{"id":235659,"date":"2020-09-17T15:57:09","date_gmt":"2020-09-17T13:57:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235659"},"modified":"2024-06-24T20:28:26","modified_gmt":"2024-06-24T18:28:26","slug":"uniklinikum-dsseldort-es-war-ransomware-staatsanwaltschaft-ermittelt-wegen-todesfolge","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/17\/uniklinikum-dsseldort-es-war-ransomware-staatsanwaltschaft-ermittelt-wegen-todesfolge\/","title":{"rendered":"Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge"},"content":{"rendered":"

[English<\/a>]Der Cyberangriff auf das Universit\u00e4tsklinikum D\u00fcsseldorf (UKD) von letzter Woche stellt sich, wie von mir vermutet, als Ransomware-Angriff heraus. Die Klinik war wohl Zufallsopfer, nun ermittelt die Staatsanwaltschaft aber, da eine Patientin wegen des Angriffs auf das Klinikum verstarb. Erg\u00e4nzung:<\/strong>\u00a0Und es gibt erste Informationen \u00fcber das Einfallstor – wohl die Shitrix-Schwachstelle in Citrix-Produkten von Ende 2019.<\/p>\n

<\/p>\n

Der Cyberangriff auf das UKD<\/h2>\n

\"\"Im Blog-Beitrag D\u00fcsseldorfer Uniklinik: IT-Ausfall durch Cyberangriff?<\/a> hatte ich am 10. September 2020 dar\u00fcber berichtet, dass das IT-Netzwerk der Universit\u00e4tsklinikum D\u00fcsseldorf (UKD) wegen eines Cyberangriffs au\u00dfer Betrieb sei. Seit Donnerstag letzter Woche (10.9.) ist das IT-System des Universit\u00e4tsklinikums D\u00fcsseldorf (UKD) weitreichend gest\u00f6rt. Das UKD hatte sich von der Notfallversorgung abgemeldet und ist das bis heute. Planbare und ambulante Behandlungen fanden ebenfalls nicht statt und wurden verschoben. In einem Update vom 14. September hie\u00df es:<\/p>\n

Update (14. September 2020, 10.00 Uhr): Der weitreichende IT-Ausfall im Universit\u00e4tsklinikum D\u00fcsseldorf (UKD) h\u00e4lt weiterhin an +++ Die Telefonanschl\u00fcsse sind – bis auf einige wenige Au\u00dfenstellen – erreichbar. Per Mail ist das Klinikum aktuell nicht erreichbar +++ Das UKD hat sich von der Notfallversorgung abgemeldet. +++ PatientInnen mit geplanten Behandlungsterminen werden gebeten, sich mit der jeweiligen Klinik oder Ambulanz in Verbindung zu setzen. Die Telefonverbindungen funktionieren wieder. +++ IT-Experten von intern und extern arbeiten unabl\u00e4ssig an einer Behebung des Ausfalls.<\/p><\/blockquote>\n

Dieser Ausnahmezustand h\u00e4lt bis jetzt wohl an. Heise berichtet hier<\/a>, dass das Uniklinikum aber langsam auf dem Weg in den Normalbetrieb sei.<\/p>\n

Uniklinikum spricht weiter von einem Cyberangriff<\/h2>\n

Ich hatte aber auf Grund der Randbedingungen fr\u00fchzeitig eine Infektion mit Ransomware vermutet. In einer Pressemitteilung vom 17. September best\u00e4tigte das Universit\u00e4tsklinikum nach wie vor nur einen Cyberangriff, der \u00fcber eine 'Sicherheitsl\u00fccke in verbreiteter Software' erfolgte und einen Zugriff auf das IT-Netzwerk\u00a0 erm\u00f6glichte. In einer Erkl\u00e4rung hei\u00dft es:<\/p>\n

Hintergrund des Ausfalls ist nach diesen Analysen ein Hackerangriff, der eine Schwachstelle in einer Anwendung ausnutzte. Die Sicherheitsl\u00fccke befand sich in einer markt\u00fcblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endg\u00fcltigen Schlie\u00dfung dieser L\u00fccke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen. Als Folge des damit erm\u00f6glichten Sabotageakts fielen nach und nach Systeme aus, Zugriffe auf gespeicherte Daten waren nicht mehr m\u00f6glich.<\/p><\/blockquote>\n

