die das ganze Dilemma offenbaren. Aktuell l\u00e4sst die SIT aber Optimismus verbreiten, dass es \"bald wieder weiter geht\". Hier eine kurze Zusammenfassung des aktuellen Sachstands.<\/p>\n

<\/p>\n

Der Cyberangriff auf die SIT<\/h2>\n

\"\"In der Nacht von Sonntag auf Montag (30. Oktober 2023) gab es einen erfolgreichen Ransomware-Angriff auf die S\u00fcdwestfalen IT (das ist ein IT-Dienstleister f\u00fcr zahlreiche Kommunen, der sowohl Fachverfahren f\u00fcr die Verwaltungen anbietet als auch Webseiten zu hosten scheint). Der Anbieter hat dann sofort alle Verbindungen aus dem Rechenzentrum nach au\u00dfen gekappt und den Vorfall in einer knappen Stellungnahme mitgeteilt.<\/p>\n

\"Cybervorfall:<\/p>\n

\"\"Ich hatte zeitnah im Blog-Beitrag Stillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a> diesen Vorfall bei der S\u00fcdwestfalen IT berichtet, der Kommunen im s\u00fcdlichen Westfalen getroffen hat. War urspr\u00fcnglich nur von 70 Kommunen die Rede, weitete sich die Z\u00e4hlung auf mindestens 103 Kommunen aus, die \"irgendwie\" betroffen sind – und sei es, dass die Webseite down ist (siehe auch mein Beitrag Cyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a>).<\/p>\n

SIT vermeldet erste Fortschritte<\/h2>\n

Die S\u00fcdwestfalen IT ist seit dem 30. Oktober 2023 dabei, den Vorfall aufzuarbeiten. Dazu geh\u00f6ren forensische Analysten \u00fcber den Umfang des Schadens sowie m\u00f6gliche Schritte zur Wiederherstellung des operativen Betriebs. Meinen Informationen nach ist die rtec<\/a> als externer Dienstleister zur Analyse hinzugezogen worden. In einer Stellungnahme<\/a> des Anbieters vom 9. November 2023 f\u00fcr die Presse werden erste Fortschritte vermeldet.<\/p>\n

Die S\u00fcdwestfalen-IT (SIT) gibt an, die erste Phase der forensischen Analysen der betroffenen Systeme abgeschlossen zu haben. Der Anbieter will die gewonnenen Erkenntnisse nutzen, um nun alle Kundensysteme in einem systematischen Prozess zu untersuchen. Mir wurde berichtet, dass deren Mannschaft wohl mehr oder weder Vollzeit an der Thematik sitzt – da ist wenig mit Schlaf – d\u00fcrfte f\u00fcr die Analyse eher auch nicht so hilfreich sein.<\/p>\n

Bisher ist noch nichts in Richtung Wiederherstellung des Kundenbetriebs zu sehen. Der Anbieter schreibt, dass man mit gr\u00f6\u00dfter Sorgfalt vorgehe – das ist in meinen Augen auch erforderlich, da eine Re-Infektion verhindert werden soll. Bleibt zu hoffen, dass die hinzugezogenen Spezialisten da den Durchblick haben.<\/p>\n

Aktuell will die S\u00fcdwestfalen-IT bis Ende dieser Woche, gemeinsam mit den Mitgliedern des erweiterten Krisenstabs, eine Priorisierung der wiederherzustellenden Fachverfahren fertigstellen. Danach k\u00f6nne mit der schrittweisen Wiederherstellung der Systeme begonnen werden, meint der Anbieter.<\/p>\n

Die SIT schreibt von ersten Fortschritten, die bei der Etablierung von Behelfs-Prozessen erzielt werden konnten und zeigt sich zuversichtlich, dass die ersten Workarounds in der n\u00e4chsten Woche eingef\u00fchrt werden k\u00f6nnen, so dass die B\u00fcrgerinnen und B\u00fcrger einige \u00f6ffentliche Dienstleistungen zumindest behelfsweise wieder nutzen k\u00f6nnen. Es bleibt den betroffenen Kommunen zu w\u00fcnschen, dass die obigen Voraussagen auch so eintreffen.<\/p>\n

