![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Heute noch ein Sammelbeitrag zu Sicherheitsthemen, die die Tage so angefallen sind. Ein deutscher Darknet-Marktplatz ging durch die Polizei offline. Es gab mehrere F\u00e4lle von Ransomware, und es liegen neue Erkenntnisse von diesem und jenem Cybervorfall vor. Zudem hat das BSI einige Handreichungen f\u00fcr Cybersicherheit – auch f\u00fcr Feuerwehren – ver\u00f6ffentlicht.<\/p>\n
<\/p>\n
Bad Schwalbach ist eine Kommune in Hessen, und die hatten vor zwei Wochen Cybervorfall und haben die Tage die IT-Systeme offline genommen – ich habe es im Radio vernommen, da die Kommune nicht so weit von mir entfernt liegt. Der Kurzbericht der Hessenschau ist hier<\/a> zu finden. Dazu hei\u00dft es:<\/p>\n Nun ist die Stadtverwaltung derzeit nur telefonisch und \u00fcber ein externes Email-Fach erreichbar. Die Meldung der Stadt ist hier<\/a> mit folgendem Text abrufbar:<\/p>\n Die Stadt Bad Schwalbach informiert \u2013 IT-Sicherheitsvorfall<\/strong><\/p>\n Vor zwei Wochen wurden auf einigen IT-Systemen der Stadt Bad Schwalbach Auff\u00e4lligkeiten festgestellt.<\/p>\n Nach einem Anfangsverdacht und einer Untersuchung durch einen IT-Forensik-Dienstleister ging man zun\u00e4chst von einer technischen St\u00f6rung im Zusammenhang mit der Implementierung eines neuen Backup-Systems aus. Nach weiteren Untersuchungen besteht aber aktuell Gewissheit, dass es sich um einen IT-Sicherheitsvorfall handelt.<\/p>\n Vorsichtshalber wurden alle Verbindungen ins Internet gekappt. Nachfolgender Tweet von Jens Lange hat mich wieder an den Vorfall erinnert.<\/p>\n Die Hochschule Kempten (Allg\u00e4u) hat einen Cyberangriff erlitten, wie man in dieser Stellungname<\/a> zum 1.3.2024 offen legt. Der Angriff wurde am 27. Februar 2024 bemerkt. O-Ton der ersten Verlautbarung:<\/p>\n Die Hochschule Kempten ist am 27.02.2024 Ziel eines Hacker-Angriffs geworden. Trotz sehr hoher Sicherheitsvorkehrungen ist es den Kriminellen gelungen, sich Zugriff auf Teile der IT-Infrastruktur der Hochschule zu verschaffen. Als sofortige Sicherheitsma\u00dfnahme wurden der Zugang und die Nutzung zu mehreren IT-Systemen gesperrt. Auch die Kommunikationsinfrastruktur wurde eingeschr\u00e4nkt. Dar\u00fcber hinaus wurden die Polizei und einsprechende Beh\u00f6rden eingeschaltet.<\/p>\n Aktuell arbeiten alle Verantwortlichen mit Hochdruck daran, den Angriff zu stoppen, dessen Ausma\u00df zum jetzigen Zeitpunkt noch nicht abgesch\u00e4tzt werden kann.<\/p><\/blockquote>\n Die Hochschule ist derzeit per E-Mail von und nach au\u00dfen nicht erreichbar. Das Telefonsystem funktioniert. Die Hochschule setzte in der Folge des Hacker-Angriffs zum 1. M\u00e4rz 2024 alle Passw\u00f6rter zur\u00fcck. Golem hat es in diesem Artikel<\/a> aufbereitet und zitiert weitere Quellen, nachdem es ein Ransomware-Befall ist, und Dateien verschl\u00fcsselt worden seien.<\/p>\n Vom BSI gibt es einige Warnungen und Leitlinien in Sachen Cybersicherheit. Und zum Cybervorfall der Stadt Potdam gibt es einen Untersuchungsbericht. Hier ein \u00dcberblick \u00fcber diese Themen.