Kommunen gehackt - wir bleiben dran am Fall der Südwestfalen-IT (SIT) - Teil 2

Oder auch: wer den Schaden hat, braucht für den Spott nicht zu sorgen. Doch hierzu an entsprechender Stelle mehr. Bereits Mitte November hatten wir auf unserem Blog von dem weitreichenden Hack auf die Südwestfalen-IT berichtet, der mittlerweile Auswirkungen auf mehr als 150 Kommunen hat. Wir wollen unseren Lesern ein Update zum weiteren Verlauf des Hacks geben und ihnen erzählen was wir über die Ursachen und die Drahtzieher wissen. Vor allen Dingen jedoch müssen wir über die gravierenden Sicherheitslücken sprechen, die diesen erfolgreichen Angriff überhaupt erst möglich gemacht haben und was dies für die Zukunft des verantwortlichen IT-Unternehmens und der betroffenen Kommunen bedeutet.

Am 29.10.2023 wurde das IT-Unternehmen Südwestfalen-IT Gegenstand einer Cyberattacke, die sich letztlich als Ransomware-Angriff herausstellte.

Was ist Ransomware?

Dies ist eine Form der Cyberkriminalität, bei der - häufig als Gruppe agierende - Angreifer ein IT-System über Schwachstellen infiltrieren und dabei versuchen, sämtliche Daten einschließlich Backups zu verschlüsseln und anschließend Lösegeld zu erpressen. Zusätzlich drohen sie mitunter an, den Vorfall öffentlich zu machen bzw. bei Datenschutzbehörden anzuzeigen, sodass weitere Kosten wie z.B. Bußgelder entstehen würden.

Welches Ausmaß hat der Angriff?

Von dem Hack betroffen waren und sind immer noch weit über einhundert Kommunen bzw. Verwaltungen, bei denen zeitweise alles still stand. Es gab keine Verbindung zum Internet, Telefonanrufe konnten nicht entgegengenommen werden, die Zulassung von Kraftfahrzeugen war ebenso nicht möglich wie beispielsweise der Einzug von Kindergartengebühren; kurzum: nichts ging mehr. Folglich schlossen sogar einige Kommunen ihre Rathäuser, denn sie waren für den Bürger schlicht nicht einsatzfähig. Was dies alles bedeutet, kann sich sicher jeder ausmalen. Dass Deutschland in puncto IT-Sicherheit nicht gut aufgestellt ist, ist bekannt und wir haben hier bereits darüber berichtet weshalb dies insbesondere im Bereich der Kritischen Infrastrukturen besonders gefährlich ist. Je nach Quelle gehen wir inzwischen davon aus, dass zwischen 126 und 153 Kommunen bzw. Organisationen betroffen sind. Welche dies genau sind, können Sie hier nachlesen oder auf der interaktiven Karte unten einsehen (Klick auf Bild). Diese bildet Cyberangriffe auf öffentliche Verwaltungen in ganz Deutschland ab.

Was wissen wir inzwischen über die Angreifer?

Hinter der Attacke steckt wohl mehreren Indizien zufolge die aufstrebende Hackergruppe namens Akira. Hierauf deuten sowohl entsprechende gefundene Datei-Endungen (.akira) als auch die Vorgehensweise hin. Beides hat die IT-Forensik im Rahmen der Aufarbeitung des Vorfalls festgestellt. Akira behauptet von sich, allein im Jahr 2023 bereits 60 große Unternehmen gehackt zu haben. Mutmaßungen zufolge könnte die Gruppe ihre Wurzeln im osteuropäischen Raum oder Russland haben. Im letzteren Fall ist es nicht undenkbar, dass sie zumindest unter Billigung der russischen Regierung operiert. Wer sich für die genaue Vorgehensweise von Akira interessiert, sollte sich diese Analyse von Sophos durchlesen.

Bildquelle: https://mits.nrw/2023/hackerangriff-auf-it-dienstleister-sit/

Und wie konnten sie in die Systeme eindringen? 

