{"id":289273,"date":"2023-12-14T00:02:00","date_gmt":"2023-12-13T23:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289273"},"modified":"2024-02-20T07:37:23","modified_gmt":"2024-02-20T06:37:23","slug":"sdwestfalen-it-wiederanlauf-nach-cyberangriff-dauert-lnger-betreiber-werden-versumnisse-vorgeworfen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/14\/sdwestfalen-it-wiederanlauf-nach-cyberangriff-dauert-lnger-betreiber-werden-versumnisse-vorgeworfen\/","title":{"rendered":"Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen"},"content":{"rendered":"

\"SicherheitDer Optimismus der S\u00fcdwestfalen IT, den betroffenen Kommunen nach dem Cyberangriff Ende Oktober 2023 bald wieder einzelne Fachverfahren im Notbetrieb bereitstellen zu k\u00f6nnen, war wohl verfr\u00fcht. Nach meinen Informationen dauert der Wiederanlauf nach dem Cyberangriff wohl l\u00e4nger. Inzwischen werden auch Vorw\u00fcrfe gegen die S\u00fcdwestfalen IT laut, die dem Kommunalen Zweckverband wohl fehlende Cybersecurity-Basics bescheinigen. Hier ein \u00dcberblick \u00fcber den Sachstand.<\/p>\n

<\/p>\n

Der Cyberangriff auf die SIT<\/h2>\n

\"\"Ende Oktober 2023 gab es einen erfolgreichen Cyberangriff auf die S\u00fcdwestfalen IT (SIT) \u2013 ein IT-Dienstleister f\u00fcr Kommunen (siehe Stillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a>). Seit der Nacht von Sonntag auf Montag (30. Oktober 2023) funktioniert die IT f\u00fcr viele Kommunen, die Kunden dieses Dienstleisters sind, nicht mehr viel. Weit \u00fcber hundert Kommunen (man munkelt kurz unter 200) hatten seit diesem Zeitpunkt keinen Zugriff mehr auf die bei der SIT gebuchten Dienstleistungen (z.B. Fachverfahren). Verantwortlich f\u00fcr den Angriff ist wohl eine Gruppe mit dem Namen AKIRA.<\/p>\n

Damit stehen alle kommunale Leistungen, die auf diese Fachverfahren angewiesen sind, den betreffenden Verwaltungen nicht mehr zur Verf\u00fcgung. Das reicht von den oben erw\u00e4hnten Melde-, Pass- und Zulassungsstellen bis hin zu Auszahlungen von Sozialkassen. Ich hatte in diversen Blog-Beitr\u00e4gen \u00fcber diesen Sachverhalt berichtet (siehe Links am Artikelende). Meinen Informationen nach versuchen die Kommunen mit noch vorhandenen \u00e4lteren Rechnern einen Notbetrieb zu organisieren. Es w\u00e4re also f\u00fcr betroffene Kommunen und deren B\u00fcrger gut, wenn erste Fachverfahren bald wieder bereitstehen.<\/p>\n

Wiederanlauf dauert l\u00e4nger<\/h2>\n

Wir haben nun den November und den halben Dezember hinter uns, die SIT k\u00e4mpft immer noch mit den Folgen des Cyberangriffs auf die IT-Infrastruktur. Mitte November 2023 verbreiteten die S\u00fcdwestfalen IT (SIT) sowie der Krisenstab der betroffenen Kommunen zwar Optimismus, dass es bald wieder mit einem Neustart weiter gehen k\u00f6nne.<\/p>\n

\"Wiederanlaufplan<\/a><\/p>\n

Ich hatte bereits zum 16. November 2023 in dieser Meldung<\/a> der S\u00fcdwestfalen IT vernommen, das man gemeinsam mit den Mitgliedern des erweiterten Krisenstabs eine Priorisierung der wiederherzustellenden Fachverfahren fertigstellen wollte. Danach k\u00f6nne mit der schrittweisen Wiederherstellung der Systeme begonnen werden, hie\u00df es. Bei der Etablierung von Behelfs-Prozessen eine erste Fortschritte erzielt werden. Die S\u00fcdwestfalen-IT zeigte sich zuversichtlich, dass die ersten Workarounds noch im November 2023 eingef\u00fchrt werden k\u00f6nnen, so dass die B\u00fcrgerinnen und B\u00fcrger einige \u00f6ffentliche Dienstleistungen zumindest behelfsweise wieder nutzen k\u00f6nnen (siehe S\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a>).<\/p>\n