<\/p>\n Ich hatte \u00fcber Cybervorf\u00e4lle in der Stadt Potsdam mehrfach im Blog berichtet (siehe Links am Artikelende). Ende 2022 musste die Stadt ihre IT erneut offline nehmen, weil es einen Verdacht auf einen Vorfall gab. Jens Lange weist in nachfolgenden Tweet<\/a> darauf hin, dass die IT erst im M\u00e4rz 2023 wieder vollst\u00e4ndig in Betrieb war.<\/p>\n Nun wurde der Druck zur Offenlegung durch die Politiker<\/a> der Stadt wohl so gro\u00df, dass der Abschlussbericht ver\u00f6ffentlicht wurde. Die \u00f6ffentliche Version<\/a> wurde aber um kritische Inhalte wurden herausgenommen. Jens Lange schreibt dazu: Der urspr\u00fcngliche Bericht zu dem #Sicherheitsvorfall umfasste 10 Seiten mehr. Angaben zu \"sicherheitsrelevanten Bereichen\" und \"offensichtliche M\u00e4ngel in der Darstellung\" seien ge\u00e4ndert und verbessert worden<\/em>. Im Prinzip erf\u00e4hrt man im \u00f6ffentlichen Bericht nichts, au\u00dfer Selbstbeweihr\u00e4ucherung der Gremien. Details \u00fcber Vers\u00e4umnisse oder Schwachstellen: Fehlanzeige, Nada. So geht Cybersecurity in Deutschland.<\/p>\n Ende Oktober 2023 kam es zu einem Cybervorfall beim Kommunaldienstleister S\u00fcdwestfalen IT (SIT), bei dem \u00fcber 100 Kommunen beeintr\u00e4chtigt wurden. Die Stadt Euskirchen war durch den Ausfall der IT so gut wie nicht mehr handlungsf\u00e4hig. Details lassen sich in diesem Beitrag<\/a> nachlesen.<\/p>\n Zu den Schwachstellen in Ivanti-Produkten hatte ich je mehrere Blog-Beitr\u00e4ge ver\u00f6ffentlicht (z.B. Cybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure \"brennt die H\u00fctte\"<\/a>). Patchen reicht nicht, die Angreifer k\u00f6nnen pertinent im System sein.<\/p>\n CERT-Bund und Mandiant warnen nun davor, dass es pertinente Malware auf Ivanti Systemen geben k\u00f6nnte. Ivanti stellt daher eine aktualisierte Version des Integrit\u00e4tspr\u00fcfungs-Tools zur Verf\u00fcgung, um diese besser erkennen zu k\u00f6nnen. Details finden sich in dieser CERT-Bund-Meldung<\/a>.<\/p>\n Vom BSI gibt es einen Leitfaden \"Weg in die Basis-Absicherung\" (WiBA). Jens Lange weist hier<\/a> darauf hin, dass es jetzt auch eine \"Feuerwehr-Edition\" mit Ampel als Risikoindikator gebe. Mit wenig Aufwand sollen Feuerwehren und deren Leitstellen den Stand zur Informationssicherheit erheben und verbessern k\u00f6nnen. Die Details sind hier<\/a> abrufbar.<\/p>\n Patrick hat mich per Mail ebenfalls darauf hingewiesen: IT-Grundschutz: BSI hilft Feuerwehren bei Informationssicherheit – Der Deutsche Feuerwehrverband und das BSI kooperieren, um vor allem Leit- und Befehlsstellen mit einer Checkliste den Weg in die IT-Basisabsicherung zu ebnen. <\/em>Irgendwie cool, obwohl, einen Haken gibt es noch, auf den Patrick hinweist. Die in Version 1 als Excel-Tabelle ver\u00f6ffentlichte Checkliste fragt \"Ist die Nutzung nicht ben\u00f6tigter Dateiformate untersagt und soweit m\u00f6glich blockiert?\", hei\u00dft es in der Leitlinie. Macht Sinn, und heise hat das auch in Patrick hat mich auch auf die BSI-Seite Der Browser \u2013 Gefahren und Risiken<\/a> hingewiesen, die aber mit Themen wie Flash\/Silverlight & Co. etwas \"aus der Zeit gefallen scheint\".\u00a0 Wie schreibt Patrick: \"informiert das BSI \"aktuell\" zur Cybersicherheit beim Umgang mit dem Browser auch noch \u00fcber den Einsatz von Flash und Silverlight (du erinnerst dich noch daran?). Die ganze Seite wirkt auf mich wie aus vergangenen Jahrzehnten zusammengew\u00fcrfelt und wirft damit die Frage auf, mit welchem Stand der Technik das BSI 2024 arbeitet.