![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Kunden des kommunalen IT-Dienstleisters S\u00fcdwestfalen IT (SIT) brauchen momentan Nerven. Chaos ist seit November 2023 \"das neue Normal\". Die S\u00fcdwestfalen IT leidet unter massivem Personal-Schwund, und nun kam zum Wochenende die n\u00e4chste Hiobsbotschaft. Wegen Schwachstellen waren viele Verwaltungen in Nordrhein-Westfalen seit Freitag nicht per Mail erreichbar. Das soll aber inzwischen entsprechend behoben worden sein. Hier eine kleine Nachlese, was aktuell so ansteht.<\/p>\n
<\/p>\n
Wie Jens Lange anmerkt, ist die Seite mit den Stellenanzeigen auf der SIT-Notfallseite geschaltet. Da scheint die Not doch wohl recht hoch, und es d\u00fcrfte im Umfeld des Cybervorfalls von Ende Oktober 2023 einige K\u00fcndigungen gegeben haben. Seit Februar 2024 soll ein neuer Gesch\u00e4ftsf\u00fchrer die Aufarbeitung dieses Vorfalls begleiten.<\/p>\n Zum 15. Februar 2024 wies Jens Lange auch auf die Folgen des IT-Sicherheitsvorfalls f\u00fcr die Verbandumlage der 72 Mitgliedskommunen hin. F\u00fcr die wird das Ganze teurer, wie Lange in folgenden Tweet<\/a> offen legt.<\/p>\n Der Zweckverband muss nach dem dem schweren IT-Sicherheitsvorfall die Verbandsumlage der 72 Mitgliedskommunen f\u00fcr 2024 um 19 % erh\u00f6hen. F\u00fcr 2025 und die Folgejahre erfolgt dann eine weitere Erh\u00f6hung um 4 %. Leider befindet sich der Artikel hinter einer Paywall – aber die Zahlen sprechen auch so f\u00fcr sich.<\/p>\n F\u00fcr die betroffenen Kommunen ist \"Chaos das neue Normal\", denn die IT-Krise ist ja noch nicht vorbei. Die Westfalenpost zeichnet in diesem Artikel<\/a> die Situation der Stadt Siegen gut 100 Tage nach dem Cybervorfall nach. Die Verantwortlichen in der Kommune hoffen, \"aus dem Gr\u00f6bsten raus zu sein\". Die gute Botschaft: Bestimmte Bereiche der Verwaltung \"k\u00f6nnen wieder drucken\", beispielsweise Bebauungspl\u00e4ne oder Katasterausz\u00fcge.<\/p>\n In der Kommune mussten 200 Rechner neu aufgesetzt werden und viele Verwaltungsvorg\u00e4nge m\u00fcssen nachgearbeitet werden, weil seit dem Cybervorfall nichts mehr ging. Die Stadt Siegen rechnet mit einem Millionenbetrag, den dieser Angriff die Kommune kosten wird. Dieses Bild d\u00fcrfte in vielen betroffenen Kommunen zu finden sein.<\/p>\n Nach dem Motto \"Chaos das neue Normal\" wurde nun bekannt, dass die S\u00fcdwestfalen IT ihre zentralen E-Mail-Dienste f\u00fcr viele Kommunen in Nordrhein-Westfalen aus Sicherheitsgr\u00fcnden heruntergefahren hat. Ein Blog-Leser hat mich auf den Sachverhalt hingewiesen, aber Jens Lange berichtete bereits zum 18. Februar 2024 in nachfolgendem Tweet<\/a>, dass die S\u00fcdwestfalen IT den E-Mail-Server der Stadtverwaltung Iserlohn wegen einer Sicherheitsl\u00fccke heruntergefahren habe.<\/p>\n Die Ma\u00dfnahme erfolgte letzten Freitag (16. Februar 2024), und die Stadtverwaltung konnte keine externen E-Mails empfangen. Am heutigen Montag (19.2.2024) teilte die Stadtverwaltung laut IKZ-Online<\/a> mit, dass das Mail-System wieder funktioniere. Dieses Mail-System war seit Freitag bis Montagnachmittag, etwa 15.30 Uhr, abgeschaltet.<\/p>\n Vor einigen Stunden kam dann der Hinweis<\/a>, dass die S\u00fcdwestfalen IT Ich habe Informationen erhalten, nach denen die S\u00fcdwestfalen-IT ihr zentrales E-Mail-Relay heruntergefahren hat und damit alle dar\u00fcber angebunden Kommunen keine E-Mails empfangen k\u00f6nnen. Der Blog-Leser hat mich dann auf diesen Beitrag<\/a> des Soester-Anzeigers hingewiesen. Der Beitrag best\u00e4tigt, dass in f\u00fcnf Kommunen, die mit dem E-Mail-System der SIT arbeiten, keine Mails mehr empfangen werden k\u00f6nnen.<\/p>\n Es wird lediglich ausgef\u00fchrt, dass das BSI vor einer Schwachstelle bei Microsoft gewarnt habe. Angreifer k\u00f6nnen die Schwachstelle ausnutzen, um die Identit\u00e4t von Nutzern zu kapern und f\u00fcr ihre Zwecke zu missbrauchen. Auch hier ist das Problem zum Montagnachmittag, den 19.2.2024, wohl behoben.