{"id":295064,"date":"2024-05-06T13:07:15","date_gmt":"2024-05-06T11:07:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295064"},"modified":"2024-05-07T01:17:37","modified_gmt":"2024-05-06T23:17:37","slug":"rckblick-cybervorflle-der-letzten-tage-6-mai-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/06\/rckblick-cybervorflle-der-letzten-tage-6-mai-2024\/","title":{"rendered":"R&uuml;ckblick: Cybervorf&auml;lle der letzten Tage (6. Mai 2024)"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\"\/>Heute noch ein kurzer Sammelbeitrag zu diversen Cyberangriffen, die in den letzten Tagen so bekannt wurden, und die ich nicht separat behandeln konnte. Schuhverk\u00e4ufer Salamander ist Opfer einer Ransomware-Attacke geworden. Die Partei SPD&nbsp; stand im Fokus russischer Spione, die die Mails der \"F\u00fchrungsgarde\" mitgelesen haben. Gab aber ein St\u00fcrmchen der politischen Entr\u00fcstung gegen\u00fcber den Russen. Wirklich ganz unsch\u00f6n: Erfolgreiche Cyberangriffe auf Krankenh\u00e4user und soziale Einrichtungen im S\u00fcden Deutschlands (um nicht Bayern schreiben zu m\u00fcssen). Es gab einen Angriff auf die Katholische Jugendf\u00fcrsorge Augsburg. Einfach eine Zusammenfassung des t\u00e4glichen IT-Wahnsinns in Deutschland &#8211; gespickt mit einigen bissigen Kommentaren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/067d3057dd7c423ebf0090c46cbff966\" width=\"1\" height=\"1\"\/>In den letzten Tagen wurden eine Reihe Cybervorf\u00e4lle bekannt, die zeigen, dass die Einschl\u00e4ge n\u00e4her kommen. Die Bundeswehr hat ihre WebEx-Konferenzeinladungen offen im Web ver\u00f6ffentlicht, so dass sich jeder informieren konnte (<a href=\"https:\/\/borncity.com\/blog\/2024\/05\/05\/webex-die-schwachstelle-und-die-konferenzlinks-der-bundeswehr\/\">WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr<\/a>) &#8211; Open-Army mal anders. Und bei Lufthansa-Tochter Swiss gab es eine Datenpanne, wo Passagiere fremde Buchungsdaten einsehen konnten (<a href=\"https:\/\/borncity.com\/blog\/2024\/05\/04\/datenpanne-bei-swiss-lufthansa-fremde-daten-einsehbar-apples-siri-bernimmt\/\">Datenpanne bei Swiss\/Lufthansa: Fremde Daten einsehbar, Apples Siri \u00fcbernimmt<\/a>). Wurde von deren IT zwar nach wenigen Stunden korrigiert, aber hey, Apples Siri hat sich der falschen Daten bem\u00e4chtigt und diese im Kalender der Benutzer weiter gef\u00fchrt &#8211; AI at it's best. Und in Basel ist der Fu\u00dfballklub 1893 <a href=\"https:\/\/borncity.com\/blog\/2024\/05\/03\/fc-basel-1893-erneut-opfer-eines-cyberangriffs-2-mai-2024\/\">Opfer eines Cyberangriffs<\/a> geworden &#8211; wobei die Leute sofort wussten, was alles nicht passiert ist und es nicht so schlimm sei. Dies sind schlie\u00dflich \"Profis\" und werden \u00f6fters gehackt. <\/p>\n<p>In den USA gab es gleich zwei Ransomware-Angriffe auf einen Anbieter von Abrechnungsleistungen im US-Gesundheitssystem (<a href=\"https:\/\/borncity.com\/blog\/2024\/05\/03\/desaster-cyberangriff-auf-change-healthcare-der-unitedhealth-group\/\">Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group<\/a>). Gestohlene Zugangsdaten f\u00fcr einen Remote-Zugang \u00fcber ein Citrix-System, welches nicht per 2FA gesichert war, machte es m\u00f6glich. Der Fall brachte die medizinische Versorgung in den USA an den Rand des Kollaps, weil Abrechnungen nicht mehr erstellt werden konnten. Die Kosten der Vorf\u00e4lle \u00fcbersteigt wohl bereits die 1 Milliarde US-Dollar und der Fall wird weiter Wellen schlagen. In diesem Beitrag hatte ich auch angedeutet, dass Cybervorf\u00e4lle bald nicht mehr versicherbar seien.