Categories: Cybersicherheit

Hackerangriff: Südwestfalen-IT räumt Sicherheitsmängel ein

Der kommunale IT-Sicherheitsdienstleister Südwestfalen-IT hat weitere Details zu dem Hackerangriff vom 29. Oktober veröffentlicht. Einer forensischen Untersuchung zufolge wurde das Unternehmen über die VPN-Lösung gehackt, über die Kunden Zugang zu Servern von Südwestfalen-IT erhalten. Allerdings deckten die Sicherheitsforscher dabei auch mehrere Sicherheitslücken auf.

Unter anderem steckte in der softwarebasierten VPN-Lösung zum Zeitpunkt der Attacke eine Zero-Day-Lücke. Darüber hinaus war der Zugang nicht über eine Multifaktor-Authentifizierung gesichert. Die Forensik-Experten vermuten, dass das Kennwort per Brute Force geknackt wurde – wie die Zugangsdaten abgegriffen wurden, ließ sich einer Pressemitteilung zufolge nicht abschließend aufklären.

Darüber hinaus sollen die Angreifer mehrere nicht näher genannte Sicherheitslücken genutzt haben, um ihre Rechte auf die eines Domain-Administrators zu erhöhen. Betroffen war die Domäne „intra.lan“, die „entrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet“. Andere Domänen seien nicht betroffen gewesen.

Erneut betonte das Unternehmen, dass eine schnelle Reaktion der eigenen IT-Mitarbeiter eine weitere Ausbreitung der Ransomware verhindert habe. Es sei nicht nur er Angriff erfolgreich gestoppt, sondern auch das Ausmaß des Schadens begrenzt worden. „Es kam mit hoher Wahrscheinlichkeit zu keinem Abfluss von Daten, auch die Back-Ups waren nicht betroffen“, teilte Südwestfalen-IT mit.

„Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren.“ Sagte Verbandsvorsteher Theo Melcher. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen Netzwerkbereichen und Domänen weiter zu verstärken. Zugleich kann der forensische Bericht anderen helfen, aus dem Vorfall bei der Südwestfalen-IT zu lernen. Die Transparenz, die wir durch die Veröffentlichung des Berichts herstellen, nutzt allen.“

Die Aufarbeitung des Angriffs soll nun ein neuer Geschäftsführer übernehmen, der zum 1. Februar seine Arbeit aufnimmt. Darüber hinaus kündigte das Unternehmen an, die ersten wesentlichen Fachverfahren, die derzeit in einem Basisbetrieb angeboten werden, bis zum Ende des ersten Quartals in den Normalbetrieb zu überführen. Außerdem sollen weitere priorisierte Verfahren bis Ende März zumindest in den Basisbetrieb gehen.

Hinter der Attacke steckt offenbar die Ransomware-Gruppe Akira. Die betroffenen Kommunen im Großraum Südwestfalen können bestimmte IT-basierte Leistungen weiterhin nur eingeschränkt oder gar nicht anbieten. Schon im September hatte Cisco vor einer Schwachstelle in seinen VPN-Lösungen gewarnt, die Akira ins Visier genommen hatte. Zu dem Zeitpunkt konnte Cisco zwar keinen Patch zur Verfügung stellen, aber Abhilfemaßnahmen anbieten, um Angriffe abzuwehren. Unter anderem empfahl Cisco die Einrichtung einer Anmeldung in zwei Schritten.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

22 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

23 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago