{"id":277580,"date":"2023-02-06T19:23:32","date_gmt":"2023-02-06T18:23:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277580"},"modified":"2023-08-02T17:54:22","modified_gmt":"2023-08-02T15:54:22","slug":"cyberangriffe-auf-rechtsanwlte-kapellmann-geomed-klinik-gerolzhofen-angriffe-auf-esxi-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/06\/cyberangriffe-auf-rechtsanwlte-kapellmann-geomed-klinik-gerolzhofen-angriffe-auf-esxi-server\/","title":{"rendered":"Cyberangriffe auf Rechtsanwälte Kapellmann, Geomed-Klinik Gerolzhofen; Angriffe auf ESXi-Server"},"content":{"rendered":"

\"SicherheitGerade sind mir wieder zwei F\u00e4lle erfolgreicher Cyberangriffa aus Deutschland zur Kenntnis gelangt. Mit Rechtsanw\u00e4lte Kapellmann und Partner hat es einen gr\u00f6\u00dfere Anwaltskanzlei getroffen. Und mit der Geomed-Klinik in Gerolzhofen (Landkreis Schweinfurt) und mit dem Stadtkrankenhause Schwabach sind gleich zwei Kliniken betroffen. Zudem wird vor einer \"gro\u00dfen Cyberangriffswelle\" auf Server gewarnt – sieht so aus, als ob eine seit 2 Jahren geschlossene Schwachstelle im ESXi-Server angegriffen wird. Erg\u00e4nzungen:<\/strong> Weiterhin gab es einen Hack beim Gesundheitsdienstleister Bitmarck diverser Krankenkassen, bei dem Daten von Versicherten betroffen waren. Auch die Gemeindeverwaltung Gerstetten ist von\u00a0 einem Cyberangriff betroffen. Erg\u00e4nzung 2:<\/strong> Auch der Ausstatter Bogner und der Pipeline-Bauer Vorwerk ist jetzt unter den Opfern.<\/p>\n

<\/p>\n

Kapellmann und Partner Rechtsanw\u00e4lte mbB<\/h2>\n

\"\"Kapellmann und Partner<\/a> Rechtsanw\u00e4lte mbB ist eine Rechtsanwaltskanzlei in D\u00fcsseldorf, die sich auf Mandate in der Wirtschaft (vom Baurecht \u00fcber Vergaberecht bis Kartellrecht und Wirtschaftsstrafrecht) fokussiert. Mehr als 160 Anw\u00e4ltinnen und Anw\u00e4lte stehen an verschiedenen Standorten zur Verf\u00fcgung. Laut nachfolgendem Tweet (und einer Leserinfo auf Facebook, danke daf\u00fcr) ist die Kanzlei Opfer eines Cyberangriffs geworden.<\/p>\n

\"Cyberangriff<\/a><\/p>\n

Auf der Webseite der Kanzlei findet sich eine Stellungnahme vom 5. Februar 2023 zu diesem Vorfall. Demnach wurde Kapellmann und Partner Rechtsanw\u00e4lte mbB bereits am 03.02.2023 Opfer eines Ransomware-Angriffs. Dadurch wurden in allen Standorten der Kanzlei IT-Systeme blockiert und Unternehmensdaten verschl\u00fcsselt. Ziel dieses Angriffs war es, ein L\u00f6segeld zu erpressen.<\/p>\n

Die Website www.kapellmann.de<\/a> der Kanzlei sowie die Telefonanlage sind von dem Angriff nicht betroffen, eine Kommunikation mittels E-Mail ist derzeit allerdings leider nicht m\u00f6glich. Die Anw\u00e4lte der Kanzlei stehen daher Mandanten telefonisch zur Verf\u00fcgung. In dringenden F\u00e4llen k\u00f6nnen Mandanten der Kanzlei \u00fcber Gericht oder ihre Anw\u00e4lte Dokumente auch \u00fcber das besondere elektronische Anwaltspostfach (beA) zukommen lassen.<\/p>\n

Die Kanzlei betont in der Stellungnahme, dass man sofort die notwendigen Schritte eingeleitet habe, um alle Daten bestm\u00f6glich zu sch\u00fctzen. Im Hintergrund arbeite ein Team von Spezialistinnen und Spezialisten sowie Mitarbeitenden intensiv an der Analyse des Vorfalls und der Wiederherstellung der Daten in einer sicheren IT-Umgebung.<\/p>\n

Die vollst\u00e4ndige Kl\u00e4rung der Situation stelle hohe Anforderungen an die personellen Ressourcen. Aufgrund der Betriebsunterbrechung kann es zu Verz\u00f6gerungen in der Leistungserbringung kommen, f\u00fcr die wir um Verst\u00e4ndnis bitten und die wir versuchen werden, so gering wie m\u00f6glich zu halten. Die Kanzlei arbeitet in dieser Angelegenheit wir eng mit Cyberspezialisten und der Polizei zusammen.<\/p>\n

Angriff auf Kliniken in Franken<\/h2>\n

Nachfolgender Tweet sowie der Webseite krankenhaus-it.de<\/a> sind mehrere Krankenh\u00e4user in Franken am 31. Januar 2023 im Fokus von Cyberangriffen gewesen. Die Kliniken in Gerolzhofen (Landkreis Schweinfurt) und Schwabach sahen sich Denial-of-Service (DoS)-Angriffen auf ihre Webseiten ausgesetzt.<\/p>\n

