Südwestfalen IT: Wahrscheinlich kein Abfluss von Daten

Knapp drei Monate nach einer kriminellen Cyberattacke legt der kommunale Dienstleister SIT einen detaillierten Bericht über den Tathergang vor – und gibt weitgehend Entwarnung. Der Angriff – von dem auch sensible Daten Bergisch Gladbacher Bürger:innen betroffen waren – sei rasch gestoppt und der Schaden begrenzt worden. „Mit hoher Wahrscheinlichkeit“ seien keine Daten abgeflossen. Die Dienste sollen bis Ende März wieder vollständig zur Verfügung stehen.

Wir dokumentieren die Mitteilung der Südwestfalen-IT im Wortlaut. Unten angefügt haben wir Erklärungen der verwendeten technischen Fachbegriffe.

+ Anzeige +

Am 29. Oktober 2023 wurde die Südwestfalen-IT Opfer einer kriminellen Cyberattacke. Nun legt das Unternehmen den forensischen Bericht über den Tathergang vor. Demnach konnten die Angreifer über eine VPN-Lösung eindringen und weitere Hürden überwinden, um die Ransomware auszuführen. Durch die unverzügliche Reaktion der Südwestfalen-IT wurde der Angriff erfolgreich gestoppt und das Schadensausmaß effektiv begrenzt.

Es kam mit hoher Wahrscheinlichkeit zu keinem Abfluss von Daten, auch die Back-Ups waren nicht betroffen. Alle Sicherheitslücken sind beim Wiederanlaufen geschlossen worden.

Der mit den Kreisen und Kommunen abgestimmte Zeitplan der Südwestfalen-IT sieht vor, die ersten wesentlichen Fachverfahren bis Ende Q1 2024 in den Normalbetrieb zu überführen. Zum 01. Februar 2024 wird Mirco Pinske neuer Geschäftsführer der Organisation – ihm obliegen auch die Aufarbeitung des Vorfalls sowie das Ableiten entsprechender Konsequenzen.

„Die Südwestfalen-IT wurde Opfer eines kriminellen, professionell ausgeführten Ransomware-Angriffs, der beträchtliche Auswirkungen sowohl auf uns als auch unsere Kunden und die Bürgerinnen und Bürger mit sich brachte. Höchste Priorität haben weiterhin die zügige Wiederherstellung und der sichere Wiederaufbau der Systeme für operative Betriebsfunktionen“, so Verbandsvorsteher Theo Melcher. „Dabei müssen wir uns auch fragen, wie es dazu kommen konnte – das sind wir unseren Kunden und allen Bürgerinnen und Bürgern schuldig.“

Neustart mit neuem Geschäftsführer

Zum 01. Februar 2024 beginnt der neue Geschäftsführer Mirco Pinske seine Arbeit bei der Südwestfalen-IT. Zu seinen vordringlichsten Aufgaben gehört auch, den gesamten Vorfall umfassend aufzuarbeiten und die entsprechenden Konsequenzen abzuleiten und umzusetzen. „Die Aufgabe des neuen Geschäftsführers der Südwestfalen-IT ist es, mit allen verfügbaren Mitteln dafür zu sorgen, einen Vorfall solchen Ausmaßes künftig bestmöglich auszuschließen“, so Melcher. 

Angriff auf zentrale Windows-Domäne 

Die ersten verschlüsselten Dateien bemerkte die Südwestfalen-IT in der Nacht von Sonntag, 29. Oktober 2023 auf Montag, den 30. Oktober 2023. Die Datei-Endung .akira weist auf die Ransomware-Gruppe „Akira“ hin.

Den Zugang zum internen Netzwerk erlangten die Angreifer über eine softwarebasierte VPN-Lösung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte.

Auf welchem Weg die dafür benötigten Zugangsdaten abgegriffen wurden, konnte nicht abschließend aufgeklärt werden. Laut Forensik-Bericht könnte eine Brute-Force-Attacke stattgefunden haben. Sicherheitslücken in der intra.lan ermöglichten es den Angreifern, die Rechte bis zur Domain-Administrationsberechtigung zu erhöhen.

Die Aktivitäten der Angreifer konzentrierten sich auf die Windows-Domäne intra.lan, die zentrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet. Andere Domänen waren nicht betroffen.

Schnelle Reaktion verhinderte weitere Ausbreitung

Die Südwestfalen-IT dämmte den Angriff durch unverzügliches Herunterfahren und Isolieren der betroffenen Systeme ein. Direkt danach wurden externe, BSI-zertifizierte Cyber-Security-Experten mit der forensischen Untersuchung und dem Wiederaufbau der Infrastruktur beauftragt.   

„Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren.“ so Theo Melcher. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen  Netzwerkbereichen und Domänen weiter zu verstärken. Zugleich kann der forensische Bericht anderen helfen, aus dem Vorfall bei der Südwestfalen-IT zu lernen. Die Transparenz, die wir durch die Veröffentlichung des Berichts herstellen, nutzt allen.“ 

Keine Hinweise auf Datenabfluss und Datenverlust

Bei den intensiven forensischen Untersuchungen durch die beauftragten Cyber-Security-Experten sowie dem kontinuierlichen Monitoring des Darkwebs mittels einer Spezialsoftware konnten keine Hinweise auf einen Datenabfluss oder eine Datenveröffentlichung gefunden werden.

Die Datenrücksicherungen der Südwestfalen-IT sind intakt und werden den Kommunen schrittweise wieder zur Verfügung gestellt. 

Zeitplan für Wiederanlaufen der Fachverfahren 

Für den langfristigen Betrieb hat die Südwestfalen-IT wesentliche Änderungen in der System-Architektur geplant, um das System robuster zu gestalten und derartige Vorfälle künftig bestmöglich auszuschließen.

Mit den Kreisen und Kommunen hat die Südwestfalen-IT einen Zeitplan abgestimmt. Danach werden die ersten wesentlichen Fachverfahren, die bislang im Basisbetrieb laufen, bis zum Ende des ersten Quartals 2024 in den Normalbetrieb überführt werden. Darüber hinaus werden im ersten Quartal 2024 weitere priorisierte Fachverfahren in den Basisbetrieb gehen. 

Anhang: Erläuterung der Fachbegriffe

Folgende Liste haben wir mit Hilfe künstlicher Intelligenz erstellt. Die Redaktion

1. Cyberattacke: Ein Angriff auf Computersysteme oder Netzwerke, oft mit dem Ziel, Daten zu stehlen, Systeme zu beschädigen oder den Betrieb zu stören.
2. Forensischer Bericht: Ein detaillierter Bericht, der den Ablauf und die Auswirkungen eines Vorfalls (hier: der Cyberattacke) untersucht, um Beweise zu sichern und Lehren für die Zukunft zu ziehen.
3. VPN-Lösung: Ein Virtual Private Network (VPN) ermöglicht eine sichere Verbindung über das Internet, hier verwendet als Eintrittspunkt für die Angreifer.
4. Ransomware: Schadsoftware, die Daten verschlüsselt und gegen Lösegeld freigibt.
5. Zero-Day-Schwachstelle: Eine Sicherheitslücke in Software, die den Entwicklern noch unbekannt ist oder für die es noch keinen Patch gibt.
6. Multifaktor-Authentifizierung: Ein Sicherheitsverfahren, das mehrere Authentifizierungsmethoden verwendet, um auf ein System zuzugreifen.
7. Brute-Force-Attacke: Ein Angriff, bei dem ein Angreifer durch systematisches Ausprobieren aller möglichen Passwortkombinationen Zugang zu einem System zu erlangen versucht.
8. Domain-Administrationsberechtigung: Höchstes Rechtemaß in einem Netzwerk, das die Verwaltung der gesamten Domäne ermöglicht.
9. Rechenzentrum: Ein physischer Ort, an dem Server und andere Rechenressourcen zentralisiert sind.
10. BSI-zertifizierte Cyber-Security-Experten: Experten, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurden, um auf höchstem Sicherheitsniveau zu arbeiten.
11. Darkweb: Ein Teil des Internets, der nicht öffentlich zugänglich ist und oft für illegale Aktivitäten genutzt wird.
12. Datenabfluss: Unbefugte Weitergabe oder Offenlegung von Daten.
13. Monitoring: Die kontinuierliche Überwachung von Systemen, Netzwerken oder Aktivitäten.
14. Spezialsoftware: Software, die für spezielle Aufgaben oder Anforderungen entwickelt wurde.
15. System-Architektur: Die Struktur und Organisation eines IT-Systems.
16. Basisbetrieb: Der reguläre und alltägliche Betrieb von IT-Systemen.
17. Normalbetrieb: Der Zustand, in dem Systeme ohne Störungen oder Ausfälle arbeiten.
18. Robustheit: Die Fähigkeit eines Systems, Störungen oder Angriffe zu widerstehen.
19. Priorisierte Fachverfahren: Wichtige Prozesse oder Anwendungen, die vorrangig behandelt werden.
20. Netzwerkbereiche und Domänen: Teilbereiche und Verwaltungseinheiten in einem Netzwerk.