Keine L\u00f6segeldzahlung an Akira<\/h2>\n

Aktuell gibt die SIT ja wenig Informationen an die \u00d6ffentlichkeit (siehe oben) und hat wohl ein internes Redeverbot erteilt. Aber dies verhindert nicht, dass doch Interna an die \u00d6ffentlichkeit gelangen – u.a. muss der Betreiber ja die Aufsichtsbeh\u00f6rden informieren und auch mit den Kommunen sprechen. So ist der Presse (dpa) ein vertraulicher Bericht des Innenministeriums an den Landtag in die Finger gekommen. Der Siegener Anzeiger berichtete erstmals (Paywall), dass die Ransomware-Gruppe Akira hinter dem Angriff stecke.<\/p>\n

Spiegel Online hat es in diesem Artikel<\/a> aufgegriffen und schreibt, dass die Kommunen kein L\u00f6segeld zahlen werden. Spiegel zitiert aus dem Bericht des Innenministeriums an den Landtag, dass die Server bei der SIT verschl\u00fcsselt seien und dass die Angreifer eine Nachricht zur Kontaktaufnahme hinterlassen h\u00e4tten. \u00dcber die H\u00f6he des geforderten L\u00f6segelds wurde da wohl nichts verlauten lassen – das ist Verhandlungssache. Aber bei dem dicken Fass, was da angebohrt wurde, kann man mit 200.000 Euro bis \u00fcber eine Million rechnen. Die Westfalen-Post hat hier<\/a> auch noch einige Informationen zusammen getragen.<\/p>\n

Welche Cyberkriminellen die Leistungen der Akira RaaS-Gruppe letztendlich in Anspruch genommen haben, l\u00e4sst sich bei obiger Konstellation nicht angeben. Die Zahlung h\u00e4tte m\u00f6glicherweise die Herausgabe des Decryptor erm\u00f6glicht, aber die Daten d\u00fcrften abgezogen sein. Und es droht immer noch die Ver\u00f6ffentlichung, auch nach Zahlung. Einen solchen gescheiterten Fall hatte ich ja gerade im Beitrag Dolly.com zahlt L\u00f6segeld, aber die Daten wurden trotzdem ver\u00f6ffentlicht<\/a> behandelt.<\/p>\n

Die Akira-RaaS-Gruppe<\/h2>\n

Akira ist eine Gruppe von Cyberkriminellen, die Ransomware-as-a-Service (RaaS) an zahlende Kunden vertreibt. Ich hatte die Tage im Beitrag Microsoft Ank\u00fcndigung einer Secure Future Initiative<\/a> erstmals den Namen der Gruppe erw\u00e4hnt.<\/p>\n

Trend Micro geht in dieser Analyse<\/a> von Oktober 2023 davon aus, dass Mitglieder der mittlerweile aufgel\u00f6sten Conti-Ransomware-Gang mit beteiligt sind. Akira entwickelt sich rapide zu einer der am schnellsten wachsenden Ransomware-Familien. Die doppelten Erpressungstaktiken (Verschl\u00fcsselung und Drohung mit Ver\u00f6ffentlichung abgezogener Daten), ein Ransomware-as-a-Service (RaaS)-Vertriebsmodell und einzigartige Zahlungsoptionen tragen zum Erfolg der Gruppe bei. \u00c4ltere Verschl\u00fcsselungsvarianten wurden inzwischen zwar von Sicherheitsforschern geknackt (siehe diesen Artikel<\/a>). Hilft aber oft nicht, da die Malware st\u00e4ndig weiter entwickelt wird.<\/p>\n

