Kleiner Nachtrag in Sachen Cybersicherheit, wo ich erst jetzt auf einen Vorfall aufmerksam wurde. Die Kliniken der Marienhausgruppe (MHG) wurden bereits am 20. Dezember 2023 Opfer eines Cyberangriffs mit Ransomware. Betroffen sind Häuser in Rheinland-Pfalz, dem Saarland und dem Süden von NRW.
Anzeige
Die Marienhausgruppe (MHG)
Bei der Marienhausgruppe (MHG) handelt es sich um einen Verbund verschiedener Kliniken. Die GmbH ist für Kliniken an 16 Klinikstandorten in Rheinland-Pfalz, dem Saarland und dem Süden von NRW zuständig. Dazu gehören Häuser in Bitburg, Bad Neuenahr-Ahrweiler, Bonn, Neuwied, Mainz, Bingen, Neustadt, Saarlouis etc. 13.000 Mitarbeiter erwirtschaften 900 Millionen Euro Umsatz im Jahr, gibt der Betreiber auf seiner Webseite an.
Vorfall bereits am 20.12.2023
Laut Mitteilung der Marienhausgruppe (MHG) wurde am 20.12.2023 gegen 16:00 Uhr ein Cyberangriff bemerkt. Sicherheitssysteme schlugen wohl an, als ein unbefugter Zugriff stattfand. Dieser unbefugte Zugriff erfolgte nach derzeitigem Kenntnisstand durch einen von extern an einen Mitarbeitenden verschickten Link, der entsprechende Schadsoftware enthielt.
Nachdem die Sicherheitssysteme anschlugen, konnte die IT laut eigener Aussage die Vorbereitungen für eine Attacke auf Server der Marienhaus-Gruppe identifizieren und eine Fortsetzung des Angriffs unterbinden. Zudem wurde unverzüglich externe Unterstützung durch ein Unternehmen für Cybersecurity eingebunden.
Systeme infiziert
Die Marienhofgruppe gab in einem Nachtrag bekannt, dass im Rahmen der noch andauernden Überprüfung bisher 6 Server und 2 Arbeitsplatzrechner als kompromittiert entdeckt wurden. Diese Systeme wurden umgehend vom restlichen Netzwerk isoliert.
Anzeige
Eine Datenverschlüsselung durch Ransomware habe nicht stattgefunden, heißt es. Durch die Attacke seien keine bedeutenden Systeme, insbesondere keine mit Daten von Patienten, Bewohnern oder Gästen der MHG betroffen worden.
Ebenso wurden keine Systeme infiziert, die zur Betriebsführung der Marienhaus-Einrichtungen benötigt werden, schreibt der Betreiber. Die Sicherheit der Patienten oder Bewohner sei zu keiner Zeit gefährdet und die Versorgung der uns anvertrauten Menschen jederzeit in vollem Umfang gewährleistet gewesen.
Der Vorfall führte aber zu einer IT-Störung. Nach wie vor ist das mobile Arbeiten für Mitarbeitende der MHG von außerhalb nur eingeschränkt möglich. Aus Sicherheitsgründen wurde zudem der Zugriff auf das Internet aus den Einrichtungen heraus unterbunden.
Das Arbeiten und der Zugriff auf Gruppenlaufwerke innerhalb der Einrichtungen sind weiterhin möglich. Die Marienhaus-Gruppe ist mit allen Einrichtungen weiterhin über alle Kanäle erreichbar, ebenso wie die Webseiten des Unternehmens.
Aufgrund der Komplexität des Cyberangriffs und der damit notwendigen tiefgreifenden Analyse kann zum aktuellen Zeitpunkt vom Betreiber keine seriöse Aussage getroffen werden, wann die IT der MHG wieder komplett einschränkungsfrei läuft.
Anzeige
"Nachdem die Sicherheitssysteme anschlugen, konnte die IT laut eigener Aussage die Vorbereitungen für eine Attacke auf Server der Marienhaus-Gruppe identifizieren und eine Fortsetzung des Angriffs unterbinden. "
Ein Mitarbeiter hat also auf einen externen Link geklickt, und trotz sofortigem Schlangenöl-Alarm war innert Sekunden Bruchteilen das Ergebnis:
"Die Marienhofgruppe gab in einem Nachtrag bekannt, dass im Rahmen der noch andauernden Überprüfung bisher 6 Server und 2 Arbeitsplatzrechner als kompromittiert entdeckt wurden. Diese Systeme wurden umgehend vom restlichen Netzwerk isoliert."
Dann war das doch nicht nur eine Vorbereitung?
Was bedeutet "kompromittiert"?
Wie können von einem Arbeitsplatz aus gleich 6(sechs!) Server -"kompromittiert" werden?
Oder lag die bösartige Datei auf den 6 Servern?
Aber wenn der Virus nicht benannt wird….
Ich fühle mich ein wenig an die Geisterfahrer Meldungen im Radio erinnert.
Entweder hat das Schlangenöl reagiert und eine Infektion verhindert, oder es war eine bösartige Software auf 8 Rechnern aktiv, aber dann war der Angriff doch nicht Komplex?
"Wie können von einem Arbeitsplatz aus gleich 6(sechs!) Server kompromittiert" werden?
Ganz einfaches Scenario:
Die 6 Server haben Freigaben, zu denen der Arbeitsplatz allesamt eine Verbindung hat.
Beispielsweise LW F: = Server 1, LW G: = Server 2, etc.
Die Ransomware geht dann einfach durch alle Laufwerke, die verbunden sind und trifft so natürlich auch alle 6 Server.
Wahrscheinlich ein Emailanhang in einem Shared-Postfach:
Mitarbeiter 1 macht den Anhang auf, es passiert nichts, was er sehen kann.
Er wundert sich, sagt zum Kollegen: Du, wenn ich den Anhang öffnen will tut sich nichts, kannst du das mal probieren? Kollege öffnet den gleichen Anhang und die Ransomware legt auch auf dem 2. Rechner los.
Da saß wohl das Problem wieder einmal vor dem Bildschirm.
Nein ist es nicht.
Ein Betriebssystem das derartig löchrig ist ist die Ursache.
Ist ein Mieter Schuld wenn ihm mal eben ein Dach auf den Kopf fällt?
Microsoft hat seit Anbegin nichts für ein sicheres OS getan und die Mängelfolgen auf die User abgewälzt.
Wenn schon ein manipulierter Werbebanner reicht ein System hoch zu nehmen sollte klar sein wer das Problem ist und wer nicht.
Genau diese ätzenden Aussagen sorgen dafür das Ms weiter mit diesem Scheiß durch kommt statt an die Wand genagelt zu werden.
relativ simple Erklärung. jeder setzt jetzt ja nur noch auf XDR, NMR, EDR .. irgendwas mit DR.
nur noch Verhaltenserkennung in der Cloud. jeder gibt die Verantwortung ab und testet, ob die gekauften Airbags funktionieren, anstatt die Ausführung als solche zu unterbinden