\"SIT-Wiederanlauf<\/a><\/p>\n

Obigem Tweet<\/a> vom 8. Dezember 2023, der auf diese Mitteilung<\/a> der SIT vom gleichen Datum zur\u00fcckgeht, dauert der Wiederanlauf l\u00e4nger als gedacht. Es handele sich \"um einen der gr\u00f6\u00dften Angriffe auf die \u00f6ffentliche Verwaltung, die es in Deutschland bisher gab\". Bis die betroffenen Verwaltungen wieder regul\u00e4r arbeiten k\u00f6nnen, werde es wohl l\u00e4nger als erwartet dauern, hei\u00dft es in der Mitteilung. Die Woche ab dem 11. Dezember 2023 ist angedacht, dass 3 von 160 Fachverfahren mit Pilotkommunen im Probebetrieb freigegeben werden.<\/p>\n

Es gibt keinen Zeitplan und es ist unklar, wie viele Kommunen testen. Generell hei\u00dft es: Vor Weihnachten will man damit beginnen, schrittweise alle priorisierten Verfahren mit Pilotkommunen zu testen. Die Tests der \u00fcbrigen priorisierten Fachverfahren folgen bis Weihnachten. Jedoch wird die Wiederinbetriebnahme von Basisanwendungen in den Kommunen mehr Zeit erfordern als urspr\u00fcnglich geplant.<\/p>\n

Als Gr\u00fcnde f\u00fcr die Verz\u00f6gerungen gibt die SIT \"deutlich erh\u00f6hte Sicherheitsanforderungen und komplexe, ineinandergreifende IT-Systeme\" an. Dar\u00fcber hinaus habe sich gezeigt, dass der parallele Aufbau der ineinandergreifenden IT-Systeme viel komplizierter als urspr\u00fcnglich angenommen sei. Diese Faktoren zwingen zu besonderer Sorgfalt und einem schrittweisen Vorgehen \u2013 es gilt das Prinzip \u201eSicherheit vor Geschwindigkeit\" , hei\u00dft es.<\/p>\n

Weil die Probleme so komplex sind, kann die S\u00fcdwestfalen-IT noch nicht sagen, wann die ersten Fachanwendungen wieder zuverl\u00e4ssig funktionieren. Zeitpl\u00e4ne f\u00fcr jede einzelne Kommune sind daher erst schrittweise zu erwarten. Die Ursache daf\u00fcr liegt ausdr\u00fccklich nicht bei den Kommunen \u2013 diese k\u00f6nnen erst Pl\u00e4ne vorlegen, wenn die S\u00fcdwestfalen-IT ihnen die Voraussetzungen daf\u00fcr schafft, schreibt die SIT.<\/p>\n

Grunds\u00e4tzlich rechnet die S\u00fcdwestfalen-IT damit, dass der Basisbetrieb in den n\u00f6rdlichen Kreisen des Verbandsgebiets im M\u00e4rkischen Kreis, Hochsauerlandkreis und dem Kreis Soest etwas rascher aufgenommen werden kann als im S\u00fcden des Verbandsgebiets in den Kreisen Siegen-Wittgenstein und Olpe. Der Grund daf\u00fcr ist, dass im S\u00fcden zus\u00e4tzlich auch Basisinfrastruktur wie beispielsweise Endger\u00e4te vom Cyberangriff betroffen waren.<\/p>\n

Insgesamt arbeiten nahezu 170 Personen bei der S\u00fcdwestfalen-IT an der Bew\u00e4ltigung der Auswirkungen des Cyberangriffs. Neun externe Dienstleister unterst\u00fctzen diese Arbeiten. Mehrere Hundert Server und Tausende Clients m\u00fcssen neu aufgebaut und installiert werden.<\/p>\n

Fehlen Security-Basics bei der SIT<\/h2>\n

In den bisherigen Mitteilungen der SIT gab es keine Hinweise, was genau passiert ist und wie die Angreifer (Akira) in das Rechenzentrum eindringen konnten. Inzwischen vermutet ein Sicherheitsexperte aber schwere Vers\u00e4umnisse bei der S\u00fcdwestfalen IT als kommunaler IT-Zweckverband und bezweifelt, dass Basics in Sachen Cybersicherheit eingehalten wurden.<\/p>\n