<\/p>\n<blockquote>\n<p>Im August 2023 hatte ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/23\/cloudnordic-ransomware-und-pltzlich-war-die-dnische-cloud-ausgeknipst\/\">CloudNordic: Ransomware, und pl\u00f6tzlich war die d\u00e4nische Cloud ausgeknipst<\/a> \u00fcber einen erfolgreichen Angriff auf einen Cloud-Betreiber berichtet. Denen hat der Vorgang \u00fcbrigens das Genick gebrochen, die sind pleite gegangen, wie u.a. Golem <a href=\"https:\/\/www.golem.de\/news\/worst-case-szenario-tritt-ein-cloudanbieter-geht-durch-hackerangriff-pleite-2404-184481.html\" target=\"_blank\" rel=\"noopener\">berichtet<\/a>. <\/p>\n<\/blockquote>\n<p>M\u00fcssen wir uns langsam Sorgen machen? Wohl eher nicht, denn Microsoft hat eingestanden, dass man immanent wichtig f\u00fcr die IT sei und dann man jetzt wirklich, also echt, was in Sachen Cybersicherheit unternehmen wolle. Es gibt eine \"Secure Future Initiative\" bei Microsoft, die alles umkrempelt. Ich habe einige Informationen und Gedanken zu diesem Thema im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/05\/04\/microsoft-macht-ab-sofort-security-zur-top-prioritt\/\">Microsoft macht ab sofort Security zur Top Priorit\u00e4t<\/a> zusammen geschrieben. Wer Spuren von Satire findet, kann die behalten. Aber schauen wir, was sonst so liegen geblieben ist. <\/p>\n<h2>Cyberangriff auf Salamander-Schuhe<\/h2>\n<p>Wer aktuell die Webseiten des Schuhverk\u00e4ufers Salamander besucht, erf\u00e4hrt, dass diese zur Zeit offline sind. Es wird mitgeteilt, dass der \"Onlineshop vor\u00fcbergehend aus technischen Gr\u00fcnden nicht erreichbar ist.\" Nat\u00fcrlich arbeiten die Leute mit Hochdruck daran, die Probleme zu beheben und den Onlineshop so schnell wie m\u00f6glich wieder zug\u00e4nglich zu machen. Und wer dringend Schuhe braucht, es gibt noch Salamander-Filialen, wo man so einfach vorbei gehen und Schuhe anprobieren und ger\u00fcchteweise sogar kaufen kann.<img decoding=\"async\" title=\"Salamander-Schuhe offline\" alt=\"Salamander-Schuhe offline\" src=\"https:\/\/i.postimg.cc\/rpRFhLk1\/image.png\"\/><\/p>\n<p>Der tiefere Hintergrund des Ganzen wurde Ende letzter Woche bekannt: Es gab eine Cyberattacke auf den Schuhverk\u00e4ufer, worauf dieser die Systeme heruntergefahren hat. Die Kollegen von heise haben es in <a href=\"https:\/\/www.heise.de\/news\/Schuhhaendler-Salamander-nach-Cyberattacke-offline-9707690.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> etwas detaillierter aufgegriffen. Das \"vor\u00fcbergehend offline\" des Online-Shops dauert wohl nach den Snapshots der \"Wayback Machine\" bereits seit dem 19. April 2024 an. Der Betreiber des Shops und der Filialen, die Klauser Gmbh &amp; Co KG, hat mit gr\u00f6\u00dferen Problemen zu k\u00e4mpfen, die auch die IT in den Filialen und die Logistik betreffen. Details lassen sich bei heise nachlesen.