{"id":291072,"date":"2024-01-26T08:48:52","date_gmt":"2024-01-26T07:48:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291072"},"modified":"2024-08-06T13:02:50","modified_gmt":"2024-08-06T11:02:50","slug":"ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-stand-januar-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/26\/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-stand-januar-2024\/","title":{"rendered":"Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT; Stand Januar 2024"},"content":{"rendered":"

\"SicherheitEs gibt Neuigkeiten bez\u00fcglich des Cybervorfalls beim Kommunal IT-Dienstleister S\u00fcdwestfalen-IT (SIT). Ein Ransomware-Befall Ende Oktober 2023 hatte die IT von weit \u00fcber Hundert Kommunen lahm gelegt und beeintr\u00e4chtigt. Nun hat die SIT einen Forensik-Bericht vorgelegt, der einige weitere Informationen enth\u00e4lt, und will unter neuer Gesch\u00e4ftsf\u00fchrung weiter analysieren. Den betroffenen Kommunen schwant so langsam, dass ihnen ein finanzielles Desaster durch den durch den Cybervorfall entstandenen Mehraufwand droht.<\/p>\n

<\/p>\n

Der Cyberangriff auf die SIT<\/h2>\n

\"\"Zun\u00e4chst kurz ein Abriss, was\u00a0 bekannt war. Ende Oktober 2023 gab es einen erfolgreichen Cyberangriff auf die S\u00fcdwestfalen IT (SIT) \u2013 das ist ein IT-Dienstleister f\u00fcr Kommunen (siehe Stillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a>). Seit der Nacht von Sonntag auf Montag (30. Oktober 2023) funktioniert die IT f\u00fcr Kommunen, die Kunden dieses Dienstleisters waren, nicht mehr viel (siehe auch Cyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>). Die Kommunen (man munkelt kurz unter 200) hatten seit diesem Zeitpunkt keinen Zugriff mehr auf die bei der SIT gebuchten Dienstleistungen (z.B. Fachverfahren).<\/p>\n

Kurzer Nachtrag zur Zahl 200, w\u00e4hrend in vielen Artikeln nur ca. 70 Kommunen genannt wurden. Die ca. 70 Kommunen waren wohl komplett betroffen, da fehlte dann die komplette IT (oder es waren weitgehend keine Fachverfahren \u00fcber die SIT nutzbar). Jens Lange von Kommunaler Notbetrieb hat das Ganze zeitnah verfolgt und Zahlen aufgelistet. Zeitweise stand der Z\u00e4hler bei ca. 200 Betroffenen (manche hatten halt keine IT f\u00fcr das Standesamt, anderen fehlte die Webseite). Aktuell hei\u00dft es hier<\/a>, dass das Marktforschungsunternehmen KonBriefing Research 126 Stadt-, Kreis- oder Gemeindeverwaltungen in Nordrhein-Westfalen und Niedersachsen als betroffen auflistet. Hinzu kommen auch Kunden au\u00dferhalb des hier genannten Nutzerkreises. Letztendlich ist es aber schnurz, ob es 71 oder 100 Kommunen waren, der Flurschaden ist riesig!<\/p><\/blockquote>\n

Verantwortlich f\u00fcr den Angriff ist wohl eine Gruppe mit dem Namen AKIRA. Es gab ja immer wieder Berichte, dass es mit dem Wiederanlauf der IT langsam aufw\u00e4rts ginge. Vor Weihnachten machte der Betreiber der \u00d6ffentlichkeit Hoffnung, dass einzelne Fachverfahren bald zur Verf\u00fcgung stehen w\u00fcrde (siehe S\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a>). Aber das Ganze gestaltete sich z\u00e4her als von Vielen erhofft und von mir bef\u00fcrchtet. Inzwischen werden auch Vorw\u00fcrfe gegen die SIT erhoben (siehe S\u00fcdwestfalen IT: Wiederanlauf nach Cyberangriff dauert l\u00e4nger; Betreiber werden Vers\u00e4umnisse vorgeworfen<\/a>).<\/p>\n

