Die Piraten Potsdam fordern ein grundlegendes Umdenken bei der IT-Sicherheit in der Stadtverwaltung Potsdam
Die Stadtverwaltung ist erneut quasi offline und die Papierberge der Bürger müssen ins Rathaus wandern.
Update 2. Februar
Die Stadt ist jetzt seit Dezember 2022 offline. Besonders ärgerlich ist der Umstand, dass keine Kraftzeuge angemeldet werden können, was die Autohändler in Schwierigkeiten bringt und viele E-Auto-Käufer um ihren staatlichen Zuschuss gebracht hat.
Klar ist jetzt, dass dieser „Brute-Force-Angriff“ eher eine Ausrede war. Es handelt sich um die klassische Ransomware, oder eine Phishing-Attacke, die „nach Hause“ telefonieren möchte. Vermutlich wurde diese Schadsoftware von einem Computernutzer eingeschleppt (USB-Stick, E-Mail etc.).
Aber es scheint jetzt eine wirksame Firewall zu geben, die die von der Schadsoftware benötigten Verbindungswege blockiert. Das kann natürlich nicht so bleiben und daher will man sich weitere 4 Wochen Zeit nehmen, um die verseuchten PCs und anderen Devices zu finden. Das ist richtig, aber erklärt nicht, dass die gesamte Verwaltung deswegen ruhen muss.
Es ist durchaus möglich, das eigene Netz in Segmente aufzuteilen, abzudichten und dann teilweise in Betrieb zu nehmen.
Man kann nur hoffen, dass die verbundenen Organisationen wie das Landesbehördennetz, die Bundesdruckerei und das Kraftfahrtbundesamt besser aufgestellt und somit abgeschirmt sind. Dass (teure) Experten aus der IT-Wirtschaft hinzugezogen werden, ist nicht zu beanstanden.
Die IT-Verantwortlichen in der Stadtverwaltung haben bewiesen, dass sie nicht dazu in der Lage waren, die IT-Netze ausreichend zu schützen – das ist keine Raketenwissenschaft, sondern kann man schnell in einer entsprechenden Fortbildung dazulernen; peinlich bis grob fahrlässig könnte man attestieren.
ISO-Zertifiziert kann diese Verwaltungs-IT nicht sein. Protipp: Einfach mal nachschauen, wie das andere machen und sich dann nach der einfachen Plan-Do-Check-Act Methode aufstellen. 😀
Was war passiert?
Nach den Meldungen der Medien und den sehr dürren Andeutungen des Oberbürgermeisters (OB) hat eine sogenannter „Brute-Force-Angriff“ die IT der Stadtverwaltung lahmgelegt und man habe zur „Vorsicht“ alle Verbindungen zur Außenwelt abgeschaltet, um Schäden festzustellen.
Wenn das der Grund ist, dann ist es ein Grund für die IT-Verantwortlichen, sofort ihre Kündigung einzureichen und schleunigst ihre Finger von jeglicher IT zu lassen. Dem OB kann man völlige Ahnungslosigkeit in dieser Frage vorwerfen – nicht weil er kein IT-Spezialist ist – sondern weil er offensichtlich seltsame Leute an die „Kronjuwelen der Stadt“ lässt, die keine oder sehr wenig Ahnung haben.
Was verbirgt sich nun hinter dieser Floskel „Brute-Force-Angriff“? Vereinfacht gesagt, versucht ein Angreifer gezielt Passwörter durch Ausprobieren zu finden (Beispiel aus dem Alltag: Man hat ein Zahlenschloss und probiert stur jede Kombination von Zahlen durch, bis die Tür aufgeht – kennt man vermutlich aus der Kindheit).
Deswegen wird so ein Angriff in IT-Kreisen auch als die einfältigste Möglichkeit eingestuft. Man kann diese Angriffe mit gewissen Methoden verfeinern, aber sie kommen schnell an ihre Grenzen.
Letztlich läuft ein Angriff abgestimmt über mehrere Computer, bis man zum Zuge kommt oder man gestoppt wird.
Wir als Piraten erleben solche Attacken täglich mehrfach und schützen uns davor. Zumal merkt das Rechenzentrum diese Attacken sehr schnell, leitet sie um und meldet ggfls. die (Computer-) IP-Adressen an einen Abuse-Service, der sie in seine Listen aufnimmt.
Es ist recht selten, dass solche Angriffe bis zum einen teilnehmenden Kundenserver durchschlägt.
Selbstverständlich muss man seine IT nicht nur schützen und den Schutz mindestens täglich aktualisieren, sondern auch versuchen, mit geeigneten Programmen Schwachstellen im eigenen System zu finden.
Brute-Force hat übrigens nichts mit „DDos-Attacken“ zu tun, die versuchen Systeme so zu überlasten, dass Abwehrmaßnahmen nicht mehr schnell genug reagieren können.
