Eigentlich wollte ich zu dem IT-Sicherheitsvorfall bei der Stadtverwaltung Aschaffenburg am Tag der Meldung, sprich dem 14.11.2024, etwas schreiben, aber ihr kennt das ja, “IT lenkt immer ab” oder auch “Irgendwas ist ja immer”. Nun also zwei Tage später ein paar Zeilen zu diesem Thema.

Warum schreibe ich überhaupt etwas zur Stadtverwaltung Aschaffenburg? Ganz einfach, wir sind ja nur einen Ort weiter, also geht’s um die Heimat. Man könnte auch sagen “Die Einschläge kommen näher” was auch irgendwie stimmt. Anbei ein paar vergangene bekanntere Vorfälle aus der Region:

Primavera24 – Bessenbach: SAF Ziel von Hackern – Produktion teils unterbrochen

BR24 – Cyberattacke auf Pharmagroßhändler: Lieferprobleme für Apotheken

hessenschau – Stadtverwaltung lahmgelegtRussische Organisation steckt hinter Hackerangriff auf Rodgau

Das sind jetzt nur die Beispiele die mir spontan einfallen. Da gibt es mit Sicherheit noch viel mehr, vor allem die ganzen kleineren Betriebe die “nur” von “Durchschnitts-Erpressungstrojaner” (keine zielgerichteten Angriffe) betroffen waren und dann ist da noch die Dunkelziffer, denn nicht jeder meldet Vorfälle (selbst wenn es so mancher müsste).

Hier mal ein paar Meldungen zum Vorfall aus den vergangenen zwei Tagen:

Stadt Aschaffenburg – Hackerangriff: Rathaus heute und morgen geschlossen

Stadt Aschaffenburg – Hackerangriff: Rathaus am Montag wieder geöffnet

Borns IT- und Windows-Blog – Cyberangriff auf Stadtverwaltung Aschaffenburg

inFranken – Hackerangriff auf Aschaffenburg: Alle Systeme vom Netz – Rathaus geschlossen

BR24 – Hacker legen Aschaffenburger Rathaus komplett lahm

Primavera24 – Hackerangriff in Aschaffenburg: Rathaus wieder online

Gerne hätte ich an dieser Stelle gerne die Artikel des Main Echos verlinkt, da dieser allerdings hinter einer Bezahlschranke liegen, macht das vermutlich wenig Sinn.

Soweit wie man der Berichterstattung entnehmen kann, fiel das Ganze wohl durch gesperrte Benutzerkonten auf, die schnell nach der Entsperrung wieder gesperrt waren. Kurzum: Wörterbuch-Attacke aka Brute-Force-Angriff. Für einen Hacker–Angriff also relativ einfach und zudem laut. Gemeint ist: Ein zielgerichteter Angriff erfolgt i.d.R. wie folgt:

Zugang erlangen und dauerhaften Zugang sichern. Also erstmal ins Netz kommen und möglichst passiv (also leise) beobachten und auskundschaften, bloß nicht auffallen um nicht entdeckt zu werden. Admin-Rechte z.B. durch abgefangene Hashes und Replay-Angriffe erlangen. Dann Daten abziehen, beim Opfer alles Verschlüsseln oder Löschen und Forderungen stellen (sofern es ums Geld geht).

Soweit die Kurzfassung. Eine Wörterbuch-Attacke fällt hingegen recht schnell auf, so wie in Aschaffenburg durch gesperrte Konten oder, sofern man es überwacht, die Analyse der Sicherheitsprotokolle, bei der häufige fehlgeschlagene Anmeldungen für eine Alarmierung und ggf. Gegenmaßnahmen sorgen.

Was nun genau in Aschaffenburg geschehen ist, wurde wohl noch nicht mitgeteilt. Offenbar hatte man allerdings Glück und das ist auch gut so. Interessant dürfte die Aufarbeitung und die Lehren die man daraus zieht dann werden. Insgesamt liest sich das Alles allerdings so: Da hat jemand versucht reinzukommen, hat es allerdings nicht geschafft.