Fachverfahren laufen wieder, Opfern droht Kostenwelle<\/h2>\n

Ich hatte es hier im Blog noch nicht thematisiert: Anfang Januar 2024 hatte ich nachfolgenden Tweet<\/a> gesehen. Die Westfalenpost berichtete in diesem Artikel<\/a> \u00fcber den Stand nach dem Cyberangriff.<\/p>\n

\"Ransomware<\/a><\/p>\n

Die gute Nachricht lautete, dass die \"Fachverfahren Finanzwesen\" der SIT wieder laufen, die Kommunen k\u00f6nnen diese also wieder nutzen. Aber auf die betroffenen Kommunen kommen horrende Kosten zu, die sie alleine tragen m\u00fcssen. Gemeint sind Kosten f\u00fcr den Mehraufwand, der in den Kommunen durch diesen Ausfall seit Anfang November 2023 entstand. Denn im Finanzwesen ging nichts mehr, und vieles musste manuell gebucht werden. Im Artikel hei\u00dft es, dass die Gemeinde Kreuztal 13.000 Bankbewegungen und 2.700 Zahlungsvorg\u00e4nge nacherfassen muss.<\/p>\n

In den betroffenen 72 Mitgliedskommunen d\u00e4mmert, laut obigem Artikel, es den K\u00e4mmerern, dass sie auch die hohen Zusatzkosten der Wiederherstellung der SIT selbst tragen m\u00fcssen. Einige Kommunen haben mit der R\u00fcckverlagerung der IT von der SIT begonnen. Dort kommen wohl noch Kosten, die durch den Neuaufbau der lokalen IT entstehen, hinzu.<\/p>\n

Forensik-Bericht der SIT<\/h2>\n

In meinen Berichten \u00fcber den Vorfall hatte ich anklingen lassen, dass Gesch\u00e4ftsf\u00fchrer der S\u00fcdwestfalen IT den Dienstleister vor dem Vorfall verlassen haben. Jetzt wurde bekannt, dass es bei der S\u00fcdwestfalen-IT inzwischen einen neuen Gesch\u00e4ftsf\u00fchrer gibt, der diesen Posten zum 1. Februar 2024 antritt. Dieser soll den IT-Vorfall weiter aufarbeiten lassen. Im Vorfeld konnte die SIT nun einen Forensik-Bericht S\u00fcdwestfalen-IT: Forensik-Bericht liefert Erkenntnisse zu Ransomware-Angriff \u2013 neuer Gesch\u00e4ftsf\u00fchrer der S\u00fcdwestfalen IT arbeitet Vorfall auf<\/a> \u00fcber den Ablauf vorlegen. Bernie hatte im Diskussionsbereich auf diesen Sachverhalt hingewiesen – danke daf\u00fcr. Zudem habe ich von einem Leser noch den Link auf diesen Artikel<\/a> bei LokalPlus erhalten.<\/p>\n

VPN-Zugang ausgenutzt<\/h3>\n

Die wichtigste Erkenntnis ist, dass die Angreifer von AKIRA \u00fcber \"eine VPN-L\u00f6sung eindringen und dann 'weitere H\u00fcrden \u00fcberwinden' konnten, um die Ransomware auszuf\u00fchren\". In der Zusammenfassung wurden zwar keine Details bez\u00fcglich der \"angegriffenen VPN-L\u00f6sung\" genannt. Man kann spekulieren, ob es Citrix VPN-Zug\u00e4nge waren.<\/p>\n

Konkret hei\u00dft es im Bericht, dass die Angreifer den Zugang zum internen Netzwerk \u00fcber eine softwarebasierte VPN-L\u00f6sung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte, erlangten. Auf welchem Weg die daf\u00fcr ben\u00f6tigten Zugangsdaten abgegriffen wurden, konnte nicht abschlie\u00dfend aufgekl\u00e4rt werden. Laut Forensik-Bericht k\u00f6nnte eine Brute-Force-Attacke stattgefunden haben. Zusammengefasst: Es gab 0-day-Schwachstellen, aber man wei\u00df nicht, wie die Angreifer in das System kamen. Zumindest hei\u00dft es, dass die Sicherheitsl\u00fccken beim Wiederanlaufen geschlossen wurden.<\/p>\n

