Südwestfalen-IT:
Angreifer nutzten VPN-Schwachstelle aus


[30.1.2024] Ein Forensik-Bericht liefert jetzt Erkenntnisse zu dem Ransomware-Angriff auf die Südwestfalen-IT im Oktober 2023. Demnach nutzten die Angreifer eine Schwachstelle in einer VPN-Lösung aus, um in das Netzwerk des IT-Dienstleisters einzudringen.
 

Forensik-Bericht zum Angriff auf Südwestfalen-IT zeigt: Die Angreifer nutzten eine Schwachstelle in einer VPN-Lösung aus. Ende Oktober vergangenen Jahres wurde der kommunale IT-Dienstleister Südwestfalen-IT Opfer einer Cyber-Attacke (wir berichteten). Nun hat das Unternehmen einen forensischen Bericht über den Tathergang vorgelegt. Zugang zum internen Netzwerk erlangten die Angreifer dem Bericht zufolge über eine softwarebasierte VPN-Lösung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte. Auf welchem Weg die dafür benötigten Zugangsdaten abgegriffen wurden, konnte laut Bericht nicht abschließend aufgeklärt werden. Sicherheitslücken in der Windows-Domäne intra.lan, die zentrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet, ermöglichten es den Angreifern, die Rechte bis zur Domain-Administrationsberechtigung zu erhöhen. Andere Domänen waren nicht betroffen.
Durch unverzügliches Herunterfahren und Isolieren der betroffenen Systeme sei es jedoch gelungen, den Angriff einzudämmen und das Schadensausmaß zu begrenzen, teilt Südwestfalen-IT weiter mit. So seien mit hoher Wahrscheinlichkeit keine Daten abgeflossen, auch die Back-ups seien nicht betroffen. Alle Sicherheitslücken konnten nach Angaben des IT-Dienstleisters beim Wiederanlaufen der Systeme geschlossen werden. Der mit den Kommunen abgestimmte Zeitplan sehe nun vor, die ersten wesentlichen Fachverfahren bis Ende des ersten Quartals dieses Jahres in den Normalbetrieb zu überführen.
„Höchste Priorität haben weiterhin die zügige Wiederherstellung und der sichere Wiederaufbau der Systeme für operative Betriebsfunktionen“, so Verbandsvorsteher Theo Melcher. „Dabei müssen wir uns auch fragen, wie es dazu kommen konnte – das sind wir unseren Kunden und allen Bürgerinnen und Bürgern schuldig.“ Zum 01. Februar 2024 beginne der neue Geschäftsführer Mirco Pinske seine Arbeit bei der Südwestfalen-IT. Zu seinen vordringlichsten Aufgaben gehöre es, den gesamten Vorfall umfassend aufzuarbeiten und die entsprechenden Konsequenzen abzuleiten, um einen Vorfall solchen Ausmaßes künftig bestmöglich auszuschließen.
„Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren“, so Theo Melcher weiter. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen  Netzwerkbereichen und Domänen weiter zu verstärken. Zugleich kann der forensische Bericht anderen helfen, aus dem Vorfall bei der Südwestfalen-IT zu lernen. Die Transparenz, die wir durch die Veröffentlichung des Berichts herstellen, nutzt allen.“ (bw)

https://notfallseite.sit.nrw

Stichwörter: IT-Sicherheit, Südwestfalen-IT (SIT)

Bildquelle: solarseven/123rf.com

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
NIS2-Richtlinie: Schutz vor Cyber-Kriminellen Bericht
[12.2.2024] Um den Gefahren aus dem Cyber-Raum zu begegnen hat die EU die Richtlinie NIS2 erlassen. Die Vorgaben müssen bis Mitte Oktober 2024 umgesetzt werden. Der IT-Dienstleister Axians gibt Tipps, wie Kommunen und kommunale Unternehmen jetzt vorgehen sollten. mehr...
Die EU-Richtlinie NIS2 soll die Cyber-Sicherheit erhöhen.
ITEBO: IT-Grundschutz für kleine Kommunen
[8.2.2024] Ein neues Angebot von ITEBO zur IT-Sicherheit soll insbesondere kleineren Kommunen einen praxisnahen und leicht umsetzbaren Einstieg in den IT-Grundschutz ermöglichen. Der Check basiert auf BSI-Empfehlungen. mehr...
Kommunaler KRITIS-Schutz: Resilienz im Katastrophenschutz steigern
[7.2.2024] Wie der Schutz Kritischer Infrastrukturen gelingen kann, zeigt ein Webcast, den die GFKD – Gesellschaft für Kommunikation und Digitalisierung im Rahmen des kommune.digital.forum am 22. Februar veranstaltet. mehr...
Schleswig-Holstein: Höchste Priorität für Cyber-Sicherheit
[31.1.2024] Die Landesregierung Schleswig-Holstein hat einen Bericht zur Cyber-Sicherheit vorgelegt. Bei dessen Vorstellung nannte Digitalisierungsminister Dirk Schrödter konkrete Maßnahmen, um die Cyber-Sicherheit im Land zu stärken. Neben der Schaffung entsprechender Strukturen sind auch Programme für Kommunen vorgesehen. mehr...
Net at Work: BSI-Zertifikat für NoSpamProxy
[13.12.2023] Malware-E-Mails gelten als einer der häufigsten Einfallstore für Cyber-Angriffe – ein wirksamer Schutz der E-Mail-Kommunikation in Organisationen ist deshalb unverzichtbar. In einem Pilotprojekt wurde die Software NoSpamProxy als erstes Mail-Security-Produkt weltweit vom BSI zertifiziert. mehr...
Suchen...

 Anzeige



 Anzeige

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
procilon GmbH
04425 Taucha bei Leipzig
procilon GmbH
D-Trust GmbH
10969 Berlin
D-Trust GmbH
regio iT GmbH
52070 Aachen
regio iT GmbH
beyond SSL GmbH
90619 Trautskirchen
beyond SSL GmbH
Aktuelle Meldungen