Am 21. Januar dieses Jahres traf ein Cyberangriff die Potsdamer Stadtverwaltung völlig überraschend. Die Verantwortlichen nahmen tags drauf fast alle IT-Systeme offline. Wer hinter dem Angriff steckt, ist bis dato noch unklar. Klar ist, dass eine Sicherheitslücke in der Serversoftware ausgenutzt wurde. Bei dem Angriff sollen keine persönlichen Daten der Bürger entwendet worden sein.
Was noch voll funktionsfähig blieb nach dem Angriff, waren die Notrufzentrale und die Stadtkasse sowie Telefon- und Fax-Verbindungen. Alles andere, vom Einwohnermeldeamt bis zur Kfz-Zulassungsstelle, waren nicht mehr zu erreichen. In einer Erklärung hieß es, die Stadt habe die Server präventiv heruntergefahren, um einen möglichen Diebstahl von Daten zu verhindern. Wann alle Bürgerdienste wieder online gehen werden ist nicht abzusehen, hieß es außerdem.
Seit dem Vorfall arbeitet eine Gruppe von internen und externen IT-Technikern und Forensikern an der Analyse des Angriffs. Seitens der Stadt Potsdam hieß es, dass „zahlreiche Ungereimtheiten“ entdeckt worden waren in den Netzwerk-Verbindungen. Allen voran ist wohl eine seit Dezember 2019 bekannte Schwachstelle in der Systemsoftware der Fa. Citrix für den Angriff verantwortlich. Darüber haben die unbekannten Täter versucht, unautorisiert Daten abzugreifen bzw. Schadsoftware hochzuladen. Der Netzwerkdienstleister Citrix hatte im Dezember vor Problemen mit seiner Serversoftware gewarnt.
Hanno Böck freiberuflicher Journalist mit Schwerpunkt IT-Sicherheit, fand heraus, dass die Citrix ADC-Server im Potsdamer Netzwerk mit der ungepatchten Schwachstelle CVE-2019-1978 liefen. Böck bestätigte, dass der Softwaredienstleister seine Kunden bereits im Dezember davor gewarnt und entsprechende Sicherheitsmaßnahmen vorgeschlagen hatte. Die Stadtverwaltung hatte diese Schutzmaßnahmen allerdings nicht umgesetzt. Verhindert hätten diese den Angriff zwar nicht, hieß es von offizieller Seite. Allerdings wäre der Angriff wohl früher entdeckt worden. Mittlerweile stehen einige Test-Tools zur Verfügung, um nach Citrix-Schwachstellen zu scannen. Anfällig sind wohl die Versionen Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP. Auch ein offizielles Patch steht zur Verfügung.
Der FireEye Sicherheitsforscher Andrew Thompson fand eine interessante Verbindung zu dem Cyberangriff gegen den deutscher Automobilzulieferer Gedia. Nach seinen Untersuchungen wurde der Angriff auf Gedia ebenfalls über die Citrix-Schwachstelle eingeleitet.
Die Stadtverwaltung in Potsdam steht nicht alleine mit dem Citrix Problem da. Auch andere Städte sind betroffen, jedoch nicht angegriffen worden. In Deutschland werden, laut Sicherheitsforschern, werden jährlich etwa 20.000 Sicherheitslücken in verschiedenen Softwareprodukten bekannt. Sehr oft versuchen Hacker, diese auszunutzen. Zum Glück scheitern sie in den meisten Fällen an guten Schutzmaßnahmen.
Wer als Täter infrage kommt, ist bisher noch nicht klar. Hierzu laufen die Ermittlungen noch. Die Stadt Potsdam hat eine Anzeige gegen unbekannt gestellt. Wenn man allerdings, trotz Warnungen, Tür und Tor für Kriminelle offenstehen lässt, muss man sich nicht wundern, angegriffen zu werden.
Artikel von bleepingcomputer.com, 24.01.2020: City of Potsdam Servers Offline Following Cyberattack
Beitragsbild: Public Domain, Creative Commons CC0, BernardoUPloud über pixabay