Schnelles Handeln und kein Datenabfluss?<\/h3>\n

Die ersten verschl\u00fcsselten Dateien bemerkte die S\u00fcdwestfalen-IT in der Nacht von Sonntag, 29. Oktober 2023 auf Montag, den 30. Oktober 2023, was ich in Blog-Beitr\u00e4gen erw\u00e4hnt hatte. Die Datei-Endung .akira weist auf die Ransomware-Gruppe \u201eAkira\" hin. Weiterhin hei\u00dft es im vorgelegten Bericht schreibt die S\u00fcdwestfalen IT, dass man den Angriff durch unverz\u00fcgliches Herunterfahren und Isolieren der betroffenen Systeme eind\u00e4mmen konnte.<\/p>\n

Direkt nach dem Angriff wurden externe, BSI-zertifizierte Cyber-Security-Experten mit der forensischen Untersuchung und dem Wiederaufbau der Infrastruktur beauftragt. Nach meinen Informationen ist dies r-tec IT Security aus Wuppertal. Bei den intensiven forensischen Untersuchungen durch die beauftragten Cyber-Security-Experten sowie dem kontinuierlichen Monitoring des Darkwebs mittels einer Spezialsoftware konnten keine Hinweise auf einen Datenabfluss oder eine Datenver\u00f6ffentlichung gefunden werden, hei\u00dft es weiter. Die Datenr\u00fccksicherungen der S\u00fcdwestfalen-IT seien intakt und werden den Kommunen schrittweise wieder zur Verf\u00fcgung gestellt.<\/p>\n

Angriff auf zentrale Windows-Dom\u00e4ne<\/h3>\n

Nachdem die Angreifer \u00fcber den VPN-Zugang in das interne Netzwerk hatten, erm\u00f6glichten Sicherheitsl\u00fccken es den Angreifern, die Rechte bis zur Domain-Administrationsberechtigung zu erh\u00f6hen. Damit konnten die sich die Angreifer in der Windows-Domain umsehen. Die Aktivit\u00e4ten der Angreifer konzentrierten sich laut Forensik-Bericht auf die Windows-Dom\u00e4ne intra.lan<\/em>. Diese Domain verwaltet zentrale Systeme und wichtige Fachverfahren f\u00fcr alle Kunden der S\u00fcdwestfalen-IT.<\/p>\n

Andere Dom\u00e4nen waren nicht betroffen, aber die Angreifer hatten quasi den Jackpot geknackt und konnten das System quasi lahm legen. Denn durch die beginnende Verschl\u00fcsselung war die S\u00fcdwestfalen IT gezwungen, die Systeme herunterzufahren. Den Kunden standen dadurch keine gebuchten IT-Dienstleistungen bzw. Fachverfahren mehr zur Verf\u00fcgung.<\/p>\n

\u00c4nderungen an der Systemarchitektur<\/h2>\n

F\u00fcr den langfristigen Betrieb hat die S\u00fcdwestfalen-IT wesentliche \u00c4nderungen in der System-Architektur geplant, um das System robuster zu gestalten und derartige Vorf\u00e4lle k\u00fcnftig bestm\u00f6glich auszuschlie\u00dfen. Mit den Kreisen und Kommunen hat die S\u00fcdwestfalen-IT einen Zeitplan abgestimmt. Danach werden die ersten wesentlichen Fachverfahren, die bislang im Basisbetrieb laufen, bis zum Ende des ersten Quartals 2024 in den Normalbetrieb \u00fcberf\u00fchrt werden. Dar\u00fcber hinaus werden im ersten Quartal 2024 weitere priorisierte Fachverfahren in den Basisbetrieb gehen.<\/p>\n

Zu viele Fragen offen<\/h2>\n

Die Aussagen in den obigen drei Abschnitten sind f\u00fcr mich sehr merkw\u00fcrdig, und ich lasse diese so im Raum stehen. Denn ich kann die Aussagen weder best\u00e4tigen noch widerlegen. Aber ich formuliere es mal ins Unreine, was mir durch den Kopf geht:<\/p>\n