Cyber-Attacke: Wohl keine Daten gestohlen - Schwachstelle im VPN

Siegen/Kreis Olpe. Knapp drei Monate nach dem Cyberangriff auf die Südwestfalen-IT (S-IT) hat das Unternehmen am Donnerstagabend, 25. Januar, den forensischen Bericht über den Tathergang vorgelegt. Er wurde durch externe Experten von r-tec IT Security (Wuppertal) erstellt. Tenor: Die Angreifer konnten über einen VPN-Zugang in die Systeme der S-IT eindringen und weitere Hürden überwinden, um die Ransomware auszuführen. Es kam mit hoher Wahrscheinlichkeit zu keinem Abfluss von Daten. Auch die Back-Ups waren nicht betroffen.

In der Zusammenfassung des forenischen Berichts ist zu lesen: „Die spezifische Dateiendung „.akira“ der verschlüsselten Dateien, die von den Angreifern hinterlassenen Erpressungsnachrichten sowie die Gesamtcharakteristik des Angriffs deuten darauf hin, dass die professionell agierende Hacker-Gruppe „Akira“ für den Angriff verantwortlich ist.“

Die Angreifer hätten gegenüber der S-IT keine direkte Lösegeldforderung gestellt, sondern eine Kontaktaufnahme zu den Modalitäten einer Wiederherstellung und einer damit verbundenen Lösegeldzahlung angeboten. Da aber unbeschädigte Sicherungskopien der verschlüsselten Daten vorhanden waren und es keine Anzeichen für Datenabflüsse gab, habe die S-IT keine Verhandlungen mit den Angreifern begonnen.

S-IT- Verbandsvorsteher Theo Melcher (Landrat Kreis Olpe) wird in der Pressemitteilung folgendermaßen zitiert: „Die Südwestfalen-IT wurde Opfer eines kriminellen, professionell ausgeführten Ransomware-Angriffs. Wir müssen uns auch fragen, wie es dazu kommen konnte. Das sind wir allen Bürgerinnen und Bürgern schuldig.“

Er kündigte an, dass am 1. Februar der neue Geschäftsführer Mirco Pinske seine Arbeit bei der Südwestfalen-IT aufnimmt. Zu seinen wichtigsten Aufgaben gehöre es, den Vorfall umfassend aufzuarbeiten und die entsprechenden Konsequenzen zu ziehen. „Die Aufgabe des neuen Geschäftsführers ist es, mit allen verfügbaren Mitteln dafür zu sorgen, einen Vorfall solchen Ausmaßes künftig bestmöglich auszuschließen“, so Melcher.

Den Zugang zum internen Netzwerk erlangten die Angreifer in der Nacht vom 29. zum 30. Oktober über eine softwarebasierte VPN, die eine Schwachstelle aufwies und keine Multifaktor-Authentifizierung erforderte. Auf welchem Weg die dafür benötigten Zugangsdaten abgegriffen wurden, konnte nicht abschließend aufgeklärt werden. Untersuchungen zeigten, dass die Angreifer zur Vorbereitung der Verschlüsselung schon seit dem 18. Oktober mehrere erfolgreiche VPN-Verbindungen mit unterschiedlichen Benutzerkonten aufgebaut hatten.

Sicherheitslücken ermöglichten es den Angreifern, die Zugriffsrechte bis zur Domain-Administrationsberechtigung zu erhöhen. Die Aktivitäten der Angreifer konzentrierten sich auf die Windows-Domäne intra.lan, die zentrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet. Andere Domänen waren nicht betroffen.

Die Südwestfalen-IT dämmte den Angriff durch unverzügliches Herunterfahren und Isolieren der betroffenen Systeme ein. Direkt danach wurden externe, BSI-zertifizierte Cyber-Security-Experten mit der forensischen Untersuchung und dem Wiederaufbau der Infrastruktur beauftragt.

Bei den intensiven forensischen Untersuchungen durch die Cyber-Security-Experten sowie dem kontinuierlichen Monitoring des Darkwebs mit einer Spezialsoftware wurden keine Hinweise auf einen Datenabfluss oder die Veröffentlichung von Daten gefunden. „Eine absolute Garantie, dass keine Daten abgeflossen sind, kann dennoch nicht gegeben werden. Eine potenzielle Veröffentlichung wird aber für unwahrscheinlich gehalten“, heißt es im Bericht von r-tec.

„Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren“, so Theo Melcher. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen Netzwerkbereichen und Domänen weiter zu verstärken.“

Für den langfristigen Betrieb hat die Südwestfalen-IT wesentliche Änderungen in der System-Architektur geplant, um das System robuster zu gestalten und derartige Vorfälle künftig bestmöglich auszuschließen. Laut dem mit den Kreisen und Kommunen abgestimmten Zeitplan werden die ersten wesentlichen Fachverfahren, die bislang im Basisbetrieb laufen, bis Ende März in den Normalbetrieb überführt. Zudem sollen im ersten Quartal weitere priorisierte Fachverfahren in den Basisbetrieb gehen.