\"<\/em><\/p>\n Es gibt eine EU-Verordnung Namens DORA<\/a> (Digital Operational Resilience Act), die die digitale operationale Resilienz des gesamten europ\u00e4ischen Finanzsektors st\u00e4rken soll. Unter bafin.de\/dora<\/a> finden beaufsichtigte Unternehmen seit Oktober 2023 Wissenswertes rund um die EU-Verordnung DORA, wie man auf der zum 19.2. 2024 aktualisierten BAFIN-Seite<\/a> lesen kann.<\/p>\n Der deutschen Polizei und den Strafverfolgern ist die Zerschlagung einer deutschen Plattform Crimemarket im Darknet gelungen, wie die Polizei Nordrhein-Westfalen hier mitteilt<\/a>. Auf der Plattform Crimemarket wurden in verschiedenen Kategorien z.B. Bet\u00e4ubungsmittel, kriminelle Dienstleistungen (z.B. Geldw\u00e4sche, Anleitungen zu Cybercrime-Straftaten), aber auch detaillierte Anleitungen zu schweren Straftaten vertrieben. Neben den Betreibern richten sich die Ermittlungen sowohl gegen die \u00fcber diesen Marktplatz agierenden Anbieter als auch gegen Nutzer.<\/p>\n Das Ermittlungsverfahren gegen die Betreiber l\u00e4uft laut dieser Mitteilung<\/a> seit 2020. Die Nutzerzahl dieser Plattform wird mit \u00fcber 180.000 registrierten Benutzern angegeben. Die Plattform war sowohl \u00fcber das sogenannte Darknet als auch frei \u00fcber das Internet (Clearnet) erreichbar.<\/p>\n Am Donnerstag, 29. Februar 2024, wurden abends zeitgleich bundesweit insgesamt 102 Durchsuchungsbeschl\u00fcsse vollstreckt. Der \u00f6rtliche Schwerpunkt der Ma\u00dfnahmen lag mit 36 Durchsuchungsobjekten vor allem in Nordrhein-Westfalen. Hier wurden insgesamt drei Personen festgenommen, so auch der 23-j\u00e4hrige Hauptbeschuldigte an seiner Wohnanschrift im Rhein-Kreis Neuss (Korschenbroich).<\/p>\n Die Polizei stellte zahlreiche Beweismittel, vor allem Mobiltelefone, IT-Ger\u00e4te und Datentr\u00e4ger sicher. In 21 F\u00e4llen stellten die Beamtinnen und Beamten in Nordrhein-Westfalen Bet\u00e4ubungsmittel, u.a. 1 Kilogramm Marihuana sowie diverse Ecstasy-Tabletten sicher. Es wurden insgesamt knapp 600.000 Euro in Bargeld und beweglichen Verm\u00f6genswerten gepf\u00e4ndet. Durch die Polizei wurden insgesamt drei weitere Personen in anderen Bundesl\u00e4ndern festgenommen. Die Domainadresse ist durch die Polizei beschlagnahmt worden. Jetzt richten sich die Ermittlungen sowohl gegen die \u00fcber den illegalen Marktplatz agierenden Anbieter als auch gegen die Nutzer. Die Auswertung der gesicherten Daten, Dokumente und Beweismittel dauert an. Die Kollegen von Bleeping Computer hatten hier<\/a> berichtet.<\/p>\n Ich hatte berichtet, dass die Webseiten von ALPHV\/BlackCat im Dezember 2023 zerschlagen wurden (siehe FBI\/Strafverfolger legen ALPHV\/Blackcat-Ransomware-Gruppe lahm (Dez. 2023)<\/a>). Die Tage tauchte ALPHV wieder auf (siehe Cyber-News: ALPHV zur\u00fcck; Neue Angriffe auf Neuburg-Schrobenhausen und mehr (Feb. 2024)<\/a>). Jetzt lese ich bei Dominic Alvieri<\/a>, dass die neue BlackCat-Webseite durch eine Beschlagnahmemeldung geblockt wurde.<\/p>\n Die von den Strafverfolgungsbeh\u00f6rden beschlagnahmte alte ALPHV BlackCat-Domain verweist aber auf die neue BlackCat 2 Url-Leak-Site, die funktional ist. Katz- und Maus-Spiel, irgendwie.