Auf welchem Weg erfolgte der Angriff?

Durch legitime Einwahl in eine Citrixsitzung (XenApp).

Welche neue Datensicherungs-Software/Backup-Lösung setzen Sie nun ein?

Commvault Backup & Recovery, inklusive Bandsicherung und abgesetztem Medienpool.

Wen sollte man bei Eintritt eines Sicherheitsvorfalls informieren?

Pflicht ist bei einer Kommune ohne IT-relevante kritische Infrastruktur (trifft auf die meisten kreisangehörigen Gemeinden zu) die Benachrichtigung der Polizei/LKA und Meldung des Datenschutzvorfalls an die LDI. Darüber hinaus muss man prüfen, was Sinn ergibt. Wir haben z.B. im Kreis ein gemeinsames Netz mit Kreis und den Kommunen. Wir haben alle Kreis IT Leitenden informiert. Wir haben auch andere Rechenzentrum/Städte, die für uns Anwendungen bereitstellen, zeitnah informiert. Auch die wurden informiert.

Wir haben nicht daran gedacht, das Land zu informieren. Der Zugriff auf unsere Meldedaten war ca. vier Wochen von extern nicht möglich. Das hat Nebenwirkungen. Wir haben d-NRW aufgenommen, um dort künftig zu informieren.

Waren Ihre Bänder auch verschlüsselt?

Nein. Weder verschlüsselt, noch gelöscht. Sie waren auch nicht anderweitig kompromittiert.

War eine VLAN Segmentierung vorhanden? Oder wird diese jetzt aufgebaut?

Eine VLAN Segmentierung war im Aufbau und teilweise vorhanden. Wir waren dabei, unsere gewachsene Netzstruktur umzubauen. Es gab aber immer noch ein großes, zentrales Netzwerk. Das gibt es jetzt nicht mehr. Ergänzend wird sämtlicher Traffic jetzt über eine Firewall geführt. Das war vorher nur im Ansatz vorhanden. Wichtige Systeme sind mit ihrem Management jetzt völlig getrennt.

Welche Virtualisierungslösung wurde genutzt? Waren Schnittstellen von außen erreichbar oder alles hinter einer Firewall(s)?

VMWARE – Von außen waren diese Systeme nicht erreichbar.

Wie konnten Sie feststellen, dass es einen Identitätsdiebstahl gegeben hat?

Wir haben nur Anhaltspunkte. Da nahezu alle Systeme verschlüsselt wurden, konnten wir wenig auswerten.

Auf einem nicht verschlüsselten Citrixserver haben wir verdächtige Spuren in Protokolldateien gefunden. Durch die Befragung der Nutzer war schnell klar, dass ein Identitätsdiebstahl stattgefunden hat.

Die Situation den Fehler nicht genau nachvollziehen zu können, hat uns dazu bewogen eine absetzte Protokollplattform einzuführen, die alle Ereignisse sammelt. Die Technik ist da, aktuell arbeiten wir an der sinnvollen Nutzung.

Konnte man den Angriff nachvollziehen, weil Spuren auf dem Citrix-Server gefunden wurden?

Im Prinzip ja. Wobei wir nur den Anfang des Angriffs nachvollziehen können, da alle Systems verschlüsselt sind. Wir hatten noch hardwarebasierte Citrixserver. Die sind nicht verschlüsselt worden.

Gab es für solche sensiblen Bereiche keine Zwei-Faktor-Authentisierung?

Tatsächlich nicht. Externe Adminzugänge gab es aber auch nicht.

Wie viel Prozent Ihrer Daten sind verloren gegangen?

Das ist schwer zu sagen. Geschätzt ca. 3%.

Waren "nur" die virtuellen Maschinen verschlüsselt oder auch die Hypervisor-Server?

Die ESXi selbst waren nicht verschlüsselt. Allerdings alle Festplatten auf der VMWare Ebene.

Zwischen welchen Netzwerksegmenten haben Sie intern jetzt Firewalls?

Grob gesagt, zwischen allen. Aktuell haben wir Netzwerksegmente für zusammenhängende Arbeitsbereiche (i.d.R. Ämter) als Basis geschaffen. Die Server erhalten z.T. einzeln eigene Netzwerksegmente, z.T. sind auch mehrere zusammengefasst. Alle Netzsegmente werden über die Firewall geschickt. Das VLAN-Management für die Clients machen wir jetzt über eine Netzwerkzugangskontrolle (Macmon).

Wie sind die Angreifer an die erhöhten Zugriffsrechte auf den Hypervisor gekommen?

Das können wir wegen der verschlüsselten Systeme nicht genau nachvollziehen. Die Angreifer sind dafür bekannt, dass sie Printnightmare Schwachstellen ausnutzen und sich auf die Virtualisierungen stürzen. Der Angriff ist in einem Zeitfenster geschehen, als es eine MS Windows Drucksystemschwachstelle nach der anderen gab und auch kurz hintereinander mehrere VMWare Schwachstellen. Es ist also sehr wahrscheinlich, dass es über diesen Weg gelaufen ist.

Wir haben ein Patchmanagement im Einsatz, dass auch grundsätzlich funktioniert. Zudem haben wie aktiv die Druckdienste abgeschaltet, die nicht nötig waren. Auch VMWare haben wir aktuell gehalten. Es bleibt aber immer ein Zeitfenster, in dem der Schutz nicht vollständig ist. Das scheint gereicht zu haben.

Haben Sie einen hauptberuflichen IT-Sicherheitsbeauftragten?

Nein. Wir sehen aber jetzt, dass diese Rolle unverzichtbar ist und arbeiten daran.

Gab es Kontakt zu den Hackern?

Nein. Als klar war, dass unsere Daten auf den Bändern nutzbar sein werden, gab es die klare Entscheidung keinen Kontakt aufzunehmen.

Wie viele IT-MitarbeiterInnen hatten Sie vor dem Angriff und hat sich diese Zahl seitdem erhöht bzw. wird sie sich noch erhöhen?

Gut 30, von denen sich gut 10 um die Netzwerke, Systeme und Sicherheit kümmern. Wir haben in den letzten Jahren schon begonnen, durch eigene Ausbildung aufzustocken. Auch die Organisationsstruktur der IT haben wir angepasst. Die IT-Sicherheit ist natürlich jetzt im Fokus. Wir haben auch mehr Werkzeuge im Einsatz. Es wird sicher dazu führen, dass wir die Zahl der MA weiter aufstocken werden.

Haben Sie ein Sicherheitskonzept nach IT-Grundschutz gehabt?

Wir haben ein IT-Sicherheitskonzept, welches wir mit der SIT auf Basis des IT-Grundschutzes erarbeitet haben. Aber natürlich werden wir das aktuell neu aufstellen.