![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Mitte Juli 2019 kam es zu einem Ransomware-Befall in diversen DRK-Einrichtungen in Rheinland-Pfalz. Nun ist zumindest das Einfallstor, ob das die Ransomware in den Systemen verbreitet wurden, bekannt. <\/p>\nMitte Juli 2019 kam es zu einem Ransomware-Befall in diversen DRK-Einrichtungen in Rheinland-Pfalz. Nun ist zumindest das Einfallstor, ob das die Ransomware in den Systemen verbreitet wurden, bekannt. <\/p>\n
<\/p>\n
Laut Betreiber wurde der Befall am 16. Juni 2019 am fr\u00fchen Morgen um 6.30 Uhr bemerkt. K\u00fcchenmitarbeiter im Krankenhaus Saarlouis konnten das IT-System nicht hochfahren und informierten den Leiter der IT. Es stellte sich schnell heraus, dass das komplette Netzwerk des DRK-Verbundes von einer Schadsoftware befallen war, die Server und Datenbanken verschl\u00fcsselt. Daraufhin seien am Sonntagnachmittag die Server aus Sicherheitsgr\u00fcnden vom Netz genommen, worden, so die DRK Tr\u00e4gergesellschaft.<\/p>\n Ich hatte im Blog-Beitrag Ransomware legt DRK-Krankenh\u00e4user in Rheinland-Pfalz\/Saarland lahm<\/a> \u00fcber den Vorfall berichtet. Bekannt wurde damals, dass die Infektion der IT-Infrastruktur \u00fcber einen Domain Controller des Verbunds erfolgte, der durch die Ransomware angegriffen wurde. In der Folge waren alle elf Kliniken und vier Altenpflegeeinrichtungen unter dem Dach der Tr\u00e4gergesellschaft in Rheinland-Pfalz und im Saarland betroffen. Die gesamten IT-Systeme wurden dann au\u00dfer Betrieb genommen. <\/p>\n Nun wurde in einer des Landtags in Mainz bekannt, wie die Ransomware \u00fcber einen erfolgreichen Angriff des Domain Controllers verteilt werden konnte. Dieses Medium<\/a> und heise berichten<\/a>, dass 'ein vor zehn Jahren angelegtes \"altes Dienstkonto\" nach Beh\u00f6rdenangaben die entscheidende Schwachstelle des Cyber-Angriffs auf elf Kliniken in Rheinland-Pfalz war<\/em>. <\/p>\n Dieses Dienstkonto sei zwei Tage nach dem Angriff vom 14. Juli identifiziert und deaktiviert worden, so Gesundheitsministerin Sabine B\u00e4tzing-Lichtenth\u00e4ler (SPD) am Donnerstag in einer Fragestunde des Landtags in Mainz. Mehr Informationen werden nicht gegeben \u2013 man kann aber zwischen den Zeilen lesen. <\/p>\n Meine Interpretation geht dahin, dass auf dem Domain Controller ein Konto zur Administration oder zum Starten von Diensten eingerichtet wurde und dann per Remote Desktop erreichbar war. Dieses Konto k\u00f6nnte nur unzureichend durch ein Passwort gesch\u00fctzt worden sein. Den Urhebern der Ransomware gelang es dann, m\u00f6glicherweise durch einen Brute-Force-Angriff, sich Zugang zu diesem 'Dienste-Konto' zu verschaffen. <\/p>\n Dieses Konto wurde dann infiziert und danach auf inaktiv gesetzt. Ich vermute, dass sich dann die Infektion \u00fcber dieses Konto des Domain Controllers auf die angeschlossenen Clients der betroffenen Einrichtungen ausbreitete. <\/p>\n Gesundheitsministerin Sabine B\u00e4tzing-Lichtenth\u00e4ler fordert laut Presseberichten und hiere<\/a>, auf Grund des erfolgreichen Angriffs, ein Sofortprogramm vom Bund f\u00fcr die IT-Sicherheit aller Krankenh\u00e4user. Wie es ist, wenn die IT in einem Krankenhaus wegen eines Ransomware-Befalls heruntergefahren wird, hat ZEIT Online in diesem Artikel<\/a> beschrieben.<\/p>\n","protected":false},"excerpt":{"rendered":" Mitte Juli 2019 kam es zu einem Ransomware-Befall in diversen DRK-Einrichtungen in Rheinland-Pfalz. Nun ist zumindest das Einfallstor, ob das die Ransomware in den Systemen verbreitet wurden, bekannt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4715,4328,4325],"class_list":["post-221958","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-ransomware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221958","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=221958"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221958\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=221958"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=221958"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=221958"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Mitte Juli 2019 kam es in Einrichtungen, die die DRK Tr\u00e4gergesellschaft S\u00fcd-West betreibt, zu einem Ransomware-Befall der IT-System. Die DRK Tr\u00e4gergesellschaft S\u00fcd-West betreibt laut dieser Webseite<\/a> zur Zeit 11 Krankenh\u00e4user an dreizehn Standorten und vier Altenpflegeeinrichtungen. Die Einrichtungen verteilen sich auf die Bundesl\u00e4nder Rheinland-Pfalz und Saarland.<\/p>\n
Altes Dienste-Konto f\u00fcr Angriff genutzt<\/h2>\n