<\/p>\n Ein Sicherheitsforscher hat eine M\u00f6glichkeit gefunden, wie sich Facebook-Konten mit einem einzelnen Mausklick \u00fcbernehmen lassen. Nicola Krassas hat auf X auf den Artikel hier<\/a> zum Thema verwiesen. Wurde am 30. Januar 2024 gemeldet und ist inzwischen behoben.<\/p>\n Die Tage wurden mir zahlreiche Fundsplitter unter die Augen gesp\u00fclt, die zeigen, wie stark chinesische Hacker- und Spionagegruppen im Gesch\u00e4ft sind und alles und jeden hacken, um die Informationen dem chinesischen Staat anzubieten. Er\u00f6ffnet wurde dies mit einer Reihe von Tweets<\/a> \u00fcber das Leak eines chinesischen APT-Vertragspartners. Aus den Dateien geht hervor, wie Bedrohungsakteure Telekommunikationsunternehmen mit dem Ziel kompromittieren, Teilnehmer-Metadaten zur Unterst\u00fctzung von IC-Zielen zu erhalten.<\/p>\n Von Palo Alto hat die Unit 42 diesen Artikel<\/a> zum Thema publiziert. Dennis Kipker hat in diesem Tweet<\/a> dann auf den AP-News Artikel<\/a> verwiesen, wo das Thema \"Online-Dump von chinesischen Hacking-Dokumenten bietet einen seltenen Einblick in die allgegenw\u00e4rtige staatliche \u00dcberwachung\" aufgegriffen wird. Der Spiegel hat dann im Artikel Chinas Cyberspione<\/a> die Aussp\u00e4hung des Westens (und speziell der USA) durch chinesische Hacker in einem Podcast aufgegriffen.<\/p>\n Und dann gab es noch die Abh\u00f6raktion Russlands von einem zwischen Bundeswehroffizieren gef\u00fchrten Gespr\u00e4ch zum Flugk\u00f6rper TAURUS und dessen Einsatz in der Ukraine. Das Gespr\u00e4ch soll per WebEx gef\u00fchrt worden sein, ein Offizier war aus einem Hotel in Singapur zugeschaltet. Echt nett, so was, kannst Du dir nicht ausdenken. Die Kollegen hier<\/a> haben einige Details dazu.<\/p>\n Ein Blog-Leser hat mich im Diskussionsbereich des Blogs \u00fcber das Thema fehlender Datenschutz beim Mikrozensus in Deutschland aufmerksam gemacht (danke daf\u00fcr). Mike Kuketz hat Andreas B\u00f6rner die M\u00f6glichkeit gegeben, als \"ausgekuckter Teilnehmer dieses Mikrozensus\" seine Eindr\u00fccke bez\u00fcglich des Datenschutzes beim Mikrozensus 2024 zu ver\u00f6ffentlichen<\/a>. Fazit: Datenschutz findet nicht statt, Cybersicherheit ist ein Fremdwort. Ein Skandal.<\/p>\n Abschlie\u00dfend noch ein Hinweis von Thorsten E. \u00fcber nachfolgenden Tweet<\/a>. Die Plattform http:\/\/1ty.me<\/a> bietet den sicheren Austausch sensibler Informationen \u00fcber einmalige, selbstzerst\u00f6rende Links. Sie erm\u00f6glicht es Benutzern, Passw\u00f6rter oder andere sensible Daten sicher zu versenden, ohne unsichere Methoden wie E-Mail oder Instant Messaging zu verwenden.<\/p>\n \u00c4hnliche Artikel:<\/strong> Ivanti Endpoint Manager Schwachstelle CVE-2021-44529: Code-Injection oder Backdoor?