In Schweden ist es zu einem massiven IT-Sicherheitsvorfall gekommen. Betroffen ist Miljödata, eine Software-HR Bude, dessen Systeme in rund 80% der schwedischen Kommunen und Städte zum Einsatz kommt. Die Plattform verarbeitet besonders sensible Personaldaten, dem zentralsten Datenpool des öffentlichen Sektors mit:1 Personalakten Arbeitsunfälle und Vorfälle medizinische Bescheinigungen Rehabilitationsfälle Daten zum Arbeitsschutzmanagement Der Fall erinnert stark an den Angriff auf den kommunalen Zweckverband SIT.2 Auch da fielen in Südwestfalen großflächig zahlreiche kommunale Systeme aus. Wie der öffentlich gewordene Incident Report damals zeigte: Fehlende bzw. keine Auswertung von Protokollen und Logs, keine Segmentierung, keine Systemhärtung: Völliger Blindflug im Betrieb eines Rechenzentrums.3 Read more

Der größte IT Infrastruktur-Kollaps der Bundesrepublik mit 1.4 Mio betroffenen Bürgern jährt sich. Ende September soll die Wiederherstellung abgeschlossen sein, so die SIT bereits im Juli. Heise macht ein “Neun Monate nach Cyberangriff: Südwestfalen IT ist wieder online” daraus unter Nennung des Endtermins: 30.09.2024.1 Ich komme auf 11 Monate - Oktober 2023 bis September 2024. Eine Randnotiz in der Analyse voller PR-Spins2, Widersprüche und einer strukturell kaputten Digitalisierung. Viel Spaß beim Lesen! Read more

Beim gemütlichen Lesen des Abschlussberichtes1 des Ransomware Vorfalles bei der Südwestfalen IT (SIT) komme ich aus dem Kopfschütteln nicht raus. Neben den haarsträubenden Managementfehlern offenbart dieser weder Incident-Management noch eine gelebte Sicherheits-Kultur. Das i-Tüpfelchen bildet die Hinterlegung des Domänen-Administrator Passwortes in einer Gruppenrichtlinie. Es wurde festgestellt, dass das Kennwort des Domänen-Administrators intra.lan\Administrator seit 2014 in einem Gruppenrichtlinienobjekt in entschlüsselbarer Textform hinterlegt war. Da mein Blog auch von einigen Windows-Administratoren gelesen wird: Prüft bitte Eure ADs mit den frei verfügbaren Tools wie zum Beispiel PowerSploit2 oder veeam-creds3. Automatisiert können EventID Logs mit Graylog4 oder Chainsaw5 überprüft werden. Read more