Hacker legen 160 000 Einwohner-Landkreis lahm

Mitglied: Vision2015
Moin...

Heise - Nach Malware-Infektion: Katastrophenfall im Landkreis Anhalt-Bitterfeld

ich zitiere:

Der Angriff geschah bereits am Dienstag. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte am Samstag mit, dass es eingeschaltet und vor Ort sei. „Es gab >> in Deutschland schon Angriffe auf Kommunen, aber keine, die daraufhin einen Katastrophenfall ausgerufen hat“, sagte eine Sprecherin.

Nix gegen das BSI, aber ich frage mich, warum vor Ort keine Fachfirma ist, und was zum Geier machen die 2 Wochen lang?
Wenn wir sowas in der freien Wirtschaft mit Kunden machen würden, wäre ich schon längst Insolvent......

Update: Bild-Link durch Heise-Link ersetzt.

Frank

Content-Key: 972096341

Url: https://administrator.de/contentid/972096341

Ausgedruckt am: 24.07.2021 um 14:07 Uhr

Mitglied: Xcoder
Xcoder 11.07.2021 aktualisiert um 16:36:11 Uhr
Goto Top
Moin,

vorsicht. Der oben genannte Link führt zur BILD....hier mal eine bessere Quelle:
Nach Malware-Infektion: Katastrophenfall im Landkreis Anhalt-Bitterfeld

Zitat von @Vision2015:

Nix gegen das BSI, aber ich frage mich, warum vor Ort keine Fachfirma ist, und was zum Geier machen die 2 Wochen lang?

Ich zitiere mal aus dem Heise Artikel:
Der Landkreis werde dabei von Spezialisten aus Bundes- und Landesbehörden sowie von weiteren Experten unterstützt. Unter anderem sei das Bundesamt für Sicherheit in der Informationstechnik eingebunden.

Naja, typisch Behörden IT. Zur Verteidigung muss man aber auch sagen, wenn wirklich das komplette Netzwerk eines Landkreises betroffen ist, dass das wirklich keine triviale Angelegenheit ist, wo man schnell und einfach ein Backup einspielen kann und gut ist. Allerdings wirft das auch deutliche Fragen auf, wie es mit der IT-Sicherheit dort aussieht.

MfG
Mitglied: LordGurke
LordGurke 11.07.2021 um 13:04:42 Uhr
Goto Top
Und fairerweise sollte der Titel lauten:
"Mitarbeiter der Behörde hat durch Dusseligkeit Malware ausgeführt und die konnte sich dank schlechter Infrastruktur durchs ganze Netzwerk fressen".

Das hat nichts mit "Angriff" zu tun.
Mitglied: Vision2015
Vision2015 11.07.2021 aktualisiert um 16:38:01 Uhr
Goto Top
Zitat von @Xcoder:

Moin,

vorsicht. Der oben genannte Link führt zur BILD....hier mal eine bessere Quelle:
Heise - Nach Malware-Infektion: Katastrophenfall im Landkreis Anhalt-Bitterfeld

Zitat von @Vision2015:

Nix gegen das BSI, aber ich frage mich, warum vor Ort keine Fachfirma ist, und was zum Geier machen die 2 Wochen lang?

Ich zitiere mal aus dem Heise Artikel:
Der Landkreis werde dabei von Spezialisten aus Bundes- und Landesbehörden sowie von weiteren Experten unterstützt. Unter anderem sei das Bundesamt für Sicherheit in der Informationstechnik eingebunden.

Naja, typisch Behörden IT. Zur Verteidigung muss man aber auch sagen, wenn wirklich das komplette Netzwerk eines Landkreises betroffen ist, dass das wirklich keine triviale Angelegenheit ist, wo man schnell und einfach ein Backup einspielen kann und gut ist.
natürlich ist das keine triviale sache, aber man kann vorbereitet sein!
Allerdings wirft das auch deutliche Fragen auf, wie es mit der IT-Sicherheit dort aussieht.
nicht nur mit der Sicherheit, sondern auch der Disaster Recovery Plan!
in der freien wirtschaft dürfte das kein 2 wochen dauern.... jedenfalls nicht bei unseren kunden!

MfG

Frank
Mitglied: Vision2015
Vision2015 11.07.2021 um 13:05:34 Uhr
Goto Top
Zitat von @LordGurke:

Und fairerweise sollte der Titel lauten:
"Mitarbeiter der Behörde hat durch Dusseligkeit Malware ausgeführt und die konnte sich dank schlechter Infrastruktur durchs ganze Netzwerk fressen".