<\/p>\n<h2>Angriff auf Katholische Jugendf\u00fcrsorge Augsburg<\/h2>\n<p>Ein Blog-Leser hat mich auf einen erfolgreichen Cyberangriff auf die auf Katholische Jugendf\u00fcrsorge Augsburg (KJF) aufmerksam gemacht. Die Katholische Jugendf\u00fcrsorge ist, laut Eigenaussage, eines der gr\u00f6\u00dften Sozialunternehmen in Bayern. Auf der Webseite des Unternehmens hei\u00dft es unter der Rubrik \"<a href=\"https:\/\/www.kjf-augsburg.de\/cyberangriff\/\" target=\"_blank\" rel=\"noopener\">Cyberangriff auf KJF Augsburg<\/a>\", dass die Zentrale der Katholischen Jugendf\u00fcrsorge der Di\u00f6zese Augsburg e. V. (KJF Augsburg) bereits am 17.04.2024 Ziel eines Cyberangriffs geworden ist. Erstaunt stellt man fest, dass es den Angreifern gelang, die Sicherheitsschranken zu \u00fcberwinden, um sich Zugriff auf Teile der IT-Infrastruktur zu verschaffen. <\/p>\n<p>Schaue ich mir die Liste der Betroffen an, hat es richtig reingeschlagen. Neben der Zentrale der KJF Augsburg sind folgende, zur KJF Augsburg geh\u00f6rigen Kliniken, Einrichtungen und verbundene Unternehmen in Mitleidenschaft gezogen worden:<\/p>\n<ul>\n<li>KJF Klinik Josefinum gGmbH in Augsburg mit den Au\u00dfenstellen Kempten und N\u00f6rdlingen  <\/li>\n<li>Klinik Hochried in Murnau  <\/li>\n<li>Alpenklinik Santa Maria in Oberjoch  <\/li>\n<li>Fachklinik Prinzregent Luitpold in Scheidegg  <\/li>\n<li>KJF Soziale Angebote Nordschwaben  <\/li>\n<li>KJF Soziale Angebote Allg\u00e4u  <\/li>\n<li>KJF Soziale Angebote Ostallg\u00e4u-Oberland  <\/li>\n<li>Fr\u00e8re-Roger-Kinderzentrum gGmbH in Augsburg mit Kinder- und Jugendhilfe Augsburg sowie Kinder- und Jugendhilfe Wittelsbacher Land  <\/li>\n<li>KJF Berufsbildungs- und Jugendhilfezentrum Sankt Elisabeth in Augsburg  <\/li>\n<li>IFD Schwaben gGmbH mit verschiedenen Standorten in Schwaben  <\/li>\n<li>InHoga gGmbH mit Standorten in Augsburg und Kempten  <\/li>\n<li>St. Franziskus Jugendhilfe gGmbH mit dem Sankt-Franziskus-Therapiehof in Buchenberg  <\/li>\n<li>skywalk allg\u00e4u gGmbH in Scheidegg  <\/li>\n<li>KJF Fachschule f\u00fcr Heilerziehungspflege- und Heilerziehungspflegehilfe Augsburg  <\/li>\n<li>KJF Fachschule f\u00fcr Heilerziehungspflege- und Heilerziehungspflegehilfe D\u00fcrrlauingen  <\/li>\n<li>KJF Fachschule f\u00fcr Heilerziehungspflege Kempten  <\/li>\n<li>KJF Fachakademie f\u00fcr Heilp\u00e4dagogik in Augsburg<\/li>\n<\/ul>\n<p>Auch folgende, ehemals zur KJF Augsburg geh\u00f6renden medizinischen Einrichtungen und Kliniken sind betroffen: <\/p>\n<ul>\n<li>Klinik St. Elisabeth GmbH in Neuburg a. d. Donau  <\/li>\n<li>Medizinisches Versorgungszentrum GmbH in Neuburg a. d. Donau  <\/li>\n<li>Klinik Neuburg Service GmbH<\/li>\n<\/ul>\n<p>Kann man zur Kenntnis nehmen, das bisschen IT-Ausfall ist doof. Aber die gravierendere Information findet sich aber im Satz \"Im Rahmen des Angriffs sind Daten abgeflossen.\", wobei es sich um unterschiedliche Arten von Daten handelt. Explizit genannt werden zum Beispiel Personaldaten und Finanzdaten, Patientendaten und Gesundheitsdaten (aber keine Patientenakten oder Arztbriefe). <\/p>\n<p>Alle IT-Systeme der Einrichtung seien seit dem Vorfall fortlaufend unter \u00dcberwachung. Die Meldung an die zust\u00e4ndigen staatlichen Stellen und Aufsichtsbeh\u00f6rden ist erfolgt, mit denen die KJF Augsburg im laufenden Austausch \u00fcber das weitere Vorgehen ist. Der externe Datenschutzbeauftragte der KJF Augsburg, Rechtsanwalt Thomas Costard, wurde unverz\u00fcglich \u00fcber den IT-Sicherheitsvorfall informiert und begleitet das weitere Vorgehen. Er hat die zust\u00e4ndige kirchliche Aufsichtsbeh\u00f6rde f\u00fcr den Datenschutz innerhalb der gesetzlich vorgeschriebenen Frist von 72 Stunden \u00fcber den IT-Sicherheitsvorfall informiert, hei\u00dft es. <\/p>\n<p>Die obige Liste der betroffenen Einrichtungen l\u00e4sst