Das ist nat\u00fcrlich eine absolute Nebelkerze – die Systeme wurden durch einen Verschl\u00fcsselungstrojaner befallen, der die Dateien verschl\u00fcsselte. Es ging nicht um Sabotage, sondern um Erpressung. Wer diesen Text interpretiert, d\u00fcrfte zum Schluss kommen, dass die Schwachstelle in einem ungepatchten Softwarepaket (ich tippe auf Word\/Office oder Outlook) bestand, so dass die Malware per Mail-Anhang heruntergeladen und ausgef\u00fchrt werden konnte. Und die folgende Aussage:<\/p>\n

Die IT-Experten konnten mittlerweile den genauen Umfang analysieren und den Zugang zu den Daten wiederherstellen. Bisher gibt es keine Anhaltspunkte daf\u00fcr, dass Daten unwiederbringlich zerst\u00f6rt worden sind. Auch f\u00fcr das Abfischen von konkreten Daten gibt es nach heutigem Stand keine Belege. Eine konkrete L\u00f6segeldforderung gab es nicht.<\/p><\/blockquote>\n

ist eine Verdummung der Leserschaft, ist aber ein Zitat aus der Pressemitteilung der UKD. Nachfolgend daher einige Hintergrundinformationen.<\/p>\n

Ransomware-Infektion best\u00e4tigt<\/h2>\n

Im Landtag von Nordrhein-Westfalen wurde der 'Cyberangriff' auf das UKD am Donnerstag in einer aktuellen Stunde im Landtag, auf Grund des Antrags der AfD-Fraktion, thematisiert. Wissenschaftsministerin Isabel Pfeiffer-Poensgen (parteilos) best\u00e4tigte, dass der IT-Ausfall an der Uniklinik D\u00fcsseldorf ist auf einen Hackerangriff zur\u00fcckzuf\u00fchren sei. Das berichtet der WDR in diesem Beitrag<\/a>. Blog-Leser wiesen in den Kommentaren hier<\/a> bereits auf entsprechende Presseberichte (Express, FAZ<\/a>)\u00a0 hin.<\/p>\n

Die Uniklinik D\u00fcsseldorf war aber wohl nur ein 'Zufallstreffer', denn auf einem der betroffenen Server sei ein an die Heinrich-Heine-Universit\u00e4t adressiertes Erpressungsschreiben gefunden worden. Pfeiffer-Poensgen sagte im Landtag, dass die Polizei Kontakt zu den Erpressern aufgenommen und erkl\u00e4rt habe, dass es sich bei den betroffenen Servern um Systeme eines Notfallkrankenhauses handele. Die Erpresser r\u00fcckten dann den Schl\u00fcssel zum Entschl\u00fcsseln der Server heraus. L\u00e4sst vermuten, dass die Hinterm\u00e4nner der Ransomware-Attacke die Universit\u00e4t statt der Klinik treffen wollten, so die Ministerin.<\/p>\n

Shitrix-Schwachstelle als Einfallstor<\/h2>\n

Erg\u00e4nzung:<\/strong> In diesem Kommentar<\/a> weist jemand auf die Citrix-Schwachstelle von Ende 2019\/Anfang 2020 hin (siehe auch Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?<\/a> sowie meine Links am Artikelende, wo ich schon mit Dezember 2019 das Thema aufgegriffen habe). Und in diesem Kontext blieben einige gepatchte Citrix-ADC-Netscaler-Ger\u00e4te mit einer Hintert\u00fcr zur\u00fcck, die durch eine vorherige Infektion implementiert wurde. Heise hat vor zwei Tagen im Beitrag Shitrix-Nachwehen: Citrix-Systeme mit unbemerkten Backdoors<\/a> \u00fcber diese Gefahr berichtet.<\/p>\n

In einem Nachfolgebeitrag Cyber-Angriff auf Uniklinik D\u00fcsseldorf: #Shitrix schlug zu<\/a> legt heise dann nach. Es sieht so aus, als ob der Cyber-Angriff auf die IT-Systeme der Universit\u00e4tsklinik D\u00fcsseldorf \u00fcber einen ungepatchten Citrix-VPN-Server \u00fcber die Schwachstelle CVE-2019-19781 erfolgte.<\/p>\n

