[English]Die Universitätsklinik der tschechischen Stadt Brno (deutsch Brünn) leidet aktuell unter einem Angriff durch Ransomware. Die Klinik betreibt eines der größten Labore für Tests auf Covid-19-Infektionen.
Anzeige
Ich bin bereits vor einigen Stunden durch einen Tweet von Catalin Cimpanu auf den Fall in unserem Nachbarland aufmerksam geworden.
I've update the article with more information about the incident.
– Infection was discovered at 5am in the morning
– Hospital warned staff via the public speaker system to shut down PCs
– Message blared for 30 minutes
– Everything was down by 8am and surgeries canceled— Catalin Cimpanu (@campuscodi) March 13, 2020
Die Infektion durch die Ransomware wurde wohl am Freitag, den 13. 3. 2020 um 5 Uhr morgens entdeckt. Peter Gramatik, ein Sicherheitsforscher bei der Sucuri war zufällig Patient dieser Klinik und bekam das Ganze mit. Er wurde dann von der Klinik wieder nach Hause geschickt und berichtete einige Details per E-Mail an ZDNet.
Catalin Cimpanu schreibt auf ZDNet, dass die Klinik das gesamte IT-Netzwerk in Folge der Infektion herunterfahren musste. Zwei weitere Zweigstellen des Krankenhauses, das Kinderkrankenhaus und die Entbindungsklinken, waren ebenfalls betroffen.
Anzeige
Gramatik teilte ZDNet in seiner E-Mail mit, dass im Krankenhauses sofort Lautsprecherdurchsagen an das gesamte Personal ergingen, dass sofort alle Computer aus Sicherheitsgründen abzuschalten seien. Diese Nachricht wurde wie alle 30 Minuten wiederholt. Dann wurden gegen 8 Uhr morgens alle Operationen durch es eine weitere öffentliche Durchsage über die Lautsprecheranlage der Klinik abgesagt. Gramatik wurde dann nach Hause geschickt.
Nach dem Ausbruch des Vorfalls arbeiten nun Teams des Tschechischen Nationalen Cybersicherheitszentrums (NCSC), der tschechischen Polizei (NCOZ) und des IT-Personals des Krankenhauses vor Ort zusammen, um das IT-Netzwerk des Krankenhauses wiederherzustellen.
Der Vorfall gilt als schwerwiegend und wird mit äußerster Dringlichkeit behandelt, da das Universitätsklinikum Brünn eines der größten COVID-19-Testlabors der Tschechischen Republik ist. Aktuell ist unklar, ob die Laboraktivitäten im Hinblick auf Coronavirus-Tests durch den Cyber-Angriff beeinträchtigt wurden/sind. Bisher wurde der Vorfall noch nicht offiziell durch die Klinik bestätigt – welche Ransomware es ist. In diesem Tweet heißt es, dass der Vorfall vom Premierminister bestätigt wurde.
Some scheduled operations have been cancelled as other hospitals in the area prepare to accept more acute cases than usual. Preparations are also underway to transfer the hospital's coronavirus response capacity to other hospitals.https://t.co/qig1xYH2UN
— Brno Daily (@BrnoDaily) March 13, 2020
Der in obigem Tweet verlinkte Artikel hält noch einige Informationen bereit. So begann der Angriff bereits um 2 Uhr Nachts. Die Patienten der Klinik wurden teilweise auf andere Krankenhäuser der Stadt verteilt.
Anzeige
Da tun sich in der Krise wirklich Abgründe auf.
Was sind das für asoziale Gestalten, die aktuell Ransonware-Angriffe gegen Klinken und Labore fahren und Desinfektionsmittel klauen (und zur Tarnung sogar mit Wasser auffüllen)?!
Für mich sind das keine Menschen mehr, sondern kranke Subjekte!
Passt jetzt vielleicht nicht 100% aber ich muss es mal los werden.
Über die IT Sicherheit in deutschen Krankenhäusern und Arztpraxen habe ich mir auch schon meine Gedanken gemacht.
Eine Freundin von uns ist Ärztin und als Freelancer unterwegs. D.h., sie macht Notdienst, Nachtschichten in Notaufnahmen und Vertretungen usw. in unzähligen Praxen quer beet. Was mich dabei wundert: Sie hat mit ihrem privaten(!) Handy fast überall Zugang zum Wlan am jeweiligen Einsatzort.
Da frage ich mich schon was da schief läuft…
Krankenhausaufenthalt in Köln 2019. Arzt an Krankenpfleger in meiner Anwesenheit: Kennst du die Zugangsdaten? Ja, sagt Pfleger. Anmeldename ist xxx und Kennwort xxx. Ichals Patient: Vielen Dank für diese Zugangsdaten. Außerdem sind alle Clients mit Avira… free „geschützt". SIEM, SCM oder UDP: Fehlanzeige. Über das Patientennetz kommt man mit ein Paar Tools Problemlos im Zentralnetzwerk. Noch Fragen?
