SIT: Authentifizierung war nicht sicher genug
Auch die überregionale Presse hat sich mit dem Hackerangriff auf die Südwestfalen-IT und mit den Folgen befasst. Mehr noch: Ein Beitrag von Heinz Krischer enthält sogar Ansätze zur Analyse der Ursachen. Im Folgenden ein Ausschnitt aus diesem Artikel
https://www.welt.de/regionales/nrw/article249275488/In-Suedwestfalen-hat-ein-Hackerangriff-mehr-als-70-Kommunen-getroffen-auch-zwei-Monate-danach-liegen-noch-Systeme-lahm.html
“Die Kriminellen sind in das Serversystem der SIT eingedrungen und haben einen Mechanismus angestoßen, der gespeicherte Daten verschlüsselt. Als das in der Nacht bemerkt wird, fahren Techniker sofort die Rechner herunter. Doch da ist es schon für einen erheblichen Teil der Daten und Programme zu spät. Vieles ist unbrauchbar gemacht worden. Eine kleine Text-Datei aber ist nicht verschlüsselt: Darin fordern die Hacker die SIT auf, Lösegeld zu zahlen – dann würden die Daten wieder entschlüsselt.
Doch Südwestfalen IT zahlt nicht. „Es gibt überhaupt keinen Grund, mit Kriminellen irgendwelche Vereinbarungen zu treffen“, sagt Theo Melcher. Er ist Landrat im Kreis Olpe und Verbandsvorsteher der SIT, so etwas wie der Vorsitzende eines Aufsichtsrats. Der IT-Dienstleister gehört den Kommunen, die jetzt auch betroffen sind. Lösegeld hätte aus Steuermitteln bezahlt werden müssen – das wolle und dürfe man nicht, sagt der Landrat. Stattdessen arbeitet jetzt ein Team von 170 IT-Spezialisten im Schichtbetrieb daran, die befallenen Systeme neu aufzubauen. Und das ist zeitaufwändig. Vor wenigen Tagen informierte die SIT zähneknirschend, dass die Reparatur viel länger dauern würde, als zunächst geplant. Wie lange, sagt keiner. Volker Rombach, der Service-Chef der SIT, verweist auf den Landkreis Anhalt-Bitterfeld. Dort habe es eineinhalb Jahre gedauert, bis alles wieder lief. Und Verbandsvorsteher Theo Melcher sagt: „Sicherheit geht vor Schnelligkeit.“
Flossen Daten ab?
Während man sicher ist, dass mit dem kompletten Neuaufbau von PCs und Servern irgendwann alles wieder funktioniert, ist das in einem anderen Punkt nicht so: Bei der Frage, ob die Hacker vor dem Verschlüsseln der Server Daten abgezogen haben. Das tun sie nämlich normalerweise. Und für die Daten von 1,4 Millionen Bürgern, die auf den Servern der Südwestfalen IT lagen, könnte das ein weiteres Desaster sein. Im Darknet gibt es eine Seite, die an die Anfänge des Computerzeitalters erinnert: Leuchtend grüne Schrift auf schwarzem Hintergrund. Der Betreiber diese Retro-Webseite ist die Hackergruppe „Akira“. Magere drei Menüpunkte kann man aufrufen. „News“. Da erscheint, wer gerade neu gehackt wurde. Zumeist amerikanische, britische oder skandinavische Unternehmen. Jeweils versehen mit einem Kurz-Porträt des Opfers – und der Ankündigung: Mehr dazu gibt’s demnächst …
Und zwar auf der Seite „Leaks“. Hier platzieren die Akira-Hacker Kostproben der gestohlenen Daten. Um die gehackten Unternehmen noch weiter zu erpressen. Zahlt, oder wir veröffentlichen all eure vertraulichen Kalkulationen und Geschäftsgeheimnisse. Menüpunkt drei: Contact. Hier kann sich melden, wer Lösegeld zahlen will. „RaaS“ nennt sich das, Ransom as a Service. Ransom heißt Lösegeld, Erpressung als Geschäftsmodell. „Bis jetzt gehen wir davon aus, dass bei dem Angriff keine Daten aus Südwestfalen abgeflossen sind“, sagt Christoph Hebbecker, Staatsanwalt bei der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) in Köln. Dort laufen die Fäden der Ermittlungen zusammen. Aber sicher sein könne man sich nicht, räumt der Staatsanwalt ein. Tatsächlich hat Akira auf ihrer Seite bis heute noch nichts zu den Daten von Südwestfalen IT angedroht. Das ist eine gute Nachricht. Die weniger gute ist: Akira nutzte möglicherweise eine bekannte Sicherheitslücke. Schon im August warnte Hardwarehersteller Cisco, dass Akira einen Weg gefunden habe in Systeme einzubrechen, wenn es dort keine Multi-Faktor-Authentifizierung (MFA) gibt. Wenn also nicht mehrere Passwörter auf unterschiedlichen Endgeräten eingegeben werden müssen, bevor man Zugriff auf die Systeme hat. „Die Multi-Faktor-Authentifizierung war nach aktuellem Kenntnisstand nicht flächendeckend im Einsatz“, räumt ein Sprecher der Südwestfalen IT auf Anfrage ein. „Ob dies allerdings ursächlich für den leider erfolgreichen kriminellen Cyberangriff war, ist Gegenstand eines forensischen Berichts, der derzeit erarbeitet wird.“
Eine Spur weist nach Russland
Für die Ermittler ist Akira keine unbekannte Gruppierung. Seit dem Frühjahr 2023 sind die Hacker weltweit aktiv – und gefürchtet. Amerikanische Cyber-Sicherheits-Experten von „Arctic Wolf“ glauben nachweisen zu können, dass zumindest einige der Akira-Köpfe früher der Gruppe „Conti“ angehörten. Einer Hackervereinigung aus Russland. „Wir schauen uns das genau an“, sagt Cybercrime-Staatsanwalt Hebbecker. Aber die Identifizierungsquote bei solchen Hackerangriffen sei gering. Immerhin: Nach dem Angriff auf die Uniklinik Düsseldorf gelang es, Verdächtige zu benennen. Zwei Russen stehen deshalb jetzt auf der Most-Wanted-Liste von Europol.”