Das hat nichts mit "Angriff" zu tun.

Stimmt :-) face-smile
Mitglied: C.Caveman
C.Caveman 11.07.2021 um 13:43:00 Uhr
Goto Top
Zitat von @Vision2015:
...
Allerdings wirft das auch deutliche Fragen auf, wie es mit der IT-Sicherheit dort aussieht.
nicht nur mit der Sicherheit, sondern auch der Disaster Recovery Plan!
in der freien wirtschaft dürfte das kein 2 wochen dauern.... jedenfalls nicht bei unseren kunden!

MfG
Frank
Frank

Moin @Vision2015,

So ein Desaster Recovery Plan muss auch regelmäßig getestet werden. Und ich sehe häufiger Pläne, in denen steht, "Dienstleister informieren "😄
Und das wird's auch von den zuständigen Stellen mit ausreichend bewertet und genehmigt. 😃

Auf das "Selbstverliebte" verzichten wir Mal an der Stelle 🤣

Gruß
C.C.
Mitglied: Vision2015
Vision2015 11.07.2021 um 13:48:37 Uhr
Goto Top
Zitat von @C.Caveman:

Zitat von @Vision2015:
...
Allerdings wirft das auch deutliche Fragen auf, wie es mit der IT-Sicherheit dort aussieht.
nicht nur mit der Sicherheit, sondern auch der Disaster Recovery Plan!
in der freien wirtschaft dürfte das kein 2 wochen dauern.... jedenfalls nicht bei unseren kunden!

MfG
Frank
Frank

Moin @Vision2015,

So ein Desaster Recovery Plan muss auch regelmäßig getestet werden. Und ich sehe häufiger Pläne, in denen steht, "Dienstleister informieren "😄
wenn das der plan ist, will ich da Dienstleister werden :-) face-smile
Und das wird's auch von den zuständigen Stellen mit ausreichend bewertet und genehmigt. 😃
na geht doch...

Auf das "Selbstverliebte" verzichten wir Mal an der Stelle 🤣
wiso?

Gruß
C.C.

Mitglied: C.Caveman
C.Caveman 11.07.2021 um 13:56:30 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @C.Caveman:

Zitat von @Vision2015:
...
Allerdings wirft das auch deutliche Fragen auf, wie es mit der IT-Sicherheit dort aussieht.
nicht nur mit der Sicherheit, sondern auch der Disaster Recovery Plan!
in der freien wirtschaft dürfte das kein 2 wochen dauern.... jedenfalls nicht bei unseren kunden!

MfG
Frank
Frank

Moin @Vision2015,

So ein Desaster Recovery Plan muss auch regelmäßig getestet werden. Und ich sehe häufiger Pläne, in denen steht, "Dienstleister informieren "😄
wenn das der plan ist, will ich da Dienstleister werden :-) face-smile
Glaube mir, daß willst du nicht.
Und das wird's auch von den zuständigen Stellen mit ausreichend bewertet und genehmigt. 😃
na geht doch...

Auf das "Selbstverliebte" verzichten wir Mal an der Stelle 🤣
wiso?
Sonst heult wieder einer ;-) face-wink

Gruß
C.C.

Mitglied: lcer00
lcer00 11.07.2021 um 14:19:42 Uhr
Goto Top
Hallo,

ich finde es seltsam, dass PrintNightmare als Angriffsvektor benutzt worden sollen sei. Das erscheint mir zu schnell. Und dann ausgerechnet Bitterfeld? Klingt für mich eher nach einer Schutzbehauptung des Landkreises.

Grüße

lcer
Mitglied: Vision2015
Vision2015 11.07.2021 um 14:23:15 Uhr
Goto Top
Zitat von @C.Caveman:

Zitat von @Vision2015:

Zitat von @C.Caveman:

Zitat von @Vision2015:
...
Allerdings wirft das auch deutliche Fragen auf, wie es mit der IT-Sicherheit dort aussieht.
nicht nur mit der Sicherheit, sondern auch der Disaster Recovery Plan!
in der freien wirtschaft dürfte das kein 2 wochen dauern.... jedenfalls nicht bei unseren kunden!

MfG
Frank
Frank

Moin @Vision2015,

So ein Desaster Recovery Plan muss auch regelmäßig getestet werden. Und ich sehe häufiger Pläne, in denen steht, "Dienstleister informieren "😄
wenn das der plan ist, will ich da Dienstleister werden :-) face-smile
Glaube mir, daß willst du nicht.
doch doch.... :-) face-smile
Und das wird's auch von den zuständigen Stellen mit ausreichend bewertet und genehmigt. 😃
na geht doch...

