Ein kürzlich veröffentlichter IT-Forensik-Bericht zeigt die gravierenden Sicherheitslücken die es Hackern ermöglicht haben die Südwestfalen IT (SIT) anzugreifen. Der Angriff am 29. Oktober 2023 durch die Ransomware-Bande Akira hat alarmierende Schwachstellen bei der IT-Sicherheit des kommunalen Dienstleisters aufgedeckt. Insbesondere die fehlende Multi-Faktor-Authentifizierung (MFA) und eine unzureichend geschützte VPN-Lösung haben es den Angreifern erleichtert, in das Netzwerk einzudringen.
Der Hergang des Angriffs und die verwundbaren Stellen
Laut dem Forensik-Bericht gelang es den Hackern, über eine VPN-Lösung und unter Ausnutzung einer Zero-Day-Schwachstelle Zugang zum Netzwerk zu erhalten. Die fehlende MFA hat es ihnen ermöglicht – die Zugangsdaten zu kompromittieren und so in das interne Netzwerk einzudringen. Zusätzlich wurden Sicherheitslücken in der intra.lan-Infrastruktur ausgenutzt um die Rechte zu erhöhen und schließlich die Domänenadministration zu übernehmen. Besonders im Fokus stand die zentrale Windows-Domäne die zur Verwendung die Verwaltung von Systemen und Fachverfahren für alle Kunden zuständig ist.
Die SIT reagierte schnell auf den Angriff, indem sie betroffene Systeme herunterfuhr und isolierte. Durch die Zusammenarbeit mit BSI-zertifizierten Cyber-Security-Experten konnte der Angriff eingedämmt und die Infrastruktur wiederhergestellt werden, ohne dass es zu einem Datenabfluss oder -verlust kam.
Konsequenzen und zukünftige Maßnahmen
Der forensische Bericht dient nicht nur der internen Aufarbeitung, allerdings soll ebenfalls als Lehrstück dienen um aus den Vorfällen zu lernen und die IT-Sicherheit zu optimieren. Die transparente Kommunikation und die schnelle Reaktion der SIT haben dazu beigetragen, den Schaden zu begrenzen. Doch um ähnliche Vorfälle in Zukunft zu vermeiden, sind umfassende Maßnahmen geplant.
Der neue Geschäftsführer Mirco Pinske der ab 1. Februar 2024 die Leitung übernehmen wird, soll den Vorfall lückenlos aufarbeiten und durch geplante Änderungen in der Systemarchitektur das Netz robuster machen. Bis Ende März 2024 sollen die ersten Fachverfahren wieder im Regelbetrieb laufen. Der Vorfall hat verdeutlicht, ebenso wie wichtig ein robustes IT-Sicherheitssystem ist und wie entscheidend es ist, aus solchen Angriffen zu lernen um sie in Zukunft zu verhindern. Die Veröffentlichung des forensischen Berichts und die geplanten Maßnahmen sollen dazu beitragen, das IT-Sicherheitsniveau der SIT zu erhöhen und sie für künftige Angriffe besser zu wappnen.
Kommentare