SIT kalt erwischt<\/h2>\n

Au\u00dfenstehenden Beobachtern dr\u00e4ngen sich viele Fragen auf, die S\u00fcdwestfalen IT (SIT) ist mit Informationen zum Ablauf des Angriffs und den Hinterm\u00e4nnern sehr sparsam. Oben hatte ich ja einiges aus diversen Quellen skizziert, was ein wenig Licht ins Dunkel bringt. Aber auch der Zeitpunkt der Infektion liegt noch im Dunkeln und meinen Informationen nach wurde der Dienstleister ziemlich auf dem falschen Fu\u00df erwischt. Gerne h\u00e4tte ich ja gelesen, dass eine Sicherheitsl\u00f6sung (SIEM) angeschlagen und den Ransomware-Angriff unterbunden habe, wie in diesem Kommentar<\/a> im Blog gefragt.<\/p>\n

Von einer anonymen Quelle hie\u00df es, dass der Cybervorfall erst auffiel, als eine Polizeiabfrage Montag-Nacht um 2:00 Uhr scheiterte, weil nichts mehr ging. Ab dann liefen die internen Telefone hei\u00df, weil die Verantwortlichen benachrichtigt werden musste. Derweil konnte die Ransomware wohl weiter ihr Werk verrichten.<\/p>\n

In diesem Kommentar<\/a> im Blog wurden auch Fragen nach Backups, des Notfall-Konzepts etc. aufgeworfen. Nach meinen Informationen gibt es Backups, das Problem ist aber festzustellen, welcher Backup-Satz vor der ersten Infektion oder Kompromittierung des Systems erstellt wurde. Ohne ausf\u00fchrliche Analyse, was genau passiert ist, kommt man da nicht weiter. Und dieser Vorgang dauert schlicht seine Zeit.<\/p>\n

Schwieriger wird die Frage, ob ein belastbares Notfall- und Sicherheitskonzept bei der SIT existierte, und ob innerhalb des Netzwerk eine Segmentierung und virtuelle Trennung einzelner Fachanwendungen und Kunden bestand. Mir liegen keine Details vor, aber diverse Informationen, die mir unter die Augen gekommen sind, lassen mich bezweifeln, dass ein ggf. bestehendes Sicherheitskonzept oder eine Isolierung der Fachanwendungen sowie Kunden strikt eingehalten wurde. Zum Sicherheitskonzept geht mir die Umschreibung \"Freestyle, jeden Tag manchen wir was anderes\" durch den Kopf. Hier k\u00f6nnte die SIT schnell Klarheit schaffen, indem sie die Fakten auf den Tisch legt, so dass jegliche Spekulationen \u00fcberfl\u00fcssig werden.<\/p>\n

SIT, ein kommunaler Zweckverband<\/h2>\n

Im Kontext des Vorfalls sowie der aufgeworfenen Fragen und mir verf\u00fcgbarer Informationen stelle ich mir die Frage, ob die Konstruktion der S\u00fcdwestfalen IT (SIT) m\u00f6glicherweise mit zur \"Tragweite des Problems\" beigetragen haben k\u00f6nnte. Vorab: Ich finde es durchaus sinnvoll, wenn Kommunen ihre IT bei einem Dienstleister b\u00fcndeln, statt alle selbst diese Leistung mehr schlecht als recht (da kein Personal verf\u00fcgbar ist) bereitstellen. Und ich kenne auch keine Details aus dem Management der S\u00fcdwestfalen IT.<\/p>\n

Ich habe aber im Web recherchiert, und herausgefunden, dass die S\u00fcdwestfalen IT als Kommunaler Zweckverband<\/a> in Form einer GmbH gef\u00fchrt wird. Entstanden ist die SIT Anfang 2018 aus dem Zusammenschluss der Citkomm mit Sitz in Hemer (laut LinkedIn 10-50 Besch\u00e4ftigte) und KDZ Westfalen-S\u00fcd aus Siegen (KDZ steht f\u00fcr Kommunale Datenzentrale). LinkedIn f\u00fchrt die SIT in der Kategorie 51-200 Besch\u00e4ftigte, also eine eher kleine Einheit. Wenn ich es richtig sehe, ist die SIT mit drei Gesch\u00e4ftsf\u00fchrern gestartet (Details bei Northdata<\/a>).<\/p>\n