Die "eVergabe" ist gerade offline. Hier ist deren Mitteilung dazu.

Das ist die zentrale Beschaffungsplattform der öffentlichen Hand für Aufträge.

Ich zitiere mal:

wie bereits berichtet hat in der Nacht vom 08.09.2021 auf den 09.09.2021 ein Ransomware-Angriff mit Lösegeldforderung auf unsere Server stattgefunden. [...]

Die Forensik hat die bisherige Annahme bestätigt, dass das Eintrittstor ein Atlassian Confluence Server (Drittanbieter) war, dessen Software von einem uns verbundenen Unternehmen eingesetzt wurde.

Die wichtigen Punkte hierbei sind:

  1. Golem berichtete am 26. August, dass es in Confluence kritische Lücken gibt. Der Termin, bis zu dem die Updates also hätten eingespielt sein müssen, ist der 27. August morgens.

  2. "dessen Software von einem uns verbundenen Unternehmen eingesetzt wurde" tut so, als sei das damit nicht ihre Schuld. Doch. Ist es. Wenn ihr das an euer Netz lasst, ist es eure Schuld. Wem der Server gehört ist nebensächlich.

  3. Eine Lücke in einer Anwendersoftware wie Confluence sollte selbstverständlich nicht ausreichen, um einmal alle Server zu verschlüsseln. Hier gab es noch andere Probleme, die eine Zugriffsausweitung ermöglicht haben. Und zwar über die Grenzen eines Zulieferers hinaus. Hier haben also gleich zwei Organisationen verkackt.

Oh und natürlich rollen sie wieder die "Angriff!!1!"-Rhetorik aus, damit das aussieht, als hätte "der Angreifer" Schuld und nicht sie, weil sie ihn reingelassen haben.

Ich hab so langsam keinen Bock mehr auf diese Branche.

Update: Ein Leser schreibt mir gerade, das sei nicht die zentrale Plattform sondern ein externer UI-Anbieter, der die verkackten Steinzeit-Vergabeplattformen hinten zusammenführt. Der Bund hat auch noch mal eine eigene Vergabeplattform.

9/13/2021