<\/p>\n Der Hintergrund f\u00fcr die zeitweise Abschaltung des zentralen E-Mail-Relay ist die Schwachstelle CVE-2024-21410 in Microsofts Exchange Server. Ich hatte im Blog-Beitrag Nachlese zu CU 14 f\u00fcr Exchange 2019 und Schwachstelle CVE-2024-21410 (Feb. 2024)<\/a> das Thema nachbereitet, welches seit dem 13. Februar 2024 auf dem Tisch liegt. Die Elevation of Privilege-Schwachstelle CVE-2024-21410<\/a> ist mit einem CVEv3.1 Score 9.8 als kritisch eingestuft und betrifft Microsoft Exchange Server. Ich hatte im Blog-Beitrag Microsoft Security Update Summary (13. Februar 2024)<\/a> ausgef\u00fchrt, dass die erfolgreiche Ausnutzung dieser Schwachstelle es einem Angreifer erm\u00f6glicht, einen New Technology LAN Manager Version 2 (NTLMv2) Hash gegen einen anf\u00e4lligen Server weiterzuleiten. NTLM-Hashes k\u00f6nnten in NTLM-Relay- oder Pass-the-Hash-Angriffen missbraucht werden, um die Position eines Angreifers in einer Organisation zu st\u00e4rken.<\/p>\n Das BSI warnte<\/a> inzwischen vor dieser kritischen Schwachstelle, nachdem Microsoft den Hinweis, dass die Sicherheitsl\u00fccke bereits aktiv ausgenutzt wird, erg\u00e4nzt hat. Die Schwachstelle erm\u00f6glicht es externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients (wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server zu authentifizieren und Aktionen mit den Berechtigungen des urspr\u00fcnglichen Opfers durchzuf\u00fchren.<\/p>\n In Folge dieser Offenlegung mussten Administratoren ihre Microsoft Exchange-Server auf einen aktuellen Update-Stand bringen, und sofern noch nicht geschehen, die Extended Protection (EP) aktivieren. Aus der Leserschaft gab es die R\u00fcckmeldung, dass die EP eigentlich seit 2023 aktiviert sein sollte, so dass der betreffende Schutz gegen diesen Angriff gegeben ist. Zudem gab es den Hinweis, dass man das veraltete NTLMv2 deaktivieren und zur Kerberos-Authentifizierung wechseln sollte – die ist f\u00fcr dieses Angriffsszenario nicht anf\u00e4llig. Die Abschaltung des zentralen E-Mail-Relay bei der S\u00fcdwestfalen IT war wohl genau dieser Schwachstelle geschuldet.<\/p>\n In diesem Artikel<\/a> hei\u00dft es, dass die S\u00fcdwestfalen IT am \"Donnerstag-Abend\" (15. Februar 2024) mit der \"Installation von Updates auf die Computer der Kommunen\" begonnen habe. Hier ist mir aber nicht so wirklich klar, was da genau passiert. Wenn die Exchange Server bei der SIT im Rechenzentren in Hemer stehen, k\u00f6nnten auf den Clients der Kommunen m\u00f6glicherweise Updates f\u00fcr Microsoft Office und vor allem Outlook ausgerollt worden sein. Vielleicht kann da jemand aus der Leserschaft mehr Licht ins Dunkel bringen. Jedenfalls soll E-Mail ab dem morgigen Dienstag wieder funktionieren.<\/p>\n \u00c4hnliche Artikel:<\/strong> Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1<\/a> Kunden des kommunalen IT-Dienstleisters S\u00fcdwestfalen IT (SIT) brauchen momentan Nerven. Chaos ist seit November 2023 \"das neue Normal\". Die S\u00fcdwestfalen IT leidet unter massivem Personal-Schwund, und nun kam zum Wochenende die n\u00e4chste Hiobsbotschaft. Wegen Schwachstellen waren viele Verwaltungen in Nordrhein-Westfalen … Weiterlesen Ich bin bereits Ende vorige Woche \u00fcber nachfolgenden Tweet<\/a> von Jens Lange auf das Thema \"d\u00fcnne Personaldecke bei der S\u00fcdwestfalen IT\" gesto\u00dfen. Auf der Seite Jobs bei der SIT<\/a> sind zur Zeit sehr viele Stellen zu besetzen.<\/p>\n
![\"Stellen](\"https:\/\/i.postimg.cc\/G3ZZ3bfn\/image.png\" "\\"Stellen")
<\/a><\/p>\nTeure Folgen f\u00fcr Kommunen<\/h2>\n
![\"IT-Vorfall](\"https:\/\/i.postimg.cc\/wvs3J6QY\/image.png\" "\\"IT-Vorfall")
<\/a><\/p>\nChaos das neue Normal<\/h2>\n
Sicherheitsl\u00fccke: E-Mail-System der SIT abgeschaltet<\/h2>\n
![\"E-Mail-System](\"https:\/\/i.postimg.cc\/RCJn77Lf\/image.png\" "\\"E-Mail-System")
<\/a><\/p>\nBereits wieder Entwarnung zum Montag<\/h3>\n
\n
Hintergrund: Exchange Server-Schwachstelle<\/h3>\n
![](\"https:\/\/i.postimg.cc\/YqrvvXjt\/image.png\")
<\/p>\n
\nStillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a>
\nNeues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>
\nS\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a>
\nS\u00fcdwestfalen IT: Wiederanlauf nach Cyberangriff dauert l\u00e4nger; Betreiber werden Vers\u00e4umnisse vorgeworfen<\/a>
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT; Stand Januar 2024<\/a><\/p>\n
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"