Erg\u00e4nzung:<\/strong> Das BSI weist in einer Pressemitteilung<\/a> mit Nachdruck darauf hin, dass derzeit eine seit Dezember 2019 bekannte Schwachstelle (CVE-2019-19781) in VPN-Produkten der Firma Citrix f\u00fcr Cyber-Angriffe ausgenutzt wird. Golem hat es hier aufgegriffen<\/a> – es wurde wohl vers\u00e4umt, die Citrix-Systeme im Januar 2020 neu aufzusetzen, nachdem Details zu den Sicherheitsl\u00fccken und ein Patch verf\u00fcgbar waren. Und mir ist die Information zugegangen, dass wohl Sophos Endpoint Protection im Einsatz war.<\/p>\n

An dieser Stelle platzt mir die Hutschnur, wenn ich dann das Geschwurbel in der Pressemitteilung der Uniklinik D\u00fcsseldorf lese, die von einem Hackerangriff faseln und weder Ross noch Reiter nennen. Denn damit wird IT-Verantwortlichen in anderen Einrichtungen und Firmen die M\u00f6glichkeit genommen, sich \u00fcber die Einfalltore zu informieren. Letztendlich sind es Medien wie heise oder die Leserschaft, die mit Artikeln und Insider-Tipps f\u00fcr Aufkl\u00e4rung sorgen. Es ist unten in den Kommentaren verlinkt – FEFE benennt hier<\/a> die Verantwortlichkeiten deutlich.<\/p><\/blockquote>\n

Staatsanwalt leitet Todesermittlungsverfahren ein<\/h2>\n

Presseberichte, die sich auf Angaben des NRW-Justizministeriums beziehen, berichten, dass die Staatsanwaltschaft Wuppertal ein Todesermittlungsverfahren gegen Unbekannt eingeleitet habe. Der Hintergrund: Eine lebensbedrohlich erkrankte Patientin (Riss der Aorta), die in der Nacht vom 11. auf den 12. September in die Uni-Klinik gebracht werden sollte, musste an ein Krankenhaus in Wuppertal verwiesen werden. Da die Behandlung erst mit einst\u00fcndiger Versp\u00e4tung stattfinden konnte, verstarb die Frau kurze Zeit sp\u00e4ter. Bei einem solchen Sachverhalt leitet die zust\u00e4ndige Staatsanwaltschaft immer ein Ermittlungsverfahren ein. Ob das aber zu einem Ergebnis f\u00fchrt, steht auf einem anderen Blatt.<\/p>\n

Der WDR berichtet noch, dass die CDU\/FDP-Landesregierung k\u00fcnftig mehr Geld f\u00fcr die Sicherheit der Computersysteme bereitstellen will. Das Antragsverfahren sei allerdings noch nicht angelaufen. Die Landesregierung stelle seit 2018 f\u00fcr jede Uniklinik zwei Millionen Euro f\u00fcr die IT-Sicherheit bereit, so die Ministerin. \"Das ist in der Tat zu wenig, daran werden wir arbeiten.\"<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSchwachstelle in Citrix Produkten gef\u00e4hrdet Firmen-Netzwerke<\/a>
\nSicherheitsinformationen (3.1.2020)<\/a>
\nAchtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler<\/a>
\nExploit f\u00fcr Citrix ADC\/Netscaler-Schwachstelle CVE-2019-19781<\/a>
\nPatches f\u00fcr Citrix ADC\/Netscaler 11.1\/12.0 verf\u00fcgbar (19.1.2020)<\/a>
\nCitrix Schwachstelle: Neue Updates und Scanner f\u00fcr Tests<\/a>
\nRagnarok Ransomware zielt auf Citrix ADC, stoppt Defender<\/a><\/p>\n

Ransomware-Befall beim Automobilzulieferer Gedia<\/a>
\nCyber-Angriffe: Stadt Brandenburg und Gemeinde Stahnsdorf offline<\/a>
\nCyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?<\/a>
\nSicherheit: Amazon, Google, Microsoft und CVE-2019-19781<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Cyberangriff auf das Universit\u00e4tsklinikum D\u00fcsseldorf (UKD) von letzter Woche stellt sich, wie von mir vermutet, als Ransomware-Angriff heraus. Die Klinik war wohl Zufallsopfer, nun ermittelt die Staatsanwaltschaft aber, da eine Patientin wegen des Angriffs auf das Klinikum verstarb. Erg\u00e4nzung:\u00a0Und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-235659","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235659","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235659"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235659\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235659"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235659"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235659"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}