Hochsauerlandkreis. Ein Einfallstor wurde nicht geschlossen. Das Unternehmen wusste Bescheid, aber handelte nicht. Das könnte es den Hackern erleichtert haben.
Hätte der Hack auf den Hochsauerlandkreis verhindert werden können? Erste Recherchen zeigen: Trotz bekannter Sicherheitslücken bei Produkten der Netzwerkfirma Cisco wurden nicht alle Mitarbeiter der Südwestfalen IT auf die Multifaktor-Authentifizierung (MFA) umgestellt. Damit standen den Hackern möglicherweise die entscheidenden Türen für den Angriff offen. In der Welt der Online-Sicherheit dient die Multifaktor-Authentifizierung als zusätzliche Schutzschicht für digitale Konten. Statt sich nur auf ein Passwort zu verlassen, wird ein weiterer Sicherheitsschritt eingeführt. Das kann beispielsweise ein Code sein, der auf das Handy geschickt wird.
Sicherheitsvorschriften möglicherweise nicht beachtet
Mit MFA wird der Zugriff auf ein Konto komplizierter, selbst wenn jemand das Passwort kennt. Es ist, als würde man ein zusätzliches Schloss anbringen – selbst wenn jemand den Schlüssel hat, benötigt er immer noch einen zweiten, um Zugang zu erhalten. Das erschwert es Hackern erheblich, auf persönliche Informationen zuzugreifen.
Ein Sprecher von Südwestfalen bestätigt gegenüber der Westfalenpost das Versäumnis. Zuvor hatte die Zeitung Welt darüber berichtet: „Die Multi-Faktor-Authentifizierung war ersten Erkenntnissen nach nicht flächendeckend verteilt“, so der Sprecher.
Offiziell geklärt ist das jedoch noch nicht: Noch im Januar soll jedoch ein forensischer Bericht die Ursachen näher beleuchten, heißt es aus dem Umfeld des Unternehmens. Auch wer hinter dem Hack steht, ist noch nicht gänzlich klar. Es gab keine Kontakte zwischen der Südwestfalen IT und den Tätern. Experten vermuten aber, dass der Angriff mit der Akira-Gruppe in Verbindung gebracht werden kann. Die Hackergruppe Akira sorgt seit März 2023 für Schlagzeilen, indem sie gezielte Ransomware-Angriffe auf Unternehmen und Behörden in verschiedenen Ländern ausführt. Die Gruppe fordert hohe Lösegelder für die Entschlüsselung oder das Löschen von gestohlenen Daten, die sie auf einer speziellen Website veröffentlicht. Schon im August warnte Hardwarehersteller Cisco, dass Akira einen Weg gefunden habe, in Systeme einzubrechen, wenn es dort keine Multi-Faktor-Authentifizierung (MFA) gibt.
Mehr aus dem Altkreis Brilon
- Neuer Bohrer im Briloner Krankenhaus kann Leben retten
- Glasfaser und Kirmes: Das sind die Google-Trends in Brilon
- Medebach: Diese Projekte sind 2024 für die Stadt wichtig
- Brauerei Westheim geht neue Wege: Fusion mit Allersheim
Laut verschiedenen Sicherheitsforschern hat die Akira-Ransomware eine starke Verbindung zur Conti-Ransomware, die im Jahr 2023 mehrere prominente Opfer wie die irische Gesundheitsbehörde und die US-Pipeline Colonial Pipeline infizierte. Conti wiederum gilt als Nachfolger der Ryuk-Ransomware, die seit 2018 aktiv ist. Die Akira-Gruppe soll den Quellcode von Conti genutzt haben, um ihre eigene Ransomware zu entwickeln oder zu verbessern.
Die genaue Herkunft der Gruppe ist zwar nicht klar. Es wird jedoch vermutet, dass die Gruppe vor allem aus Osteuropa operiert. Die Akira-Ransomware zeichnet sich durch einige Besonderheiten aus, wie zum Beispiel einen Retro-Look ihrer Website, die an alte Computerspiele erinnert, oder die Möglichkeit, den Opfern verschiedene Zahlungsoptionen anzubieten. Die Gruppe nutzt auch eine doppelte Erpressungstaktik, bei der sie nicht nur die Daten verschlüsselt, sondern auch kopiert und droht, sie zu veröffentlichen oder zu verkaufen, wenn das Lösegeld nicht gezahlt wird. Die Akira-Gruppe hat es vor allem auf kleine und mittelständische Unternehmen abgesehen, die oft über unzureichende Sicherheitsmaßnahmen verfügen. Die Gruppe nutzt verschiedene Einfallstore, wie zum Beispiel Cisco VPN-Produkte, die keine Multifaktorauthentifizierung haben, oder Phishing-E-Mails, die gefälschte Rechnungen oder Bewerbungen enthalten. Die Lösegeldforderungen variieren je nach Größe und Bedeutung der Opfer, liegen aber meist zwischen 200.000 und vier Millionen US-Dollar.
Kosten können noch nicht beziffert werden
Trotz der möglicherweise nicht beachteten Sicherheitslücke hat die Südwestfalen IT zumindest beim Thema Backups ordentlich gehandelt. So konnten sämtliche Daten gesichert werden. Trotzdem müssen viele Systeme nun neu aufgebaut werden, um weitere Angriffe zu verhindern.
Ein Gerücht, das sich auch in Brilon verbreitete, hielt dem Unternehmen vor, das Passwort für die Server sei „admin 1234“ oder ähnlich gewesen: Das trifft nicht zu, so ein Sprecher des Unternehmens: „Das Gerücht hält sich hartnäckig. Vermutlich geht das auf eine Überschrift in einer Siegener Zeitung zurück, in der ein Experte ein solches Passwort als Negativbeispiel erwähnt hat. Das hatte aber nichts mit uns zu tun“, so das Unternehmen auf Anfrage der Westfalenpost.
Wie hoch die Kosten liegen, die durch den Hack entstanden sind, kann derzeit noch nicht beziffert werden: „Eine Zusammenfassung mit belastbaren Zahlen haben wir momentan noch nicht. Auch eine grobe Größenordnung kann deshalb aktuell nicht angegeben werden. Es gibt beispielsweise Kosten für die Anmietung von Räumlichkeiten, um beim Kreis Paderborn arbeiten zu können. Dazu sind Sachkosten angefallen. Oder auch die Fahrtkosten, die die Mitarbeiter geltend machen, wenn sie auswärts arbeiten, zum Beispiel in Paderborn oder Korbach“, so Kreissprecher Martin Reuther. Bis heute befinden sich die angefallenen Kosten in einem überschaubaren Rahmen, so Reuther, es dürften bislang einige zehntausend Euro sein.
Auch auf das HSK-Kennzeichen müssen die Sauerländer weiterhin verzichten: „Die Sache hat Priorität“, berichtet Martin Reuther, Pressesprecher des Hochsauerlandkreises. Allerdings: „Uns ist kein Datum bekannt, ab wann es wieder geht.“ Wer sich daran nicht stört, im Hochsauerlandkreis auf Dauer ein Kennzeichen mit einer fremden Kennung am Auto zu haben, kann in Zukunft übrigens damit weiterfahren. Lange Zeit war die Antwort offen auf die Frage, wie es mit jenen weitergeht, die lieber ein vertrautes HSK-Kennzeichen haben möchten, sobald die IT im Kreishaus wieder arbeitet und einen Wechsel zulässt. Dazu hat jetzt der Kreistag parteiübergreifend eine Entscheidung getroffen. Demnach sollen für die Betroffenen keine Gebühren für die Ummeldung anfallen.