<\/a><\/p>\n

In obigem Tweet gibt es einen Verweis auf ein Interview<\/a> mit dem IT-Forensiker Karsten Zimmer beim WDR. Der Experte unterst\u00fctzt Unternehmen bei der Cybersicherheit und wertet f\u00fcr Bundes- und Landeskriminal\u00e4mter die Computer von Verd\u00e4chtigen aus. Details kennt Zimmer auch nicht, wird aber vom WDR mit folgender Aussage zitiert: \"Aber ich wei\u00df es aus vergangenen Tagen, dass gerade im Administrationsbereich sehr, sehr viele Fehler gemacht werden.\"<\/p>\n

Nach Zimmers Erkenntnissen gab es etwa keine Zwei-Faktoren-Authentifizierung oder gar Multi-Faktor-Authentifizierung. Zudem \"wurden schlechte Passw\u00f6rter genutzt, es wurden schlechte Benutzernamen benutzt, die ich herausbekomme. Das ist alles angriffsf\u00e4hig und das halte ich f\u00fcr sehr sehr gef\u00e4hrlich.\" <\/cite>Unklar ist, ob sich diese Aussagen direkt auf die SIT beziehen. Das Unternehmen sagt \u00fcber Verbandsvorsteher Theo Melcher dazu: \"Ich gehe davon aus, dass hier bei der S\u00fcdwestfalen IT Fehler passiert sind. Wenn keine Fehler passiert w\u00e4ren, h\u00e4tten die Kriminellen meiner Meinung nach nicht eindringen k\u00f6nnen.\"<\/p>\n

Zum Thema Zwei-Faktoren-Authentifizierung musste der Verbandsvorsteher einr\u00e4umen, dass diese \"Nach meinem Kenntnisstand nicht fl\u00e4chendeckend [eingesetzt wurde]. Und das k\u00f6nnte auch m\u00f6glicherweise ein Teil des Problems sein. Aber das gilt es abzuwarten, ob das kausal war.\"\u00a0 Ein Abschlussbericht soll ab Januar 2024 vorliegen, der hoffentlich die Details benennt. Derweil beginnen einzelne Kommunen wie Siegen bereits damit, eigene IT-Infrastruktur in ihren Verwaltungen – ohne die SIT-Leistungen aufzubauen, wie ich hier<\/a> las. Auch eigene Webseiten werden wieder aufgesetzt.<\/p>\n

Im WDR-Beitrag kommen noch einige Stimmen zu Wort, die Kommunen Defizite bei der Digitalisierung, aber auch bei der Cybersicherheit bescheinigen. Auch die Siegener Zeitung haut in zwei Artikeln (hier<\/a> und hier<\/a>, beide hinter einer Paywall) in die gleiche Kerbe. In einem Bericht hei\u00dft es, dass \"Admin123456<\/em>\" als Passwort verwendet worden sei. Ob das wirklich zutrifft, muss man abwarten. Und dieser Tweet<\/a> zitiert aus den Artikeln, dass zu selten Updates durchgef\u00fchrt und keine MFA verwendete wurden.<\/p>\n

Das passt aber wunderbar zur fatalen Empfehlung des IT-Planungsrats, dass die Kommunal-IT von der NIS-2-Richtlinie auszunehmen sei (siehe Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a>). Diese soll bei kritischen Infrastrukturen die Cybersicherheit durch Sicherheits-Basics anheben – zu diesem Thema hatte ich im Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden<\/a> was zu geschrieben. Die Empfehlung des IT-Planungsrats ist aber arg unter Beschuss (siehe diesen offenen Brief<\/a> auf TeleTrust) und als Au\u00dfenstehender kann man sich nur an den Kopf fassen. Da hat man den Schuss immer noch nicht geh\u00f6rt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nStillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a>
\nNeues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>
\nS\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a><\/p>\n

Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a>
\nNIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Der Optimismus der S\u00fcdwestfalen IT, den betroffenen Kommunen nach dem Cyberangriff Ende Oktober 2023 bald wieder einzelne Fachverfahren im Notbetrieb bereitstellen zu k\u00f6nnen, war wohl verfr\u00fcht. Nach meinen Informationen dauert der Wiederanlauf nach dem Cyberangriff wohl l\u00e4nger. Inzwischen werden auch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-289273","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289273","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=289273"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289273\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=289273"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=289273"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=289273"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}