Auf das "Selbstverliebte" verzichten wir Mal an der Stelle 🤣
wiso?
Sonst heult wieder einer ;-) face-wink
egal... spass muss sein :-) face-smile

Gruß
C.C.

Mitglied: C.Caveman
C.Caveman 11.07.2021 aktualisiert um 14:56:17 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @C.Caveman:

Zitat von @Vision2015:

Zitat von @C.Caveman:

Zitat von @Vision2015:
...
Allerdings wirft das auch deutliche Fragen auf, wie es mit der IT-Sicherheit dort aussieht.
nicht nur mit der Sicherheit, sondern auch der Disaster Recovery Plan!
in der freien wirtschaft dürfte das kein 2 wochen dauern.... jedenfalls nicht bei unseren kunden!

MfG
Frank
Frank

Moin @Vision2015,

So ein Desaster Recovery Plan muss auch regelmäßig getestet werden. Und ich sehe häufiger Pläne, in denen steht, "Dienstleister informieren "😄
wenn das der plan ist, will ich da Dienstleister werden :-) face-smile
Glaube mir, daß willst du nicht.
doch doch.... :-) face-smile
Ne ne, du willst doch für gute Arbeit auch eine gerechte Entlohnung. Und deinen Angestellten willst du auch keine Gehaltskürzung verpassen ;-) face-wink
Und das wird's auch von den zuständigen Stellen mit ausreichend bewertet und genehmigt. 😃
na geht doch...

Auf das "Selbstverliebte" verzichten wir Mal an der Stelle 🤣
wiso?
Sonst heult wieder einer ;-) face-wink
egal... spass muss sein :-) face-smile
Joar, es Arbeiten halt nicht alle so DSGVO-Konform :-) face-smile
Der IT-Grundschutz ist ja die Basis. :-) face-smile

Achja, der BSI wurde reaktiv hinzugezogen. sozusagen um die Scherben aufzusammeln.
Die Gemeinden setzten auf Dienstleister, nur leider gewinnt in einer Ausschreibung immer der Preis und nicht das Fachwissen.
Mitglied: chgorges
chgorges 11.07.2021 aktualisiert um 20:04:31 Uhr
Goto Top
Zitat von @lcer00:

Hallo,

ich finde es seltsam, dass PrintNightmare als Angriffsvektor benutzt worden sollen sei. Das erscheint mir zu schnell. Und dann ausgerechnet Bitterfeld? Klingt für mich eher nach einer Schutzbehauptung des Landkreises.

Daran sieht man, welche Kleingeister dort arbeiten. Haben was in den Medien gehört, das war es bestimmt!

LordGurke hat schon gesagt, was passiert ist. Umso trauriger, dass das jetzt Existenzen gefährdet, weil Bedürftige keine Auszahlungen bekommen etc. Mein Beileid, dass deren Schicksal an irgendwelchen Computerbild-ITlern hängt, weil man nur E7/8/9 statt E11/12 /13 zahlt... Aber den Leuten passiert nichts, die machen den gleichen Scheiß hinterher genau so weiter.
Mitglied: C.Caveman
C.Caveman 11.07.2021 um 22:33:09 Uhr
Goto Top
Zitat von @LordGurke:

Und fairerweise sollte der Titel lauten:
"Mitarbeiter der Behörde hat durch Dusseligkeit Malware ausgeführt und die konnte sich dank schlechter Infrastruktur durchs ganze Netzwerk fressen".

Das hat nichts mit "Angriff" zu tun.

Naja, da hilft nur Sensibilisierung der Mitarbeiter. Aber so wie es das Helios Klinikum gemacht hat, ist auch nicht die feine englische Art. https://www.rnd.de/panorama/helios-dankt-mitarbeitern-fur-corona-einsatz ...
Mitglied: StefanKittel
StefanKittel 12.07.2021 um 01:21:27 Uhr
Goto Top
Das Herzchen-Symbol hier im Forum für "gefällt mir" ist für diesen Thread irgendwie fehl am Platze.
Denn natürlich gefällt es mir nicht wenn Jemand gehackt wurde.