Schlimmes bef\u00fcrchten &#8211; wenn eine Ransomware-Gruppe f\u00fcr den Angriff verantwortlich ist, d\u00fcrften die Daten im Darknet auftauchen. Allerdings schreibt die Einrichtung, dass keine Behandlungsdokumentationen oder Arztbriefe entwendet wurden. Noch haben wir keine elektronische Patientenakte, wo so etwas zentral gespeichert wird. <\/p>\n<p>Mir sprang in diesem Kontext sofort der Fall aus Finnland in den Sinn (siehe <a href=\"https:\/\/borncity.com\/blog\/2020\/10\/28\/rki-war-opfer-eines-ddos-angriffs\/\">DDoS-Angriff auf das RKI, und Hacker erbeuten finnische Psychotherapie-Patientendaten<\/a>). Die Tage las ich (z.B. <a href=\"http:\/\/Finnland: Cyberkrimineller und Erpresser zu Gef&auml;ngnisstrafe verurteilt\" target=\"_blank\" rel=\"noopener\">hier<\/a>), dass der betreffende Hacker gerade von einem finnischen Gericht zu einer geringen Gef\u00e4ngnisstrafe verurteilt wurde. Im Forum von heise weist ein <a href=\"https:\/\/www.heise.de\/forum\/heise-online\/Kommentare\/Finnland-Cyberkrimineller-und-Erpresser-zu-Gefaengnisstrafe-verurteilt\/Heise-Dieser-Verbrecher-hat-einige-Menschen-in-den-Suizid-getrieben\/posting-43957564\/show\/\" target=\"_blank\" rel=\"noopener\">Kommentar<\/a> auf <a href=\"https:\/\/yle.fi\/a\/74-20077285\" target=\"_blank\" rel=\"noopener\">diesen englischsprachigen Beitrag<\/a>, der den Suizid einiger der Opfer thematisiert, und spricht auch das \"bald ist alles in der elektronischen Patientenakte und es wird dort zu Datenlecks kommen\" an).&nbsp; <\/p>\n<p>Der BR greift das Thema in <a href=\"https:\/\/www.br.de\/nachrichten\/bayern\/warum-hacker-auf-die-gesundheitsbranche-zielen,UBicwDf\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> auf und stellt die Frage, warum Hacker auf die Gesundheitsbranche und soziale Einrichtungen zielen. Als einer der Gr\u00fcnde f\u00fcr steigende Risiken sieht der BR \"die Sparflamme in der IT\". IT-Experte Dominik Merli von der Technischen Hochschule Augsburg f\u00fchrt an, dass besonders soziale Unternehmen durch ihre historisch gewachsene IT-Infrastruktur und komplexe Systeme anf\u00e4llig f\u00fcr solche Angriffe sind. \"Oftmals sind die IT-Budgets nicht \u00fcberm\u00e4\u00dfig gro\u00df, was die Wahrscheinlichkeit erh\u00f6ht, dass Sicherheitsl\u00fccken unentdeckt bleiben\", so Merli.<\/p>\n<p><a href=\"https:\/\/www.br.de\/nachrichten\/bayern\/warum-hacker-auf-die-gesundheitsbranche-zielen,UBicwDf\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Cyberangriff auf Gesundheitssektor\" alt=\"Cyberangriff auf Gesundheitssektor\" src=\"https:\/\/i.postimg.cc\/X7Fy5GN4\/image.png\"\/><\/a><\/p>\n<p>Obiger Tweet von Sicherheitsexperte Prof. Dennis Kipker weist ebenfalls auf diesen BR-Beitrag hin. Ich habe mal zwei Antworten auf den initialen Tweet in obigem Screenshot ber\u00fccksichtigt. Diese thematisieren, dass die \"historisch gewachsene IT-Infrastruktur\" einfach Kacke ist, aber genutzt wird, solange noch irgend etwas funktioniert. Und das Thema Telematik Infrastruktur der gematik sowie elektronische Patientenakte tauchen ebenfalls als ironisch gepostete \"L\u00f6sung der Probleme\" auf.