Hier wird es spannend! Während die Südwestfalen-IT behauptet, sie hätten den Hack sozusagen in "Echtzeit" mitbekommen und daraufhin sämtliche Systeme heruntergefahren, scheint die Wahrheit anders auszusehen: Aktuellen Erkenntnissen zufolge blieb die Infiltration der Systeme knapp zwei Wochen lang unbemerkt. Zwei Wochen, in denen die Angreifer immer wieder von Servern in den USA und den Niederlanden auf das Netzwerk zuzugreifen versuchten und schließlich wohl über eine Schwachstelle in der VPN-Software erfolgreich waren. Bemerkt worden ist dies alles von keiner Sicherheitssoftware, sondern im Zuge einer fehlgeschlagenen polizeilichen Abfrage auf dem Netzwerk. Es waren also letztlich Menschen, die den Ausfall bemerkten und das erst, als alles schon zu spät war.

Gravierende Fehler des IT-Dienstleisters haben es möglich gemacht

Um hier IT-technisch nicht zu weit auszuufern, liefern wir eine knappe Auflistung der bislang offenkundigen Versäumnisse bzw. Fehler der SIT und ordnen diese im Anschluss ein: 

• unbefugte Nutzung von VPN-Zugängen ermöglicht (keine Zwei Faktor-Authentifizierung eingerichtet
• zahlreiche (über 100) VPN-Zugriffe aus den USA nicht als Angriff erkannt
• SIT verwendete ungepatchte Cisco-Software (Firewall), obwohl Sicherheitlücken und Zero-Day-Schwachstellen bereits bekannt waren und teilweise Patches hierfür zur Verfügung gestanden hätten. Es war ebenfalls seit 09/2023 bekannt, dass diese Sicherheitslücken von Hackergruppen bereits ausgenutzt werden
• Administrator-Konten konnten über VPN-Verbindung aufgerufen werden und waren nicht gesondert gesichert

Vereinfacht kann man sagen, dass die Angreifer die Möglichkeit hatten, mittels eines Brute-Force-Angriffs auf den VPN-Client in das Netzwerk einzudringen. Und im zweiten Schritt auf ein Netzwerk stießen, dass jeden, der einmal Zutritt erlangt hatte als "Freund" behandelte. Nun stießen sie in einem Textdokument auf das Administratorpasswort, welches dort vor ewigen Zeiten einmal abgelegt worden war und erhöhten sich die Rechte zum Domainadministrator. Ab diesem Punkt hatten sie also umfassende Rechte und warteten nur noch auf einen Zeitpunkt um final zuzuschlagen. In der Regel wird versucht, an sensible Daten zu gelangen und diese zu entwenden, um neben der Verschlüsselung der Daten noch ein weiteres Druckmittel in der Hand zu haben, die Lösegeldzahlung zu erzwingen. Der gesamte Forensik-Bericht zur gehackten Südwestfalen-IT lässt sich hier nachlesen. 

Mittlerweile brüstet sich SIT mit der im Zuge des Hacks gezeigten "schnellen Reaktion", die weiteren Schaden habe abwenden können.

"Schnelle Reaktion verhinderte weitere Ausbreitung:
Die Südwestfalen-IT dämmte den Angriff durch unverzügliches Herunterfahren und Isolieren der betroffenen Systeme ein. Direkt danach wurden externe, BSI-zertifizierte Cyber-Security-Experten mit der forensischen Untersuchung und dem Wiederaufbau der Infrastruktur beauftragt."   Quelle

Wir wissen jedoch inzwischen, dass dies nur Augenwischerei ist.

