03.02.2025
Im Oktober 2023 wurde die Südwestfalen-IT (SIT) Opfer des bisher schwerwiegendsten Cyberangriffs auf eine kommunale IT-Infrastruktur. Als Partner unterstützte r-tec den IT-Dienstleister dabei, die Schäden des Angriffs effektiv einzudämmen und die Systeme schnell wiederherzustellen. Darüber hinaus modernisierte r-tec die IT-Sicherheitsarchitektur, implementierte fortschrittliche Systeme zur Angriffserkennung sowie eine professionelle Incident-Response. Dadurch konnten bereits weitere Angriffsversuche erfolgreich abgewehrt werden. Mehr als ein Jahr nach dem folgenschweren Angriff fassen wir die zentralen Erkenntnisse für die Cyber Security von Organisationen zusammen.
Beispielloser Angriff auf kommunale IT-Systeme
Am 29. Oktober 2023 wurde die Südwestfalen-IT (SIT) Opfer eines schweren Cyberangriffs, der weitreichende Auswirkungen auf die kommunale IT-Infrastruktur in Südwestfalen hatte. Über 70 Kommunen mit insgesamt rund 1,7 Millionen Einwohnern waren betroffen, da zentrale IT-Dienstleistungen ausfielen.
Der Angriff führte zur Verschlüsselung von mehr als 1.400 Servern, die größtenteils neu aufgesetzt werden mussten. Darüber hinaus mussten Verbindungen zu etlichen externen Webanwendungen überprüft und analysiert werden. Insgesamt waren etwa 22.000 Arbeitsplätze in den Verwaltungen betroffen, was zu erheblichen Einschränkungen führte. Sämtliche digitale Verwaltungsdienste der Verbandskommunen wurden zeitweise lahmgelegt – einschließlich Bürger-, Finanz- und Sozialdiensten.
Zwar wurde kein Datenabfluss festgestellt, und die Backups blieben von der Ransomware verschont. Dennoch führte die große Zahl potenziell kompromittierter Systeme sowie die Notwendigkeit gründlicher Sicherheitsprüfungen und der Einführung präventiver Maßnahmen dazu, dass die Wiederherstellung mehrere Monate in Anspruch nahm. Die Anwendungen wurden nach einer Priorisierungsliste wiederhergestellt: Neun Monate nach dem Angriff konnten die Online-Dienstleistungen für die Bürger in den betroffenen Kommunen wieder vollständig oder nahezu vollständig angeboten werden.
Bei dem Angriff handelte es sich um die bis dato bundesweit schwerste und komplexeste Cyberattacke auf eine kommunale IT-Infrastruktur. Dennoch haben wir es geschafft, in vergleichsweise kurzer Zeit, die Systeme wieder zum Laufen zu bringen. Unser Dank gilt allen Beteiligten für ihre unermüdliche Unterstützung bei der Krisenbewältigung – und ebenso den Bürgerinnen und Bürgern, von denen streckenweise sehr viel Geduld und Verständnis gefordert war.
Mirco Pinske, Geschäftsführer der Südwestfalen-IT
Wie r-tec die Südwestalen-IT unterstützt hat
Nach intensiver Angriffsbekämpfung, Schadensbegrenzung und Systemwiederherstellung konnte die Südwestfalen-IT am 30. September 2024 wieder zum Normalbetrieb zurückkehren. Dass die Systeme und rund 160 Anwendungen des IT-Dienstleister wieder sicher laufen und kritische Systeme und Dienstleistungen sogar schon nach vergleichsweise kurzer Zeit wieder verfügbar waren, liegt auch an der Unterstützung durch r-tec. Unsere Leistungen umfassten in erster Linie die folgenden Punkte:
- Sofortmaßnahmen, um alle potenziell betroffenen Systeme in einer kontrollierten Umgebung untersuchen zu können und um den Notbetrieb der Krisenorganisation sicher zu gewährleisten
- Umfassende Angriffsanalyse, inklusive der Identifizierung von Einfallstoren, Sicherheitslücken und Schwachstellen
- Strategische Beratung und gemeinsame Erarbeitung einer Roadmap für die Cyber Security und IT-Sicherheit der Südwestfalen-IT
- Aufbau einer Sicherheitsarchitektur, die langfristig Schwachstellenprävention und schnelle Reaktion auf Cyberangriffe gewährleistet
- Implementierung einer EDR-Lösung im Rahmen des r-tec Managed Detection und Response Services (MDR) zur aktiven Erkennung, Abwehr und 24/7-Überwachung potenzieller Risiken und Angriffe
- Kontinuierliche Begleitung und Bereitschaft als Incident-Response-Team bei eventuellen zukünftigen Vorfällen und Cyberattacken
Wichtige Erkenntnisse aus dem Cyberangriff
Nach der Schadensbegrenzung und Eindämmung des Angriffs lag der Fokus auf einer umfassenden forensischen Analyse, um den Vorfall vollständig aufzuklären. Für r-tec war schnell klar, dass es „die eine“ ursächliche Lücke nicht gab. Die Angreifer nutzten eine Schwachstelle in einer softwarebasierten VPN-Lösung aus, um sich Zugang zum Netzwerk zu verschaffen. Anschließend erhöhten sie ihre Rechte in einer zentralen Windows-Domäne und erlangten so Zugriff auf zentrale Systeme. Diese ermöglichten es ihnen, tiefer ins Netzwerk einzudringen und Zugriff auf zentrale Fachverfahren und weitere sensible Systeme zu erlangen.