Wenn es also möglich ist, eine Stadtverwaltung mit einem „Brute-Force-Angriff“ ernsthaft attackieren zu können, liegt hier wirklich etwas im Argen und die gesamte IT-Abteilung gehört ausgetauscht.
Und weil eigentlich diese o.a. Attacken sehr einfach erkannt werden können, braucht man auch keine Hinweise eines BSI. Das sollte man schon selber merken – Monitoring wäre das Stichwort, geht ganz einfach und diese Systeme arbeiten 24/7 und schlagen Alarm.
Weil das mit „Brute-Force-Angriff“ und den DDos-Attacken so trivial ist, lässt man das in Regel, außer man weiß, dass die betroffene Seite deppert ist.
Der Weg, der allgemein beschritten wird, ist der ahnungslose „Helfer“, der vor der Tastatur sitzt und irgendwelche Malware installiert, weil Mensch z.B. sexy Bildchen gesehen hat, oder „ein Bankkonto ausgesetzt wurde“, das man gar nicht hat.
Auch hier kann die Aktivierung von Malware (Trojaner, Ransomware etc.) verhindern, wenn man den ausgehenden Internetverkehr so überwacht, dass gar keine Verbindung zu verdächtigen Instanzen aufgenommen werden kann. Hier gibt es natürlich auch stündlich aktualisierte Datenbanken, die das System über neue Täteradressen informieren.
Also entweder ist das erneut eine Ausrede des OBs für diese unverantwortbare IT oder es steckt wesentlich mehr dahinter, siehe Sitzplatz vor der Tastatur.
Aber man kann zusammenfassen: Herr, lasst Hirn herunterregnen. Und vielleicht fragt man endlich jemand, der sich auskennt. Potsdam, es kann so einfach sein.
Die PNN schreiben:
06.01.2023, 17:11 Uhr | Update: 06.01.2023, 19:03 Uhr
Nach der Cyberattacke auf die in Teilen dadurch immer noch lahmgelegte Stadtverwaltung hat es am Freitag Wirbel um möglicherweise neue Sicherheitsprobleme gegeben. Darauf hat die Wochenzeitung „Die Zeit“ in Zusammenarbeit mit einem Aktivisten des Chaos Computer Clubs hingewiesen, einem Sicherheitsforscher mit dem Pseudonym Flüpke.
In dem am Freitag erschienen Bericht war die Rede davon, dass die Stadt doch noch nicht komplett offline sei – und die virtuelle Rathausseite vv.potsdam.de über einen Hackertrick immer noch zugänglich. Zudem verwende die Stadtverwaltung über einen Drittanbieter mindestens zwei veraltete Router der Firma Lancom, die schon keine Sicherheitsupdates mehr bekommen sollen.
Am Freitagabend sagte ein Stadtsprecher den PNN auf Anfrage, man habe diesen Bericht geprüft. Allerdings hätten sogenannte Penetrationstests schon vor Tagen ergeben, dass nach dem Abschalten nicht mehr von außen zugegriffen werden konnte. Am Freitag habe man weitere Kontrollen durchgeführt, auch hier hätten sich keine neuen Risiken ergeben.
Die Router wiederum gehörten nicht zur IT-Infrastruktur der Stadt und stünden auch nicht in kommunalen Serverräumen, betonte der Sprecher. Von diesen Routern sei man zudem klar getrennt und diese seien auch seit Jahren nicht mehr an das System der Stadt angebunden, so der Sprecher.
Nächste Woche soll der Zeitplan stehen, wann die Stadt wieder ans Netz geht
Insofern gab man sich am Freitagnachmittag im Rathaus schon optimistisch: Nach dem Abklemmen vom Internet wegen einer drohenden Cyberattacke kurz vor dem Jahreswechsel will die Landeshauptstadt demnächst wieder ans Netz gehen, teilte die Verwaltung mit. Genaue Termine nannte sie aber noch nicht. Man bereite die Rückkehr ins Netz vor. Derzeit liefen Sicherheitstests, ein Zeitplan zur schrittweise geplanten Wiederinbetriebnahme der einzelnen Systeme solle kommende Woche vorliegen, so die Verwaltung.
Man habe die Verbindung zum Internet am 29. Dezember nach Hinweisen von Sicherheitsbehörden auf einen bevorstehenden Cyberangriff gekappt, so das Rathaus weiter. Auch die Stadtwerke Potsdam, die für Energie, Wasser und Personennahverkehr zuständig sind, sowie weitere kommunale Unternehmen hatten ihre Internet- und E-Mail-Verbindungen abgeschaltet. Laut Polizei gab es keine Hinweise auf Cyberattacken gegen weitere Kommunen in Brandenburg. Bereits im Januar 2020 hatte es einen Cyberangriff auf die Landeshauptstadt gegeben.
0 Kommentare zu “Wir in der Landeshauptstadt – Heute das Thema IT-Sicherheit der Stadtverwaltung Potsdam”