Categories: Cybersicherheit

Hackerangriff: Südwestfalen-IT räumt Sicherheitsmängel ein

Der kommunale IT-Sicherheitsdienstleister Südwestfalen-IT hat weitere Details zu dem Hackerangriff vom 29. Oktober veröffentlicht. Einer forensischen Untersuchung zufolge wurde das Unternehmen über die VPN-Lösung gehackt, über die Kunden Zugang zu Servern von Südwestfalen-IT erhalten. Allerdings deckten die Sicherheitsforscher dabei auch mehrere Sicherheitslücken auf.

Unter anderem steckte in der softwarebasierten VPN-Lösung zum Zeitpunkt der Attacke eine Zero-Day-Lücke. Darüber hinaus war der Zugang nicht über eine Multifaktor-Authentifizierung gesichert. Die Forensik-Experten vermuten, dass das Kennwort per Brute Force geknackt wurde – wie die Zugangsdaten abgegriffen wurden, ließ sich einer Pressemitteilung zufolge nicht abschließend aufklären.

Darüber hinaus sollen die Angreifer mehrere nicht näher genannte Sicherheitslücken genutzt haben, um ihre Rechte auf die eines Domain-Administrators zu erhöhen. Betroffen war die Domäne „intra.lan“, die „entrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet“. Andere Domänen seien nicht betroffen gewesen.

Erneut betonte das Unternehmen, dass eine schnelle Reaktion der eigenen IT-Mitarbeiter eine weitere Ausbreitung der Ransomware verhindert habe. Es sei nicht nur er Angriff erfolgreich gestoppt, sondern auch das Ausmaß des Schadens begrenzt worden. „Es kam mit hoher Wahrscheinlichkeit zu keinem Abfluss von Daten, auch die Back-Ups waren nicht betroffen“, teilte Südwestfalen-IT mit.

„Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren.“ Sagte Verbandsvorsteher Theo Melcher. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen Netzwerkbereichen und Domänen weiter zu verstärken. Zugleich kann der forensische Bericht anderen helfen, aus dem Vorfall bei der Südwestfalen-IT zu lernen. Die Transparenz, die wir durch die Veröffentlichung des Berichts herstellen, nutzt allen.“

Die Aufarbeitung des Angriffs soll nun ein neuer Geschäftsführer übernehmen, der zum 1. Februar seine Arbeit aufnimmt. Darüber hinaus kündigte das Unternehmen an, die ersten wesentlichen Fachverfahren, die derzeit in einem Basisbetrieb angeboten werden, bis zum Ende des ersten Quartals in den Normalbetrieb zu überführen. Außerdem sollen weitere priorisierte Verfahren bis Ende März zumindest in den Basisbetrieb gehen.

Hinter der Attacke steckt offenbar die Ransomware-Gruppe Akira. Die betroffenen Kommunen im Großraum Südwestfalen können bestimmte IT-basierte Leistungen weiterhin nur eingeschränkt oder gar nicht anbieten. Schon im September hatte Cisco vor einer Schwachstelle in seinen VPN-Lösungen gewarnt, die Akira ins Visier genommen hatte. Zu dem Zeitpunkt konnte Cisco zwar keinen Patch zur Verfügung stellen, aber Abhilfemaßnahmen anbieten, um Angriffe abzuwehren. Unter anderem empfahl Cisco die Einrichtung einer Anmeldung in zwei Schritten.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Sorge über Cyberangriff auf eigenes Auto

Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.

2 Tagen ago

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…

2 Tagen ago

Firefox 131 führt temporäre Website-Berechtigungen ein

Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…

4 Tagen ago

Malware-Kampagne gefährdet Smartphones und Bankkonten

Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.

4 Tagen ago

Microsoft räumt Probleme mit Update für Windows 11 ein

Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…

4 Tagen ago

Beispielcode für Zero-Day-Lücke in Windows veröffentlicht

Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…

5 Tagen ago