Cyber-Security-Vorfall - weitere Informationen
Unbekannte Täter sind am Sonntag, 17. Juli 2022, in das ICT-System der Stadt Bülach eingedrungen. Infolgedessen ist die Stadtverwaltung und deren Dienstleistungen nur eingeschränkt verfügbar gewesen. Seit anfangs August ist sie wieder wie gewohnt erreichbar und kann ihre Dienstleistungen vollumfänglich erbringen. Die Stadt Bülach hat Strafanzeige eingereicht und ist auf keine Forderung eingegangen. Zurzeit gibt es keine Hinweise auf Datenverluste.
Am Sonntag, 17. Juli 2022, sind unbekannte Täter mit einer Ransomware in das ICT-System der Stadt Bülach eingedrungen. Am Montagmorgen stellte man fest, dass nicht mehr auf alle Daten zugegriffen werden konnte. Auch das Mailsystem funktionierte nicht mehr. Sofort wurden die Server heruntergefahren und präventiv alle Notebooks deaktiviert. Es wurde ein Krisenstab gebildet und ein alternativer Kommunikationskanal aktiviert.
Zu Beginn rechnete man mit einem Ausfall der Systeme von mehreren Tagen oder Wochen. Der Netzwerk- und Sicherheitspartner begann zusammen mit einer externen spezialisierten Firma sofort mit der forensischen Untersuchung. Die Einfallspforte wurde rasch erkannt. Dadurch konnte nachvollzogen werden, wie die Hackersoftware sich im System bewegt und den Schaden verursacht hat. Danach konnten die Systeme wieder aktiviert werden.
Notarbeitsplätze für das Stadtbüro, das Zivilstandsamt und die KESB
Für die systemkritischen Dienstleistungen wie z.B. das Stadtbüro, das Zivilstandsamt oder auch für die Kindes- und Erwachsenenbehörde (KESB) installierte man Notarbeitsplätze, so dass diese Bereiche schon am Dienstag ihre Dienstleistungen in einem reduzierten Umfang wieder wahrnehmen konnten. Auch der Zahlungsverkehr funktionierte per Donnerstag, 21. Juli 2022, wieder.
Das Stadthaus blieb während des ganzen Vorfalls geöffnet. Die Büros waren mit einem Minimalbestand besetzt. Die Mitarbeitenden waren persönlich und per Telefon erreichbar. Vom Vorfall nicht betroffen waren die Blaulicht-organisationen sowie die Wasser- und Abwasserversorgung.
Zurücksetzen der Passwörter und 2-Faktor-Authentifizierung
Aus Sicherheitsgründen wurden bei allen Mitarbeitenden und bei allen Systemen die Passwörter zurückgesetzt. Am Freitag, 22. Juli 2022, konnten Mails wieder bearbeitet werden. Diese Funktion wurde präventiv mit einer 2-Faktor- Authentifizierung aktiviert, um noch mehr Sicherheit zu gewährleisten. Ebenfalls konnte der erfolgreiche Restore des Backups vorgenommen werden. Sämtliche Notebooks wurden eingesammelt und neu aufgesetzt. Dieser Prozess ist in der Verwaltung abgeschlossen. Einzig beim Ressort Bildung ist die Auslieferung der neu installierten Notebooks noch im Gange, die Schülerinnen- und Schülergeräte folgen anschliessend.
Vorfall 2020
Während den Sportferien 2020 gab es einen Vorfall, bei dem das IT-System der Bildung durch Viren befallen wurde. Betroffen war das ganze Schulnetz, also alle Lehrpersonen und Mitarbeitende der Primarschule inklusive Schul-verwaltung. Der Betrieb war danach während etwa zwei Wochen eingeschränkt. Es gab weder eine Lösegeld-forderung noch Hinweise, dass Daten abgeflossen sind. Zudem wurde Anzeige erstattet. Zum aktuellen Vorfall gibt es jedoch keinen Zusammenhang.
Enge Zusammenarbeit mit der Kantonspolizei
Von Anfang an haben die Verantwortlichen der ICT eng mit der Kantonspolizei Zürich, dem Nationalen Zentrum für Cybersicherheit (NCSC) sowie dem Computer Emergency Response Team der Eidgenossenschaft (GovCERT) zusammengearbeitet. Die Datenschutzbeauftragte des Kantons Zürich wurde über den Vorfall informiert. Die Stadt Bülach reichte Strafanzeige ein und ist auf Forderungen nicht eingegangen.
Daten und Sicherheit
Zurzeit gibt es keine Hinweise auf Datenverluste oder Datenexfiltrationen. Daten von Einwohnenden und die Steuerdaten werden nicht auf Bülacher Servern gespeichert. Dadurch waren diese Daten zu keinem Zeitpunkt gefährdet.
In den letzten zwei Jahren wurde viel in die Informatik-Sicherheit investiert: Zum Beispiel zusätzliche Virenschutz-/Antimalware und Firewall-Massnahmen sowie eine Sensibilisierungs- und Schulungskampagne für Mitarbeitende. Auch zukünftig wird stets auf höchstmögliche Sicherheit gesetzt, die Betriebs- und Schutzsysteme permanent überwacht sowie die Prozesse laufend angepasst. Zusätzlich wird der Einsatz einer permanenten Notfallinfrastruktur überprüft, damit die Risiken bestmöglich minimiert werden können. Auch der Kanton Zürich hat kürzlich den Aufbau eines kantonalen Zentrums für Cybersicherheit bekannt gegeben. Trotz all diesen Vorkehrungen: Beim Thema Cyberkriminalität gibt es keine hundertprozentige Sicherheit.
Christian Mühlethaler
Stadtschreiber
Tel. 044 863 11 25
Mail
17. August 2022