Ebenso beschönigend dargestellt wird die Ausnutzung des Zero-Day-Exploits, die man als gottgegeben hinnimmt. Für den nicht installierten Patch hierfür scheint man sich demnach nicht verantwortlich zu fühlen, denn so heißt es auf der Website zur Aufklärung des Vorfalls: 

Angriff auf zentrale Windows-Domäne:
[...]Den Zugang zum internen Netzwerk erlangten die Angreifer über eine softwarebasierte VPN-Lösung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte. Auf welchem Weg die dafür benötigten Zugangsdaten abgegriffen wurden, konnte nicht abschließend aufgeklärt werden. [...]   Quelle zum Zitat 
Quelle zur Widerlegung

Und so wirkt denn auch folgendes Statement mindestens wie Ignoranz und Unwilligkeit, echte Verantwortung zu übernehmen- schlimmstenfalls sogar wie Hohn: 

Erkenntnisse aus Forensik-Bericht bei Wiederaufbau berücksichtigt
„Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren.“ so Theo Melcher. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen  Netzwerkbereichen und Domänen weiter zu verstärken. Zugleich kann der forensische Bericht anderen helfen, aus dem Vorfall bei der Südwestfalen-IT zu lernen. Die Transparenz, die wir durch die Veröffentlichung des Berichts herstellen, nutzt allen.“ Quelle 

Finanzielle Folgen

Neben den direkt mit dem Hack verbundenen Kosten, steht demnach auch eine saftige Gebührenerhöhung für die Mitgliedskommunen ins Haus. An dieser Stelle gilt also wohl: Wer den Schaden hat, muss für die Mehrkosten nicht sorgen. Die kommen in diesem Fall von ganz allein. Dies lässt sich anhand eines Beispiels nur einer betroffenen Kommune bereits zeigen.

Der Abschluss einer entsprechenden Cyberversicherung war kurz vor dem erfolgreichen Hackerangriff von Kommunen und SIT abgelehnt worden. Im konkreten Fall wäre jedoch ohnehin natürlich fraglich, ob und inwieweit diese für die entstandenen Schäden eingetreten wäre.

Reputationsschaden und personelle Folgen

Zum 01.02.2024 hat die Südwestfalen-IT einen neuen Geschäftsführer eingesetzt, der sich zum Ziel gesetzt hat, den Vorfall aufzuarbeiten und verlorenes Vertrauen zurückzugewinnen. Wie genau das passieren soll, bleibt unklar. Klar ist hingegen, dass der Angriff dem Ansehen des Unternehmens immens geschadet hat und dass die SIT als Arbeitgeber offenbar massive Personalabwanderung verzeichnet. In einstimmigen Bewertungen auf dem Arbeitgeber-Bewertungs-Portal Kununu wird das Arbeitsklima seit geraumer Zeit als mangelhaft, der Führungsstil als zweifelhaft und SIT als nicht empfehlenswerter Arbeitgeber beschrieben. Dies einmal nachzulesen und dabei auch zu erfahren, wie aktuelle oder ehemalige Mitarbeiter insbesondere über den Hackerangriff denken, ist eine sehr authentische und aufschlussreiche Lektüre. 

Fazit

Zusammenfassend lässt sich sagen, dass der Hackerangriff auf die Südwestfalen-IT und die betroffenen Kommunen schwerwiegende Folgen hatte, sowohl finanziell als auch in Bezug auf das Vertrauen der Bürger und Mitarbeiter. Die Schwachstellen in der IT-Sicherheit und die unzureichenden Maßnahmen des IT-Dienstleisters haben den Angreifern Tür und Tor geöffnet. Es ist wichtig, aus solchen Vorfällen zu lernen und die Sicherheitsmaßnahmen zu verstärken, um zukünftige Angriffe zu verhindern. Der Fall der Südwestfalen-IT zeigt deutlich, welche Konsequenzen ein Cyberangriff haben kann und wie wichtig es ist, in die IT-Sicherheit zu investieren. Weitere Informationen und Einblicke in den Vorfall bieten die verlinkten Quellen und Analysen. Bleiben Sie informiert und achtsam im Umgang mit sensiblen Daten und Systemen.