Egal wie (möglicherweise) dämlich die sich angestellt haben.
Treffen kann es Jeden. Kommt nur auf den "Gegner an".
Mitglied: Ex0r2k16
Ex0r2k16 12.07.2021 aktualisiert um 07:28:26 Uhr
Goto Top
Ob die ein modernes Office 365 samt starker ATP einsetzen? Ich denke nicht. Datenschutz bzw. Cloud Angst und so :D
Mitglied: Vision2015
Vision2015 12.07.2021 um 08:13:40 Uhr
Goto Top
Zitat von @Ex0r2k16:

Ob die ein modernes Office 365 samt starker ATP einsetzen? Ich denke nicht. Datenschutz bzw. Cloud Angst und so :D

und vor was soll das genau schützen?

Frank
Mitglied: Ex0r2k16
Ex0r2k16 12.07.2021 um 08:44:03 Uhr
Goto Top
Zero Days per Mail zB.
Mitglied: StefanKittel
StefanKittel 12.07.2021 um 09:26:59 Uhr
Goto Top
Moin,

Zitat von @Ex0r2k16:
Zero Days per Mail zB.

Moin,

ich habe sowohl Kunden mit o365 als auch OnPremise Exchange mit NoSpamProxy oder HornetSecurity.
Auch da kommen zwischendurch Mails mit unfreundlichen Inhalt oder Anhängen an.
Teilweise nur ein Link der zu einem Link und zu einem Link mit IP-Filter führt. Dort ist das eine kennwortgeschützt ZIP- oder PDF-Datei und das Kennwort ist in einer 2. Mail.

Technische Sicherheit hat ihre Grenzen. Du kannst Die Schwachstelle Mensch nicht absichern wenn diese noch mit den Computern arbeiten sollen.

Vermutlich ist deren IT wie die eines normalen KMU-Kunden.
Nur das nötigste und unbedarfte und ungeschulte Anwender.

Viele Grüße

Stefan
Mitglied: Ex0r2k16
Ex0r2k16 12.07.2021 um 10:52:02 Uhr
Goto Top
Zitat von @StefanKittel:

Moin,

Zitat von @Ex0r2k16:
Zero Days per Mail zB.

Moin,

ich habe sowohl Kunden mit o365 als auch OnPremise Exchange mit NoSpamProxy oder HornetSecurity.
Auch da kommen zwischendurch Mails mit unfreundlichen Inhalt oder Anhängen an.
Teilweise nur ein Link der zu einem Link und zu einem Link mit IP-Filter führt. Dort ist das eine kennwortgeschützt ZIP- oder PDF-Datei und das Kennwort ist in einer 2. Mail.

Technische Sicherheit hat ihre Grenzen. Du kannst Die Schwachstelle Mensch nicht absichern wenn diese noch mit den Computern arbeiten sollen.

Vermutlich ist deren IT wie die eines normalen KMU-Kunden.
Nur das nötigste und unbedarfte und ungeschulte Anwender.

Viele Grüße

Stefan

Kennwortgeschützte Zips deswegen auch verbieten :) face-smile Leider ist das normale O365 ohne(!) ATP Addon nur sehr schwach auf der Brust. Auch bei den Anhängen. Aber wenn man das einmal aktiviert hat, will mans nicht mehr missen. Alleine dieses Safe Links Feature, wo MS sich quasie bei jedem externen Link reinschreibt ist schon Gold wert. Etc. pp.
Mitglied: Scirca
Scirca 12.07.2021 um 11:51:55 Uhr
Goto Top
Wie andere schon geschrieben haben, bei Email keine Ausnahme. Die ganzen Office Dokumente und Archivdateien alles Quarantäne darfst dir nur die IT Abteilung zustellen lassen.
Wenn man vielleicht irgendwas mit ATP hat also etwas was das schon mit einer Laufzeitanalyse auswerten kann, ist das schonmal nicht schlecht.
Aber gerade bei Virensiganturen, Bytecode und anderen neuren Teilen hilft einer nicht viel. Da brauchst du Massen Scans, sowieso wie Virustotal. Gibt es viel zu oft, das eine Malware mal noch nicht bekannt ist bei dem ein oder anderen AV Hersteller. Zack genau so eine geht dann mal durch.
Mitglied: Vision2015
Vision2015 12.07.2021 um 12:09:13 Uhr
Goto Top
Zitat von @Ex0r2k16:

Zero Days per Mail zB.

sorry... aber da schützt von selber nix, egal ob du den exchange im büro hast, oder in den wolken!
selbst wenn du alle MS Office Formate sperrst, und da böse links in mails sind- oder gar auf webseiten... hilft nur Intelligenz!