<\/a> Heute noch ein Sammelbeitrag zu Sicherheitsthemen, die die Tage so angefallen sind. Ein deutscher Darknet-Marktplatz ging durch die Polizei offline. Es gab mehrere F\u00e4lle von Ransomware, und es liegen neue Erkenntnisse von diesem und jenem Cybervorfall vor. Zudem hat das … Weiterlesen In dieser Woche gab es mehrere Cybervorf\u00e4lle, die ich hier kurz erw\u00e4hnen m\u00f6chte. Zum 28. Februar 2024 hatte ich im Beitrag Cyber-News: ALPHV zur\u00fcck; Neue Angriffe auf Neuburg-Schrobenhausen und mehr (Feb. 2024)<\/a> auch erw\u00e4hnt, dass es meinen Informationen nach einen Cyberangriff auf AEE Europe gegeben hat, bei dem Systeme kompromittiert wurden. Auf den Webseiten des Unternehmens aus \u00d6sterreich, die im Engineering & Construction-Management in Europa aktiv sind, konnte ich bisher nichts zu einem solchen Vorfall finden. Ich habe inzwischen eine Anfrage per Mail an das Unternehmen gestellt. Die wurde auch abgerufen, wie ich am Autoresponder gesehen habe, bisher hat sich das Unternehmen aber einer Antwort enthalten. Ein Dementi ist jedenfalls nicht erfolgt. Aber es gab weitere Sicherheitsvorf\u00e4lle, die die Betroffenen \u00f6ffentlich gemacht haben.<\/p>\n
Sicherheitsvorfall in Bad Schwalbach<\/h3>\n
\n
\nDaher ist die Stadtverwaltung, inklusive aller Au\u00dfenstellen, zurzeit nur telefonisch unter 06124\/500-0 erreichbar.<\/p><\/blockquote>\n![\"Sicherheitsvorfall](\"https:\/\/i.postimg.cc\/5t168GsC\/image.png\" "\\"Sicherheitsvorfall")
<\/a><\/p>\nHochschule Kempten offline<\/h3>\n
Warnungen und Nachbereitungen<\/h2>\n
Untersuchungsbericht zum Cybervorfall Potsdam<\/h3>\n
![\"Untersuchungsbericht](\"https:\/\/i.postimg.cc\/RhWVjvjJ\/image.png\" "\\"Untersuchungsbericht")
<\/a><\/p>\nEuskirchen nach SIT-Vorfall nicht mehr handlungsf\u00e4hig<\/h3>\n
CERT-Warnung vor Ivanti-Schwachstellen<\/h3>\n
![\"CERT-Warnung](\"https:\/\/i.postimg.cc\/J4sXjLYF\/image.png\" "\\"CERT-Warnung")
<\/a><\/p>\nWeg in die Basis-Absicherung f\u00fcr Feuerwehr<\/h3>\n
\nunter anderem den Umgang mit Backups, Updates, Fernwartung, Mail-Clients, Office-Anwendungen und Browsern ab.<\/p>\n
\ndiesem Artikel aufgegriffen<\/a>. Jetzt sind wir Cybersicher bei der Feuerwehr – doch halt, wir brauchen Microsoft Office – wof\u00fcr? Um die Checkliste in Excel ansehen zu k\u00f6nnen.<\/p>\nBSI-Sicherheitsempfehlungen Browser<\/h3>\n
Informationen zu DORA<\/h3>\n
Deutsche Darknet-Plattform Crimemarket zerschlagen<\/h2>\n
AlphV\/BlackCat-Kalamit\u00e4ten<\/h2>\n
![\"AlphV\/BlackCat-Kalamit\u00e4ten\"](\"https:\/\/i.postimg.cc\/Wbpq5dmW\/image.png\" "\\"AlphV\/BlackCat-Kalamit\u00e4ten\\"")
\n<\/a><\/p>\nZero-Click Facebook-Konten-\u00dcbernahme<\/h2>\n
Chinesische Spionage …<\/h2>\n
![\"Chinesische](\"https:\/\/i.postimg.cc\/m2NWVSNM\/image.png\" "\\"Chinesische")
<\/a><\/p>\nDas Taurus-Leak<\/h2>\n
Datenschutz beim Mikrozensus in Deutschland<\/h2>\n
Plattform zum Austausch von Ablauflinks<\/h2>\n
![](\"https:\/\/i.postimg.cc\/C5Jj1k0t\/image.png\")
<\/a><\/p>\n
\nPotsdam offline\u2013Ungereimtheiten erzwingen Server-Shutdown<\/a>
\nCyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?<\/a>
\nVermuteter Cyberangriff auf Stadt Potsdam, Stadtwerke auch offline (29.\/30. Dez. 2022)<\/a>
\nCyber-Desaster: TU-Freiberg down; Stadtverwaltung Potsdam wieder offline, Polizei BW offline und mehr<\/a>
\nCyberangriffe auf die Stadtverwaltung Potsdam und auf Sachsen-Anhalt, ein Blick hinter die Kulissen<\/a><\/p>\n
\nIvantis uralter Software-Klump \u2013 f\u00e4llt auch Sicherheitsforschern auf<\/a>
\nCybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure \"brennt die H\u00fctte\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"