turmhochsechs | Cyberangriff betraf bundesweit Webseiten

Serverausfall:Cyberangriff betraf bundesweit Webseiten

Am 18.05.2023 verschwand nachts unsere Webseite aus dem Internet. Seit dem Mittwoch, 07.06.2023 wurden die Websites mit dem Stand vom 18.05.2023 (02:00 Uhr) wieder nach und nach online zur Verfügung gestellt.
Computer hacking
Datum:
8. Juni 2023
Von:
HN
Was war passiert?

Ein zentraler Server im Raum München, auf dem unter anderem die Webseiten aus dem Erzbistums Köln gehostet werden, war durch einen Cyberangriff ausgefallen. Dadurch war auch die Erstellung unseres Newsletters unmöglich. Wir konnten ebenso nicht auf die im System hinterlegte Verteilerliste zugreifen. In den vergangenen Wochen standen uns daher nur der Gemeindebrief, die Schaukästen und das Proklamandum für Informationen zur Verfügung, um  auf den Ausfall hinzuweisen.

Alle Informationen im Internet sind als Seiten organisiert, die auf weltweit vernetzten Computern, den sogenannten Servern, gespeichert sind. Die Speicherung aller dazu benötigten Inhalte, Daten und Programme bezeichnet man als "hosten". Sogenannte Content-Management-Systeme (Inhaltsverwaltungssysteme), die die Erstellung und Pflege, sowie die Präsentation von Webseiten unterstützen und gewährleisten, werden auch auf Servern gehostet. Das Erzbistum Köln und seine Pfarreien/Gruppierungen verwenden zur Verwaltung der Websites das System "OpenCMS". Durch den Cyberangriff waren sowohl unsere Webseiten www.turmhochsechs.de und www.himmel-erde-dus.de als auch das Verwaltungssystem "OpenCMS" nicht mehr online erreichbar. 

Im Gegensatz zu einer schnell behobenen Serverstörung (z. B. nach einem Stromausfall und durch den Austausch/Ersatz einer beschädigten Teilkomponente - Computerteil, Festplatte, etc.) war eine vollständige Bereinigung aller betroffenen Komponenten erforderlich. Mit neuer Hardware wurde innerhalb von drei Wochen eine komplett neue Server-Infrastruktur geschaffen, auf der dann anschließend alle Programme, Inhalte und Daten neu installiert wurde. Erst danach konnte nach und nach die Reaktivierung der einzelnen Webseiten erfolgen. Um keinen erneuten Ausfall zu riskieren, musste sichergestellt sein, dass der Auslöser des Ausfalls, vermutlich ein schadhafter oder bösartiger Computercode (Virus, Trojaner, Würmer), nicht wieder aktiviert wird. Die Analyse und Bereinigung der gesicherten Daten musste daher vor der Rücksicherung sehr sorgfältig erfolgen. Denn in den zur Verfügung stehenden gesicherten Dateien (Backup) konnte auch der vorher nicht erkannte Verursacher mitgesichert worden sein. Dies geschah für jede Website einzeln und dauerte jeweils seine Zeit. Daher nahm die Wiederherstellung viel Zeit in Anspruch.

Uns lag keine Information vor, wann unsere Webseiten wieder aktiv sein würden. In unregelmäßigen Abständen haben wir den Fortschritt der Wiederherstellung geprüft. In unserem Fall war www.himmel-erde-dus.de schon am 11.06.2023 wieder verfügbar, während www.turmhochsechs.de erst zum 15.06.2023 (~11:00 Uhr) im Internet wieder aufrufbar war. Auf die Reihenfolge bei der Wiederherstellung hatten wir keinen Einfluss, die Entscheidung liegt dem Betreiber des Servers. Zudem gab es noch ein Kommunikationsproblem, da ein zweiter Dienstleister auch informiert werden musste. Erst nach der Verfügbarkeit unserer Webseite im Internet konnten wir den (Sonder-)Newsletter versenden. 

Der Cyberangriff galt übrigens nicht dem Erzbistum Köln, betroffen waren auch mehrere tausend andere Kunden des IT-Dienstleisters. Durch den Angriff sind zudem keine sensiblen Daten abgeflossen.