&nbsp; <\/p>\n<h2>RUBYCARP: Rum\u00e4nische Botnet-Operation<\/h2>\n<p>Mitte April 2024 ist mir bereits eine Meldung des Sysdig Threat Research Team (Sysdig TRT) zugegangen, die eine ausgekl\u00fcgelte und lang andauernde (\u00fcber ein Jahrzehnt dauernde) Botnet-Operation aufgedeckt haben. Dahinter steckt ein rum\u00e4nische Gruppe von Bedrohungsakteuren namens RUBYCARP. Die Aktivit\u00e4ten von RUBYCARP zielen in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt wird, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen Laravel- und WordPress-Anwendungen laufen. \u00dcber einen Honeypot konnte Sysdig der Gruppe auf die Spur kommen. Die detaillierte Analyse l\u00e4sst sich <a href=\"https:\/\/sysdig.com\/blog\/rubycarp-romanian-botnet-group\/\" target=\"_blank\" rel=\"noopener\">hier nachlesen<\/a>. <\/p>\n<h2>Ankama Games verr\u00e4t Passw\u00f6rter<\/h2>\n<p>Der franz\u00f6sische Spielehersteller Ankama Games, der die beiden Web-basierenden Spiele \"Play Glory\" und \"Play Astra\" entwickelt und anbietet, hat sich einen fetten Lapsus geleistet. Das Cybernews-Rechercheteam hat herausgefunden, dass die beiden Spiele versehentlich die Passw\u00f6rter von 50.000 Spielern verraten haben. Es wurde eine entsprechende, ungesch\u00fctzte Datenbank, frei im Internet gefunden. <\/p>\n<p>Zu den gefunden Daten geh\u00f6rten Benutzernamen, Kennw\u00f6rter, Sicherheitsfragen, Antworten, Abonnementstatus und Ablaufdaten von Abonnements &#8211; alles im Klartext gespeichert, was es Angreifern leicht macht, Benutzerkonten zu kapern. Tools wie Sherlock k\u00f6nnen Konten identifizieren, die ein und derselben Person geh\u00f6ren, und mit Hilfe der entwendeten Passw\u00f6rter Angriffe auf die Zugangsdaten starten. Dass Antworten auf Sicherheitsfragen f\u00fcr mehrere Onlinekonten verwendet werden, ist nat\u00fcrlich. Das erm\u00f6glicht es Angreifern, Passw\u00f6rter zur\u00fcckzusetzen und rechtm\u00e4\u00dfige Benutzer auszusperren.<\/p>\n<p>Die Datenbank enthielt auch Proxy-Adressen und Anmeldedaten, die Angreifer ausnutzen k\u00f6nnen, um Angriffe mit den Ressourcen einer anderen Person auszuf\u00fchren. Die Verwendung kompromittierter Proxy-Adressen und Zugangsdaten erschwert es, die Quelle des Angriffs bis zum Angreifer zur\u00fcckzuverfolgen, hei\u00dft es. Der Vorgang wurde bereits Anfang April 2024 in <a href=\"https:\/\/web.archive.org\/web\/20230402223031\/https:\/\/cybernews.com\/security\/gamer-password-leak\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> \u00f6ffentlich gemacht. <\/p>\n<h2>Was kostet die Weitergabe von 100 Mio. Daten?<\/h2>\n<p>In diesem Kontext muss ich (neben der oben erw\u00e4hnten Strafe gegen einen finnischen Hacker) noch ein \"weiteres Schn\u00e4ppchen\" aufgreifen. Anfang 2020 hatte ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/28\/leak-enthllt-avast-nutzerdaten-wurden-verkauft\/\">Leak enth\u00fcllt: Avast-Nutzerdaten wurden verkauft<\/a> berichtet, dass Sicherheitsanbieter Avast \u00fcber seine Tochtergesellschaft Jumpshot Daten von 100 Millionen Nutzer gesammelt und an Datenbroker verkauft hat. Jumpshot wurde dann aufgel\u00f6st (siehe <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/30\/avast-nach-datenskandal-aus-fr-jumpshot-verkndet\/\">AVAST: Nach Datenskandal 'Aus f\u00fcr Jumpshot' verk\u00fcndet<\/a>). <\/p>\n<p>Aber was kostet ein solcher Vorgang, der schon kriminelle Energie und Vorsatz erfordert, das betreffende Unternehmen? In den USA hatte dieUS-Handelsbeh\u00f6rde (FTC) im Februar 2024 vorgeschlagen, das Unternehmen AVAST zu einer Strafe von 16,5 Millionen Dollar zu verurteilen und den Verkauf von Daten zu verbieten. In Europa ist man schon weiter die tschechische Datenschutzbeh\u00f6rde hat nach f\u00fcnf Jahren Verfahrensdauer eine Geldbu\u00dfe von 13,9 Millionen Euro wegen DSGVO-Verst\u00f6\u00dfen verh\u00e4ngt. <\/p>\n<p>heise berichtet zum Beispiel <a href=\"https:\/\/www.heise.de\/news\/Tschechien-Datenschutzbehoerde-verdonnert-Avast-zu-13-9-Millionen-Euro-Strafe-9707824.