IT-Sicherheit und Infrastruktur

Anfrage der Wirtschaftsvereinigung (MIT) an die CDU-Fraktion

Wie ist/war die Stadt Witten im Vergleich (zu anderen Kommunen) sicherheitstechnisch (bisher) aufgestellt?

Unter Berücksichtigung der nachfolgenden Informationen, ist die Stadt Witten nicht besser aber auch nicht schlechter als viele andere Kommunen auch aufgestellt. Zwar wurde die vorhandene Festplattensicherung beim Angriff auf die Stadt gelöscht, allerdings gab es noch die langsamere Bandsicherung, die nicht vom Angriff betroffen war. Auf Basis dieser Bandsicherung läuft zur Zeit der Wiederaufbau der Infrastruktur. Ansonsten muss man festhalten, dass zur Prüfung von eingehenden Datenpaketen Malware Scanner verwendet werden. Das Netzwerk ist außerdem von außen abgeschirmt.

Laut H. Hasenberg (Leiter der Wittener-IT) werden Proxyserver verwendet, die dem Zugriff auf das Internet vorgeschaltet sind. Diese Server (mit integrierten Filtern) sorgen dafür, dass schadhafte Software draußen bleibt. Es gibt ein Patch-Management, um Programme und Betriebssysteme auf dem neuesten Stand zu halten und außerdem werden wechselnde Passwörter für die Zugänge verwendet. Benutzerkonten haben nur die unbedingt erforderlichen Berechtigungen.

Wie konnte dann trotz der vorhandenen Sicherheitsmechanismen ein solcher Schaden entstehen?

Die verwendeten Sicherheitsmechanismen sind darauf ausgelegt, Schadprogramme (so genannte Ransomware) aus dem Netzwerk herauszuhalten. Der Angriff hat unter Verwendung eines gültigen Benutzerkontos von innen stattgefunden. Das heißt, viele Sicherheitsmechanismen konnten nicht greifen und das zeigt deutlich, wie wichtig der sorgsame Umgang mit anvertrauten Zugangsdaten ist. Stadtkämmerer Kleinschmidt wies dazu in der Ratssitzung am 08.11.2021 darauf hin, dass im Intranet der Verwaltung extra Verhaltensweisen zum Umgang mit Benutzerkonten zu finden sind. Bei Nichtbeachtung, drohen den Mitarbeiter/-innen dienstrechtliche Konsequenzen…

Inwiefern ist die CDU-Fraktion-Witten davon betroffen?

Anfang Oktober, bevor der Einbruch ins System bekannt wurde, hat die CDU-Fraktion eine gemeinsame Anfrage mit den Piraten zum Thema Ransomware eingereicht. In der CDU-Fraktion fragt man sich, unter Berücksichtigung der vorliegenden Fakten, war den Piraten möglicherweise bekannt, dass sie ausspioniert worden waren oder konnten sie es zumindest ahnen? Warum gab es keine Hinweise, dass es einen Ransomware-Vorfall (bereits im September) bei den Piraten gegeben hatte?

In der WAZ vom 09.11.2021 ist dazu folgendes zu lesen:

„Es war bekannt geworden, dass Hacker über einen Zugang der Piraten-Fraktion ins städtische Computersystem eingedrungen waren. Piraten-Chef Borggraefe hatte in diesem Zusammenhang erklärt, Boddens privater Rechner sei verseucht gewesen. Dazu Bodden: „Mein Facebook-Account ist im September gehackt worden.“

Hier bleibt festzuhalten: man wusste definitiv, dass es einen entsprechenden Vorfall gegeben hat. Warum wurden nicht (vorsorglich) weitere Stellen informiert? Ansonsten ist man ja auch sehr für Transparenz!

Die Bedeutung des Kontos, jedenfalls war den Piraten bekannt:

Auszug aus der Stellungnahme (https://piraten-witten.de/stellungnahme-zumangriff-auf-die-it-der-stadt-witten/) vom 06.11.2021:

„Da es sich bei dieser E-Mail-Adresse um ein Windows-Benutzerkonto handelte, konnte man sich mit diesen Zugangsdaten auch auf dem virtuellen PC der Fraktion einloggen, der von der Stadt Witten zur Verfügung gestellt wurde.“

Ist die geforderte 2-Faktor-Authetifizierung (kurz 2FA) die Lösung?

Sie ist, sicherlich, ein Teil der Lösung aber nicht ausschließlich. Auch eine 2FA kann kompromittiert werden, siehe (1). Deshalb muss ein ganzes Bündel an Maßnahmen durchgeführt werden, damit sich solche Vorfälle zukünftig nicht wiederholen.

Weitergehende Infos zur 2FA

(1) Computerwoche vom 22.06.2021 https://www.computerwoche.de/a/zweifaktor-
authentifizierung-mit-tuecken,3547792

(2) OneSpan Blog vom 04.02.2020 https://www.onespan.com/de/blog/wie-angreifer-die-moderne-zwei-faktorauthentifizierung-umgehen-und-wie-sie-ihre-benutzer