Hochsauerlandkreis. Der bekannte IT-Experte Felix von Leitner kritisiert das Unternehmen nach dem Hackerangriff: „Niemand außer ihnen selbst trägt die Verantwortung“

Der Hack auf die Systeme des Betreibers Südwestfalen IT hatte große Auswirkungen: Autos konnten nicht mehr angemeldet, Personalausweise nicht mehr ausgestellt werden. Auch die Auszahlung von Transferleistungen war zwischenzeitlich nur eingeschränkt möglich.

Mittlerweile ist klar: Der Hack wäre vermeidbar gewesen. Das Unternehmen hat bekannte Sicherheitslücken nicht geschlossen. Das bestätigt auch ein forensischer Bericht, der vor kurzem veröffentlicht wurde. Aber daran entzündet sich nun Kritik.

Mehr aus dem Altkreis Brilon

So schreibt das Unternehmen Südwestfalen IT in einer Pressemitteilung zum Ergebnis des Berichtes: Den Zugang zum internen Netzwerk erlangten die Angreifer über eine softwarebasierte VPN-Lösung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte. Auf welchem Weg die dafür benötigten Zugangsdaten abgegriffen wurden, konnte nicht abschließend aufgeklärt werden, heißt es in der Mitteilung des Unternehmens.

Ein Zero Day bezeichnet eine Schwachstelle in einer Software oder einem Betriebssystem, die den Entwicklern noch nicht bekannt ist und daher noch nicht behoben wurde.

Lücke war bereits bekannt

Der bekannte Sicherheitsexperte und Blogger Felix von Leitner hält das für Unsinn. Insbesondere die Behauptung, dass das Unternehmen von einer Zero-Day-Schwachstelle betroffen worden wäre: „Der Angriff war am 29. Oktober. Für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt wurde. Das ist also das glatte Gegenteil von Zero-day“, so Felix von Leitner auf seinem Blog. Felix von Leitner, auch bekannt unter dem Pseudonym „Fefe“, ist eine prominente Persönlichkeit in der deutschen Informatikszene. Geboren im Jahr 1974, erlangte er Bekanntheit durch seinen populären Blog „Fefes Blog“, auf dem er seit Anfang der 2000er Jahre regelmäßig zu Themen der Informationstechnologie, Sicherheit und Datenschutz schreibt. Aus seiner Sicht versuche das Unternehmen damit von seinen eigenen Fehlern abzulenken: „Die versuchen hier mit Zero-Day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung“, so von Leitner.

Laut Forensik-Bericht könnte eine Brute-Force-Attacke stattgefunden haben, teilt Südwestfalen IT mit. Sicherheitslücken in der intra.lan ermöglichten es den Angreifern, die Rechte bis zur Domain-Administrationsberechtigung zu erhöhen. Die Aktivitäten der Angreifer konzentrierten sich auf die Windows-Domäne intra.lan, die zentrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet. Andere Domänen waren nicht betroffen, heißt es in der Mitteilung des Unternehmens,

Bei der Südwestfalen IT wurden jedoch offenbar Konsequenzen gezogen. So startet in dieser Woche ein neuer Geschäftsführer: Zum 1. Februar beginnt der neue Geschäftsführer Mirco Pinske seine Arbeit bei der Südwestfalen-IT. Zu seinen vordringlichsten Aufgaben gehöre es, so Südwestfalen IT, den gesamten Vorfall umfassend aufzuarbeiten und die entsprechenden Konsequenzen abzuleiten, um einen Vorfall solchen Ausmaßes künftig bestmöglich auszuschließen, heißt es in einer Pressemitteilung.

Und auch zu den weiteren Entwicklungen gibt es neue Informationen. Der mit den Kommunen abgestimmte Zeitplan sehe nun vor, so das Unternehmen, die ersten wesentlichen Fachverfahren bis Ende des ersten Quartals dieses Jahres in den Normalbetrieb zu überführen.
„Höchste Priorität haben weiterhin die zügige Wiederherstellung und der sichere Wiederaufbau der Systeme für operative Betriebsfunktionen“, so Verbandsvorsteher Theo Melcher. „Dabei müssen wir uns auch fragen, wie es dazu kommen konnte – das sind wir unseren Kunden und allen Bürgerinnen und Bürgern schuldig.“