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> \u00fcber diesen Sachverhalt &#8211; dass die Verm\u00f6genswerte, die AVAST durch die Aktion erlangt hat, eingezogen wurden, habe ich bisher noch nirgendwo gelesen. Scheint immer noch so eine Art \"Sonderangebot\" zu sein, mal eben Daten von Nutzern zu sammeln und zu verkaufen &#8211; in den USA g\u00e4ngige Praxis, und dort regt sich nur ganz langsam Widerstand. <\/p>\n<h2>Von roten KI-Ampeln und Stra\u00dfenlaternen<\/h2>\n<p>Gibt noch zwei absolute Gaga-Meldungen, die ich der Leserschaft nicht vorenthalten m\u00f6chte &#8211; die aber zeigen, auf welcher absch\u00fcssigen Bahn wir uns mit der IT bewegen.<\/p>\n<p><a href=\"https:\/\/www.golem.de\/news\/nach-cyberangriff-stadt-kann-strassenbeleuchtung-nicht-abschalten-2404-184429.html\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/j27P244N\/image.png\" width=\"521\" height=\"527\"\/><\/a><\/p>\n<p>In der britischen Stadt Leicester kann die Stadtverwaltung die Stra\u00dfenbeleuchtung in einigen Bereichen nicht mehr abschalten. Hintergrund ist ein Ransomware-Angriff auf die kommunalen die IT-Systeme im M\u00e4rz 2024. In Folge gibt es technische Probleme und die Verantwortlichen haben wohl keinen Zugriff mehr auf die Systeme, um die Stra\u00dfenbeleuchtung sauber ein- und ausschalten zu k\u00f6nnen. <\/p>\n<p>Zweiter Splitter: In der Stadt Hamm in Nordrhein-Westfalen agiert man progressive und setzt bei der Verkehrsregelung auf eine \"k\u00fcnstliche Intelligenz\" zur Ampelsteuerung. Klasse Sache, lasst das Teil mal halluzinieren und schauen wir mal, was bei heraus kommt. Die Verkehrsteilnehmer werden dabei allerdings auf eine harte Probe gestellt, da eine KI-Ampel zeigt Autofahrern immer wieder grundlos Dauerrot zeigt. Spiegel Online hat das Thema <a href=\"https:\/\/www.spiegel.de\/netzwelt\/hamm-in-nrw-eine-ki-zeigt-rot-a-1204a144-b223-4612-b0b5-4f46fba6b515\" target=\"_blank\" rel=\"noopener\">hier<\/a> aufgespie\u00dft. <\/p>\n<h2>Der Cyberangriff auf die SPD<\/h2>\n<p>Und dann gab es noch ein echtes Aufregerthema. Unser herzallerliebste Partei, die alte Tante SPD, stand im Fokus russischer Spione (Ok, man hat nur die Mails der \"F\u00fchrungsgarde\" mitlesen wollen). Passiert sein muss es Ende 2022, denn im Januar 2023 fiel in der SPD-Parteizentrale in Berlin auf, dass Hacker in die IT eingedrungen waren &#8211; sp\u00e4ter lie\u00df sich der Abfluss von E-Mails aus bestimmen Postf\u00e4chern feststellen. Bekannt ist, dass die Leutchen bei der SPD auf das alternativlose Microsoft Outlook setzen, was aber leider eine Sicherheitsl\u00fccke aufwies, wie heise in <a href=\"https:\/\/www.heise.de\/news\/Cyberattacke-auf-SPD-und-andere-Russische-Angreifer-nutzten-Outlook-Luecke-9707712.