Frank
Mitglied: Ex0r2k16
Ex0r2k16 12.07.2021 um 13:43:23 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @Ex0r2k16:

Zero Days per Mail zB.

sorry... aber da schützt von selber nix, egal ob du den exchange im büro hast, oder in den wolken!
selbst wenn du alle MS Office Formate sperrst, und da böse links in mails sind- oder gar auf webseiten... hilft nur Intelligenz!

Frank

Na dann informier dich mal über ATP ;-) face-wink Ich bin kein MS Fan aber ich behaupte mal das is das sicherste was man als Admin aktuell machen kann. Und jetzt: Steinigt mich :) face-smile
Mitglied: Vision2015
Vision2015 12.07.2021 um 13:54:00 Uhr
Goto Top
Zitat von @Ex0r2k16:

Zitat von @Vision2015:

Zitat von @Ex0r2k16:

Zero Days per Mail zB.

sorry... aber da schützt von selber nix, egal ob du den exchange im büro hast, oder in den wolken!
selbst wenn du alle MS Office Formate sperrst, und da böse links in mails sind- oder gar auf webseiten... hilft nur Intelligenz!

Frank

Na dann informier dich mal über ATP ;-) face-wink Ich bin kein MS Fan aber ich behaupte mal das is das sicherste was man als Admin aktuell machen kann. Und jetzt: Steinigt mich :) face-smile
der glaube versetzt berge.... :-) face-smile
Frank
Mitglied: Ex0r2k16
Ex0r2k16 12.07.2021 um 13:54:47 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @Ex0r2k16:

Zitat von @Vision2015:

Zitat von @Ex0r2k16:

Zero Days per Mail zB.

sorry... aber da schützt von selber nix, egal ob du den exchange im büro hast, oder in den wolken!
selbst wenn du alle MS Office Formate sperrst, und da böse links in mails sind- oder gar auf webseiten... hilft nur Intelligenz!

Frank

Na dann informier dich mal über ATP ;-) face-wink Ich bin kein MS Fan aber ich behaupte mal das is das sicherste was man als Admin aktuell machen kann. Und jetzt: Steinigt mich :) face-smile
der glaube versetzt berge.... :-) face-smile
Frank

ich glaube ja nicht, ich behaupte sogar ganz frech! :-P
Mitglied: Ausserwoeger
Ausserwoeger 13.07.2021 aktualisiert um 16:48:23 Uhr
Goto Top
Zitat von @Ex0r2k16:


ich glaube ja nicht, ich behaupte sogar ganz frech! :-P

Hi

Also ATP betreiben auch andere Hersteller nicht nur MS und nicht nur für Office 365 sondern für das gesammte Unternehmen (auch für die on premise seite des Unternehmens).
Ich persönlich finde die Lösungen besser da man alles aus einer Hand hat.
Aber Grundsätzlich hast du schon recht ATP ist schon recht Mächtig.

In dem Fall würde mich der Infektionsweg auch Intressieren. Ich möchte nicht er Mitarbeiter sein der auf den Link geklickt hat :) face-smile !
Ich möchte aber auch nicht der ITler sein der erklären muss warum hier das Sicherheitskonzept falls es eines gibt versagt hat.
Wo war den der Virenschutz, Webfilter, Spamfilter usw. usw. usw.

Ich hoffe das die wenigstens Ihre Backups nicht im selben Netz haben.
(Bzw. muss man ja als erstes hoffen das sie überhaupt Backups haben)

LG
Mitglied: C.Caveman
C.Caveman 18.07.2021 um 10:39:27 Uhr
Goto Top
Mal ein kleines Update.
Ab dem 19.07.2021 soll der Mail-Server wieder Online gehen.
https://www.mdr.de/nachrichten/sachsen-anhalt/dessau/anhalt/hackerangrif ...
und 200MB an vertraulichen Daten sind im "Darknet" aufgetaucht.
Heiß diskutierte Beiträge
general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 13 StundenFrageBenchmarks32 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

info
Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)wolfbleVor 1 TagInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server18 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
AD-Domäne über VPN beitreten -Ist das möglich?EnrixkVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo, ich bräuchte mal einen Rat von einem Netzwerkprofi. Ich habe bei mir zuhause ein Heimnetzwerk mit AD-Domäne, entsprechenden Ordnerfreigaben, NAS und servergespeicherten Windows-Profilen. Wenn ...

question
Abschlussprojekt - FiSi gelöst VerbranntesHuhnVor 1 TagFrageWeiterbildung6 Kommentare

Hallo zusammen, ich bin derzeit auf der Suche nach einem Abschlussprojekt (max. 35 Stunden) - Abgabe des Antrags - Stichtag 02.08.2021. Ich weiß jedoch nicht ...