Der IT-Forensik-Bericht der Südwestfalen IT zeigt gravierende Sicherheitslücken bei der SIT auf. Mit MFA wäre es nicht so weit gekommen.
Am 29. Oktober 2023 wurde die Südwestfalen IT (SIT) Opfer eines Cyberangriffs. Nach intensiven forensischen Untersuchungen legt das Unternehmen nun einen Bericht vor, der Schwachstellen im Netzwerkzugang aufzeigt und Maßnahmen für die Zukunft skizziert.
Der lang erwartete IT-Forensik-Bericht der Südwestfalen IT
Der Schock sitzt noch tief: Am 29. Oktober 2023 wurde die Südwestfalen-IT (SIT) Opfer eines Cyberangriffs durch die berüchtigte Ransomware-Bande Akira. Der jetzt veröffentlichte IT-Forensik-Bericht zeigt, dass der Netzzugang des kommunalen Dienstleisters unzureichend geschützt war, was den Hackern das Eindringen erleichterte.
Die Angreifer drangen über eine VPN-Lösung in das Netzwerk ein, indem sie eine Zero-Day-Schwachstelle und das Fehlen einer Multi-Faktor-Authentifizierung (MFA) ausnutzten. Durch einen möglichen Brute-Force-Angriff konnten sie sich Zugang zum internen Netzwerk verschaffen. Sicherheitslücken in intra.lan ermöglichten eine Erhöhung der Rechte bis hin zur Domänenadministration. Im Fokus stand die zentrale Windows-Domäne, die Systeme und Fachverfahren für alle Kunden verwaltet.
Die Südwestfalen-IT hat schnell reagiert und die betroffenen Systeme heruntergefahren und isoliert. In Zusammenarbeit mit BSI-zertifizierten Cyber-Security-Experten konnte der Angriff erfolgreich eingedämmt und die Infrastruktur wieder aufgebaut werden.
Konsequenzen und Zukunftsausblick
Günter Born fasst zusammen: „Am 18. Oktober 2023 schauten die Angreifer bei der Südwestfalen IT vorbei. Danach gab es einige „Besuche“ und am 29. und 30. Oktober 2023 das „Abschiedskonzert“. Die obige Skizze zeigt bereits, wie problematisch die Sicherheitsstrukturen bei der Südwestfalen IT waren und wie leicht es die Angreifer hatten – nachdem sie die Struktur einigermaßen verstanden hatten„.
Wie man sieht, dient der forensische Bericht nicht nur der internen Aufarbeitung, sondern auch als Lehrstück für andere. Die Veröffentlichung trägt dazu bei, aus den Vorfällen zu lernen und die IT-Sicherheit zu verbessern. Glücklicherweise gab es keine Hinweise auf einen Datenabfluss oder -Verlust und die Backups blieben intakt.
Der neue Geschäftsführer Mirco Pinske wird ab 1. Februar 2024 die Leitung übernehmen und den Vorfall lückenlos aufarbeiten. Ziel ist es, durch umfassende Maßnahmen sicherzustellen, dass ähnliche Vorfälle in Zukunft vermieden werden. Geplante Änderungen in der Systemarchitektur sollen das Netz robuster machen und bis Ende März 2024 sollen die ersten Fachverfahren wieder im Regelbetrieb laufen.
Der Hackerangriff auf die Südwestfalen-IT zeigt, wie wichtig ein robustes IT-Sicherheitssystem ist. Durch die transparente Kommunikation und die schnelle Reaktion der SIT konnte der Schaden begrenzt werden. Für die Zukunft gilt es, aus diesem Vorfall zu lernen und durch verstärkte Sicherheitsmaßnahmen ein solches Szenario zu verhindern.