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> deriviert. <\/p>\n<p><a href=\"https:\/\/www.heise.de\/news\/Cyberattacke-auf-SPD-und-andere-Russische-Angreifer-nutzten-Outlook-Luecke-9707712.html\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/8C4Fz08x\/image.png\"\/><\/a><\/p>\n<p>Die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2023-23397\" target=\"_blank\" rel=\"noopener\">CVE-2023-23397<\/a> war Microsoft seit M\u00e4rz 2023 bekannt, wurde aber erst im Mai 2023 gepatcht, siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/05\/11\/microsoft-patcht-outlook-schwachstelle-cve-2023-29325\/\">Microsoft patcht Outlook-Schwachstelle CVE-2023-29325<\/a>. Wer hier im Blog nach der CVE sucht, findet weitere Artikel, da die Schwachstelle mit dem ersten Update nicht vollst\u00e4ndig gepatcht war. Auch die russische Hackergruppe APT28 (besser bekannt als Fancy Bear oder Strontium, und dem Milit\u00e4rgeheimdienstes GRU zugeordnet) kannte die Schwachstelle. <\/p>\n<p>Und diese p\u00f6se Grupp APT28 hat dann eine Kampagne von Cyberangriffen gefahren, die u.a. sich auch gegen die <abbr>SPD<\/abbr>-Parteizentrale richtete (teilt Innenministerin Nancy Faser, selbst SPD, auf <a href=\"https:\/\/www.bmi.bund.de\/SharedDocs\/pressemitteilungen\/DE\/2024\/05\/aktuelle-Cyberangriffe.html\">dieser Webseite<\/a> mit). Ausspionieren unter Freunden geht gar nicht! Ich glaube, ich bin da im Text verrutscht, diese Aussage war fr\u00fcher unter Bundeskanzlerin Merkel. <\/p>\n<p>Jedenfalls kann Au\u00dfenministerin Baerbock den Namen der Gruppe APT28 fehlerfrei aussprechen und hat den russischen Botschafter einbestellt. Die Bundesregierung droht sogar mit Konsequenzen, wie man <a href=\"https:\/\/www.rnd.de\/politik\/russlands-hackerangriff-auf-deutschland-bundesregierung-droht-mit-konsequenzen-FKRBQRIVNNHZHDTMVTUBPIXHRM.html\" target=\"_blank\" rel=\"noopener\">hier bei RND nachlesen<\/a> kann. \"Wir k\u00f6nnen diesen Angriff vom letzten Jahr heute eindeutig der Gruppe APT28 zuordnen, die vom russischen Geheimdienst GRU gesteuert wird\", sagte Baerbock laut RDN. \"Das ist v\u00f6llig inakzeptabel und wird nicht ohne Konsequenzen bleiben.\"<\/p>\n<p>Es gab also ein St\u00fcrmchen der politischen Entr\u00fcstung gegen\u00fcber den Russen &#8211; mir berichtete ein Einheimischer aus Wladiwostok, dass jemand vor Lachen vom Stuhl gefallen sei und sich dabei den Kopf arg angeschlagen habe. Mir fiel dazu ein: Die SPD muss einfach mehr Diplomatie wagen. Aber das ist schon etwas fies &#8211; daher verlinke ich einfach mal auf den sch\u00f6nen Kommentar von heise <a href=\"https:\/\/www.heise.de\/news\/Kommentar-zur-Debatte-um-IT-Sicherheit-Die-Empoerten-sind-nackt-9708160.html\" target=\"_blank\" rel=\"noopener\">Kommentar zur Debatte \u00fcber IT-Sicherheit: \"Die Emp\u00f6rten sind nackt\u200b<\/a>, der die Situation aufgreift. Warum geht mir nur \"der Fisch stinkt vom Kopf her\" dazu ein?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heute noch ein kurzer Sammelbeitrag zu diversen Cyberangriffen, die in den letzten Tagen so bekannt wurden, und die ich nicht separat behandeln konnte. Schuhverk\u00e4ufer Salamander ist Opfer einer Ransomware-Attacke geworden. Die Partei SPD&nbsp; stand im Fokus russischer Spione, die die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/05\/06\/rckblick-cybervorflle-der-letzten-tage-6-mai-2024\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-295064","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295064","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295064"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295064\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295064"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295064"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295064"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}