Folgende Formulierung lies allerdings Fragen aufkommen:

"Wegen eines punktuellen Hackerangriffs auf einige Benutzer- und E-Mailkonten..."

An dieser Stelle wird es spannend. War ein System kompromittiert und erfolgten von hier aus Angriffe beispielsweise auf einen Domänencontroller oder gibt es irgendwelche externen Zugänge, wie z.B. ein Webmail-Interface, das angegriffen wurde? Wird Single Sign-On verwendet zusammen mit einer entsprechend konfigurierten Sicherheitsrichtlinie, wie das Benutzerkonto vorsichtshalber nach einer gewissen Anzahl an Fehlerversuchen gesperrt werden, führt das zu der genannten Situation.

Ob das nun so oder so ähnlich gewesen sein könnte entzieht sich leider meiner Kenntnis. Bei manchen sorgte für etwas Unverständnis das die Stadtverwaltung  auch die Telefonanlage heruntergefahren hat. So überraschend finde ich das nicht, schließlich sind moderne Anlagen letztlich auch nur Server, die nicht gerade selten virtualisiert sind und in Folge eines kompletten Shutdowns ebenfalls Offline gehen. Bei diversen Anlagen gibt es hinsichtlich Integration ebenfalls die Möglichkeit der Anbindung an Anmeldedienste und dann sind wir wieder beim obigen Punkt mit Single Sign-On.

Das so manche weitere Formulierung unglücklich ist, da die Pressemitteilung nun mal nicht von einem ITK-Menschen verfasst wurde, kann man imho verschmerzen und ist wie beim Beispiel der “Heruntergefahrenen Telefonleitungen” aus meiner Perspektive eher zum Schmunzeln. Das ist von mir jetzt in keinster Weise negativ gemeint, man weiß ja was gemeint ist und in einer solchen Situation kann man über sowas auch hinwegsehen.

So schlimm das Ganze ist, so hat die bessere öffentliche Wahrnehmung durch die entsprechende Berichterstattung auch sein gutes. Niemand kann mehr behaupten, er hätte noch nie etwas von einem IT-Sicherheitsvorfall gehört. Vor allem hier in Deutschland nicht nach dem Bundestag-Hack. Das führt dazu, das Interessenten und Bestandskunden mittlerweile regelmäßig nach solchen Vorfällen wie diesen in Aschaffenburg (vor allem wenn es in der Nähe ist) dann nachfragen, was sie noch verbessern könnten.

So war es dann auch am Donnerstag der Fall und so wie es scheint wird die eine oder andere Firma nun Nachrüsten. Es wird also langsam besser.

Den Kollegen von der städtischen IT wünsche ich auf jeden Fall weiterhin viel Glück und hoffentlich taucht im Nachgang nicht noch irgendeine Überraschung auf. Ab Montag soll ja weiter zur Sicherheit untersucht werden.

Update 18.11.2024

Seit heute ist das Rathaus Aschaffenburg offiziell wieder geöffnet. Der Lesart nach bei BR24 ging es wohl wirklich “nur” um einen Angriff auf das Mailsystem, könnte als Webmail, Mail-Protokolle (IMAP, SMTP, …)  o.ä. getroffen haben:

Nach Hackerangriff: Aschaffenburger Rathaus wieder geöffnet

Demnach könnte es gut sein, das jemand lediglich versucht hat Postfächer zu Knacken um Spam- oder Phishing-Nachrichten zu versenden.

Ähnliche Artikel:

  1. TeamViewer erneut kompromittiert (Juni 2024)
  2. All-inkl down
  3. Ein guter Start ins neue Jahr …
  4. 3CX: Desktop-App von Supply-Chain-Attacke betroffen (Weitere Updates verfügbar)
  5. Wofür spendet ihr?