Schwerin: Cyberangriff auf Verwaltungs-IT. Informationen der Verwaltung reichen nicht aus.

Der Oberbürgermeister der Landeshauptstadt Schwerin hat in seinen aktuellen Mitteilungen an die Stadtvertretung Informationen der KSM zum Cyberangriff veröffentlich. Zwar gibt es einige interessante Informationen, doch wesentliche Fragen, bleiben unbeantwortet.

_________

Einige Fragen die unbeantwortet bleiben:

Welchen finanziellen Schaden hat der Angriff der Landeshauptstadt Schwerin beschert? Ist die Stadt, beziehungsweise die KSM/SIS gegen Ransomware Angriffe versichert gewesen? Wer trägt die Kosten?

Wird es inhaltliche und/oder personelle Konsequenzen geben?

Welche Vorgaben an SIS/KSM gab es seitens der Stadt, auf derartige Angriffe zu reagieren? Welche vertraglichen Garantien gab die KSM/SIS – auf derartige Situationen zu reagieren?

_________

Hier nun die (recht dürftige) Stellungnahme die vom OB veröffentlich wurde:

Informationen zu den Hintergründen des Cyberangriffs vom 15.10.2021


„…wie Sie alle wissen, ist es am Freitag, den 15.10.2021 zu einem Cyberangriff auf die IT-Systeme der SIS/KSM gekommen, bei dem es zu einer teilweisen Verschlüsselung der Systeme und Daten gekommen ist und in dessen Folge sämtliche IT-Systeme und Server zur Reduzierung möglicher Schäden vom Netz getrennt und kontrolliert heruntergefahren wurden.


Zur Schadensanalyse und Ursachenidentifikation haben wir IT- und Cyberspezialisten der Firma HiSolutions AG hinzugezogen. Darüber hinaus wurden unverzüglich auch die Sicherheitsbehörden und die Staatsanwaltschaft eingeschaltet. Auch wenn die forensischen Untersuchungen und Ermittlungen der Staatsanwaltschaft zum jetzigen Zeitpunkt noch nicht abgeschlossen sind,
möchten wir Sie – in Abstimmung mit der Staatsanwaltschaft – über den aktuellen Erkenntnisstand unterrichten.


• Es handelt sich um externe Angreifer.
• Der Zugriff auf unsere Systeme erfolgte über einen Dienstleister, welcher
legitimen Zugang zum Netzwerk der SIS besaß. » Durch die Aushebelung verschiedener bestehender Sicherheitsmechanismen sowie automatisierte Angriffe auf die
Benutzerkontenverwaltung ist es den Angreifern gelungen weitere
Privilegien innerhalb des Netzwerkes zu erlangen.
• Es kam die Ransomware Methodik „DeepBlueMagic“ zum Einsatz. Nach Einschätzung verschiedener Experten ist ein derartiger Angriff von Firewall- und Sicherheitssystemen nur schwer erkennbar und zu bekämpfen.
– In der Folge war es den Angreifern so möglich mit einer Verschlüsselungssoftware Teildatenbestände zu verschlüsseln.
-Betroffen waren insbesondere Windows-Server.
Die Backup-Systeme können für das schrittweise Hochfahren innerhalb
eines Quarantänenetzes genutzt werden.
• Wie in derartigen Fällen üblich, haben wir kurz nach dem Angriff eine Mitteilung der Erpresser erhalten, in der wir zu einer Kontaktaufnahme
aufgefordert wurden, auf welche unsererseits jedoch nicht eingegangen
wurde.
• Ein Datenabfluss konnte bisher nicht festgestellt werden.


Wir möchten klarstellend darauf hinweisen, dass unsererseits bisher keine dahingehenden
Informationen an die Presse herausgegeben wurden und sich Recherchen auf andere Quellen
beziehen müssen. Diese Vorgehensweise war aus ermittlungstaktischen Gründen ausdrücklich mit
der Staatsanwaltschaft abgestimmt.


Es handelt sich im vorliegenden Falle um Wirtschaftskriminalität. Über etwaige konkretere Absichten bzw. Ziele des Angriffs kann auch weiterhin nur gemutmaßt werden. Es bestehen keine Anhaltspunkte, dass der Angriff gezielt gegen die SIS/KSM als IT-Dienstleister oder einzelne Kunden/Träger gerichtet war.


Unser Fokus liegt weiterhin auf der sicheren Wiederherstellung des IT-Betriebes. Die Ermittlungen
liegen in den Händen der Staatsanwaltschaft. Wie bereits berichtet, gehen wir nunmehr für die nächsten Wochen in einen stabilen Notbetrieb über.


Ein Normalbetrieb wird erst im Laufe des ersten Quartals 2022 erreicht werden.
Aktuell sind wir mit Anlauf des Notbetriebs dabei, erweiterte Sicherheitssysteme und -mechanismen einzuführen und umzusetzen, um gegen Angriffe zukünftig noch besser geschützt zu sein.


Trotz der weitreichenden Auswirkungen in den vergangenen Wochen sind wir überzeugt davon, dass wir als einer der führenden kommunalen IT-Dienstleister in Mecklenburg-Vorpommern in Sachen ITSicherheits-Management gut aufgestellt waren. Bereits jetzt im Wiederanlaufprozess haben wir begonnen, so genannte Security Information and Event Management-Lösungen (SIEM) weiter einzuführen und werden in Zukunft entsprechende SIEM-Technologien und -Systeme sukzessive ausbauen.

Die Sensibilisierung unserer Nutzerinnen und Nutzer (Userinnen und User) für das Thema
IT-Sicherheit durch praktische Handlungsempfehlungen und -vorgaben wird perspektivischen einen noch höheren Stellenwert einnehmen. Eine 100%-ige Sicherheit gegen derartige Angriffe wird es dennoch nicht geben können.“

Werbung

Ein Gedanke zu “Schwerin: Cyberangriff auf Verwaltungs-IT. Informationen der Verwaltung reichen nicht aus.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s