Unser Forensik-Bericht zeigt, dass ein Zusammenspiel aus verschiedenen Verwundbarkeiten vorlag. So sehen wir das praktisch immer – es gibt ein singuläres Einfallstor und dann kombinieren die Angreifer mehrere weitere Schwächen, um ans Ziel zu gelangen.
Marek Stiefenhofer, Geschäftsführer der r-tec
Eine der zentralen Erkenntnisse aus dem Vorfall ist, dass eine effektive Cyberverteidigungsstrategie weit über reine Schutzmaßnahmen hinausgehen muss. Entscheidend ist die Fähigkeit, erfolgreiche Angriffe frühzeitig zu erkennen und abzuwehren. Dazu ist eine kontinuierliche Überwachung aller Systeme notwendig, um auch scheinbar unbedeutende Schwachstellen zu identifizieren, die Angreifern als Einfallstor dienen könnten. Ebenso essenziell ist die Fähigkeit, schnell und gezielt auf Angriffe zu reagieren, sobald Anomalien oder Muster erkannt werden, die auf Cyberattacken oder die Ausnutzung von Schwachstellen hindeuten. Dies erfordert nicht nur leistungsstarke Software und Technik, sondern auch qualifizierte Fachkräfte mit den entsprechenden Kompetenzen und der notwendigen Reaktionsbereitschaft.
Managed Detection und Reponse Services konnten bereits weitere Angriffe abwehren
Um die Cyber Security der Südwestfalen-IT nachhaltig zu stärken, implementierte r-tec seinen 24x7 Premium Service für Managed Detection and Response (MDR) auf Basis einer führenden Endpoint Detection and Response Lösung (EDR). Dieser beinhaltet die aktive Erkennung, Abwehr und 24/7-Überwachung potenzieller Risiken und Angriffe, wodurch Angreifer frühzeitig identifiziert und gestoppt werden können. Darüber hinaus steht r-tec der Südwestfalen-IT als Incident-Response-Team dauerhaft zur Seite, um auch bei möglichen künftigen Bedrohungen schnell und professionell zu reagieren. Diese Maßnahmen haben bereits erste Erfolge gezeigt: Weitere Angriffsversuche auf die Südwestfalen-IT konnten erfolgreich abgewehrt werden.
Cyber Security Readiness: Mehr als nur ein Buzzword
Der Cyberangriff auf die Südwestfalen-IT (SIT) hat eindrucksvoll gezeigt, dass Cyber Security Readiness mehr ist als ein Schlagwort. Die Fähigkeit, auf Cyberbedrohungen vorbereitet zu sein, entscheidet über die Widerstandsfähigkeit einer Organisation. Eine umfassende Cyber Security Readiness umfasst nicht nur präventive Schutzmaßnahmen, sondern auch die Fähigkeit, Angriffe frühzeitig zu erkennen und effektiv darauf zu reagieren.
Vielen Unternehmen fehlt jedoch die notwendige Expertise und das qualifizierte Personal, um diese Anforderungen eigenständig zu erfüllen. Hinzu kommt, dass einige Organisationen immer noch zu geringe Budgets für Cyber Security bereitstellen, wodurch der Aufbau einer nachhaltigen Sicherheitsstrategie zusätzlich erschwert wird.
Partnerschaften wie die zwischen der Südwestfalen-IT und r-tec sind ein Modell, von dem nicht nur öffentliche Einrichtungen und kommunale Dienstleister profitieren: Externe Experten können die Lücken bei Fachkräften und in Prozessen schließen, die heute über den Unterschied zwischen erfolgreicher Abwehr und folgenschwerem Angriff entscheiden.
Mit dem Managed Detection and Response Service sowie dem inkludierten Incident Response Service hat die r-tec die Cyber Security der Südwestfalen-IT nun auf den neusten Stand gehoben und stellt sicher, dass dies auch in Zukunft so bleibt.
UNSERE LEISTUNGEN
Der Managed Detection and Response (MDR) Service kombiniert innovative Technologien mit unserem Know-how im Bereich der Qualifizierung und Bewertung von Bedrohungen. Unsere Experten überwachen Ihre IT-Umgebung, analysieren verdächtige Ereignisse und schlagen bei Angriffen Alarm. Der Service enthält außerdem alle Leistungen unseres Incident Response Service, sodass Sie im Ernstfall innerhalb garantierter Reaktionszeiten Unterstützung bei der Angriffsabwehr und -bewältigung erhalten.
Weitere Informationen zum Managed Detection and Response Service
Mit unserem Incident Response Service stellen wir sicher, dass Ihrem Unternehmen im Ernstfall die richtigen Ressourcen und Kompetenzen zur Verfügung stehen. Sie zahlen eine feste monatliche Pauschale und wir bieten Ihnen dafür einen zuverlässigen Bereitschaftsdienst.
Warum r-tec?
- Technisch voraus, menschlich auf Augenhöhe
- Passgenaue Servicelösungen, kurze Reaktionszeiten, schnelle Terminierung, direkter Expertenkontakt
- Schnelle Hilfe im Angriffsfall
- ausgeprägte Service Struktur
- 25 Jahre Erfahrung in Konzeption, Aufbau und Betrieb von Cyber Security Lösungen
- ISO 9001 und ISO 27001 zertifiziert
Kontaktieren
Sie uns!
Sie haben ein IT Security-Projekt, bei dem wir Sie unterstützen können? Wir beraten Sie gerne! Hier können Sie ein unverbindliches und kostenloses Erstgespräch vereinbaren.