Cyberangriff auf Südwestfalen IT: Bericht enthüllt kritische Sicherheitslücke
Veröffentlicht: Freitag, 26.01.2024 07:58
Nach dem Cyberangriff auf den IT-Dienstleister Südwestfalen IT (SIT) deckt ein Abschlussbericht erhebliche Sicherheitslücken im System auf. Cyber-Security Experten sprechen von einer "kritischen Sicherheitslücke", die es den Angreifern ermöglichte, den Netzwerk-Zugang der SIT zu infiltrieren.
Schwachstelle im Netzwerk-Zugang der SIT
Ende Oktober 2023 wurde die Südwestfalen IT (SIT) von Hackern angegriffen. Seitdem sind viele Kommunen im Märkischen Kreis offline. Ein IT-forensischer Bericht enthüllt jetzt, dass die Schwachstelle höchstwahrscheinlich im Netzwerk-Zugang der SIT lag, was den Angriff möglich machte. Die entscheidende Sicherheitslücke bestand darin, dass das Netzwerk lediglich durch ein einfaches Passwort geschützt war, ohne die zusätzliche Sicherheit einer "Multifaktor-Authentifizierung". Das Fehlen dieser zweiten Sicherheitsebene machte das System besonders anfällig.
Im Bericht der Experten heißt es:
"Während des explorativen Untersuchungsansatzes des Sicherheitsvorfalls stellte r-tec eine kritische Sicherheitslücke in der Windows-Domäne intra.lan fest."
"Die unautorisierten Zugriffe der Angreifer waren möglich, da die eingesetzte VPN-Lösung durch eine Schwachstelle verwundbar war und keine Multi-Faktor-Authentifizierung eingesetzt wurde.
Quelle: r-tec (2024): Abschlussbericht Security Incident
"Akira" führt möglicherweise "Brute Force"-Angriff durch
Der Angriff fand auf die zentrale Windows-Domäne intra.lan statt, wodurch wichtige Fachverfahren und Systeme beeinträchtigt wurden. Die Hackergruppe, die sich als "Akira" bezeichnet, nutzte dabei möglicherweise die fehlende Multifaktor-Authentifizierung aus. Experten vermuten, dass die Angreifer einen sogenannten "Brute Force"-Angriff durchgeführt haben könnten. Hierbei werden verschiedene Passwortvarianten mithilfe einer Software durchprobiert, bis die richtige Kombination gefunden ist.
Keine Hinweise auf Datenklau oder Veröffentlichung
Trotz des erfolgreichen Angriffs gibt es bisher keine Anzeichen dafür, dass Daten entwendet oder veröffentlicht wurden. Zum 1. Februar 2024 tritt Mirco Pinske als neuer Geschäftsführer der Südwestfalen-IT an. Seine Aufgaben umfassen nicht nur die Aufarbeitung des Vorfalls, sondern auch die Ableitung und Umsetzung von Konsequenzen zur Verbesserung der Sicherheitslage. Die Implementierung zusätzlicher Sicherheitsmaßnahmen steht dabei im Fokus, um die Netzwerke der SIT effektiv zu schützen. Die Experten schlagen in dem Bericht auch eine lange Liste kurz-,mittel- und langfristiger Sicherheitsempfehlungen vor, die dazu beitragen sollen, die Netzwerksicherheit der SIT zu optimieren.
Dabei wurden kurzfristig schon die Benutzerkonten abgesichert, unter anderem dadurch dass starke Passwortrichtlinien und Multifaktor-Authentifizierung, insbesondere für administrative Konten eingeführt wurden. Auch die VPN-Infrastruktur wurde neu aufgestellt. Die SIT nutzt jetzt eine aktuelle VPN-Technologie und auch hier eine Multifaktor-Authentifizierung.
Wiederherstellung der wichtigsten Verwaltungsfunktionen bis Ende März geplant
Um die durch den Hackerangriff beeinträchtigten Kommunen im Märkischen Kreis zu unterstützen, plant die SIT die Wiederherstellung der wichtigsten Verwaltungsfunktionen bis Ende März. Dies soll sicherstellen, dass die zentralen Bürgerservices wieder uneingeschränkt zur Verfügung stehen.
Cyberangriff Ende Oktober: Kommunen im MK Offline
Ende Oktober 2023 wurde Südwestfalen IT - ein kommunaler IT Dienstleister, bei dem mehr als 70 Kommunen in ganz NRW ihre Daten und Systeme gehostet haben - von Hackern angegriffen (Zur Erstmeldung).Die SIT hat daraufhin alle Systeme heruntergefahren. Darum sind viele Kommunen im Märkischen Kreis gerade mehr oder weniger offline. Viele Bürgerservices können gar nicht oder nur begrenzt angeboten werden. Einen aktuellen Stand in welcher Stadt oder Gemeinde gerade was funktioniert, findet ihr hier.