#Neuland
Ich kann nur mit dem Kopf schütteln. Sind in den vergangenen Monaten nicht schon genug Krankenhäuser und Behörden dem Befall von Ransomware zum Opfer gefallen? Und die übrigen bislang verschonten Unternehmen denken, das könne sie nicht treffen, man könne es ignorieren und "business as usual" betreiben? Da kam keiner mal auf die Idee aus den Fehlern anderer zu lernen?
Die Generation Konsumvieh und Smartphone läßt mich weinen. So unfähig war die Menschheit seit ihrer Entstehung nicht mehr. Die Devolution ist in vollem Gange, da ist Corona wirklich das kleinere Übel.
Was soll's, im #Neuland wird man keine angemessene Technologie und Sicherheit mehr etablieren können, der Anschluss ist verpasst und der Rückstand kaum noch aufzuholen. Es scheitert doch schon an der Mentalität der Endanwender: Überall raufklicken, wo blinkt, jeden Mist nutzen den es gibt (facebook, WhatsApp, Instagram(…) – "Ich hab' ja nix zu verbergen, Du elender Aluhut-Träger!"), Passworte nach wie vor an den Monitor kleben (kann man das doofe PW nicht weglassen, das nervt) und jedem irgendwelche brisanten Details mitteilen.
Und wenn man so sieht, daß Einrichtungen sich schon für "hipp" halten, weil sie VLANS in ihren Netzwerken einsetzen… Besucher / Mitarbeiter trennt man physisch, nicht virtuell!
Anscheinend hat es noch nicht genug gescheppert. Vielleicht merken die Leute mal was, wenn die Banken der Reihe nach ausfallen, keine Transfers mehr möglich sind – aber dann wird auch nur auf "die bösen Hacker" geschimpft, anstatt sich die Verantwortlichen vorzunehmen, die diese Situation mangels ausreichender Sicherheit überhaupt ermöglicht haben.
Ich schreibe es mal als indirekte Reaktion auf einige Kommentare, aber vor allem auch die nicht abebbenden Berichte, dass sich große Unternehmen und andere Institutionen Malware eingehandelt haben:
Wir machen hier seit nun über drei Jahren sehr gute Erfahrungen mit einer OnPremise-Sandbox-Lösung von FireEye: Diese besteht in unserem Fall aus zwei aktiven Komponenten:
– EX (System hinter AntiSpam-Lösung und noch vor dem Mailserver)
– NX (System hinter dem Proxy)
Das sind am Ende "black boxes", auf denen VMs laufen, in denen Mails, Dateianhänge, etc. vollautomatisiert geöfnet und analysiert werden und die bestmöglich verschleiern, dass die darin laufenden Systeme VMs sind.
Und dann gibt es dazu die CM als zentrale Management-Instanz, die auch zwischen den einzelnen Instanzen vermittelt (Signaturen, …).
Workflows, die zuvor auf das direkte Abspeichern von Dateien setzten – darunter auch das Einlesen von USB-Sticks – wurden im Vorfeld auf den Kanal "E-Mail" umgestellt.
Nicht, dass es mit der FX(?) nicht auch eine Lösung für Dateiablagen gäbe, aber es war schlicht günstiger, es so abzubilden.
Unsere Quote an Malware im Netz ist damit bei 0 – diese Investition lässt uns als Admins hier seit Jahren ruhig schlafen und hin und wieder schmunzeln, was durch die AntiSpam-Geschichte doch noch so alles durchkommt.
Der Administrationsaufwand nach der Inbetriebnahme ist absolut zu vernachlässigen – hin und wieder will eine Update-Installation bestätigt werden und ab und an wollen Mails, deren Anhänge vom Verfasser mit einer falschen Dateiendung versehen wurden, freigegeben werden.
Für Firmen/Unternehmen, die eine sechstellige Investitionssumme abschreckt, gibt es natürlich auch noch kleinere und auch "Cloud"-Lösungen, auch innerhalb Europas gehostet. Nicht nur FireEye bieten da etwas an, sondern bspw. auch Hornetsecurity. Die scheinen für eine überschaubare Anzahl an Postfächern darstellbare Kosten zu haben. Praktische Erfahrungen habe ich mit dieser Komponente Ihrer E-Mail-Lösungen ("ATP") aber nicht – die AntiSpam-Geschichte funktioniert aber wirklich gut.
Warum bspw. große Kliniken, die ja bzgl. Verwaltung auch mehr und mehr zu Verbänden konsoldiert werden, sich bis heute nicht solche Lösungen vor Ihre Mailserver setzen, will mir nicht so wirklich einleuchten. Schließlich verteilen sich Kosten so ja leicht auf viele "Mandanten".