<\/a><\/p>\n

Die Internetseiten der Kliniken waren mehrere Stunden nicht erreichbar. M\u00f6glicherweise steckt eine pro-russische Hackergruppe dahinter – es wurde ja vor solchen Angriffen gewarnt, nachdem die Panzerlieferungen Deutschlands an die Ukraine \u00f6ffentlich bekannt wurden.<\/p>\n

Hack beim Gesundheitsdienstleister Bismark<\/h2>\n

Beim Gesundheitsdienstleister Bitmarck, der f\u00fcr diverse Krankenkassen t\u00e4tig ist, gab es einen Hack, bei dem Daten von Versicherten betroffen waren. Heise hatte wohl auf Grund von Hinweisen bei Bitmark nachgefragt und die Best\u00e4tigung des Angriffs erhalten. Inzwischen weist heise in nachfolgendem Tweet<\/a> und diesem Artikel<\/a> darauf hin, dass \u00a0auch Versicherte vom Datenschutzvorfall betroffen sind.<\/p>\n

\"Hack<\/a> Nach bisherigen Erkenntnissen wurden auch Daten (Name, Geburtsdatum, die eindeutige Kartenkennnummer der Versichertenkarte) von ungef\u00e4hr 300.000 Online-Kunden verschiedener Krankenkassen (z.B. IKK Classic) beim Hack abgezogen.<\/p>\n

Cyberangriffe treffen Deutschland<\/h2>\n

Bereits Sonntag hat die italienische Cyber-Sicherheitsbeh\u00f6rde ACN vor der Angriffswelle auf Unternehmen und Beh\u00f6rden gewarnt (siehe z.B. diesen Spiegel Online-Artikel<\/a>) – waren dort doch diverse Webseiten mehrerer Organisationen und Institutionen lahm gelegt worden.<\/p>\n

Die Tagesschau hat es in diesem Beitrag<\/a> aufgegriffen und zitiert das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) in Bonn mit der Aussage, dass es \"Nach aktuellem Kenntnisstand scheint es in Deutschland eine mittlere dreistellige Zahl an Betroffenen zu geben\" scheine.<\/p>\n

Und nun wird es mal wieder pikant, denn die Cyberangriffe richten sich gegen Anwender der VMware Virtualisierungsl\u00f6sung ESXi-Server, wobei eine bekannte Sicherheitsl\u00fccke ausgenutzt wird. Die Sicherheitsl\u00fccke in ESXi-Server wurde nach Angaben des BSI bereits im Februar 2021 durch eine Aktualisierung des Programms geschlossen.\u00a0Die BSI-Warnung hat folgende Text<\/a>:<\/p>\n

\n

Schwachstelle in VMware ESXi weltweit massiv ausgenutzt<\/p>\n

Bei einem weltweit breit gestreuten Angriff wurden laut Medienberichten tausende Server, auf denen VMwares Virtualisierungsl\u00f6sung ESXi zum Einsatz kommt, mit Ransomware<\/span>\u00a0infiziert und verschl\u00fcsselt.<\/p>\n

Die regionalen Schwerpunkte der Angriffe lagen dabei auf Frankreich, den USA, Deutschland und Kanada – auch weitere L\u00e4nder sind betroffen.<\/p>\n

Die T\u00e4ter machten sich eine l\u00e4nger bekannte Schwachstelle im OpenSLP Service der Anwendung zu Nutze, bei der ein \"Heap Overflow<\/span>\" angesto\u00dfen und dadurch letztendlich\u00a0Code<\/span>\u00a0aus der Ferne ausgef\u00fchrt werden kann. Informationen zur Sicherheitsl\u00fccke selbst \u2013 die als CVE-2021-21974 gef\u00fchrt und nach CVSS mit einem Schweregrad von 8.8 als \"hoch\" bewertet wird \u2013 sowie ein\u00a0Patch<\/span>\u00a0wurden vom Hersteller bereits im Februar 2021 ver\u00f6ffentlicht.<\/p><\/blockquote>\n

Hier verweise ich auf meinen Beitrag Sicherheitsvorf\u00e4lle und Patch-Erinnerungen f\u00fcr VMware-Administratoren (6. Feb. 2023)<\/a>, wo ich auf stattfindende Ransomware-F\u00e4lle auf ESXi-Server hingewiesen habe. Inzwischen warnt auch VMware vor dieser Schwachstelle, siehe folgender Tweet<\/a> und diesen Artikel<\/a> bei Bleeping Computer.<\/p>\n

\"VMware<\/a>
\nNeben dem Problem der ungepatchten ESXi-Server stellt sich die Frage, warum diese per Internet erreichbar sind. Golem hat einen ausf\u00fchrlicheren Artikel<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n

Cyberangriff auf Gemeindeverwaltung Gerstetten<\/h2>\n

Auch die Gemeindeverwaltung Gerstetten ist von\u00a0 einem Cyberangriff betroffen.<\/p>\n

\"Gerstettem
\nDetails lassen sich auf dieser Webseite<\/a> in den Artikeln Rathausbetrieb nur eingeschr\u00e4nkt m\u00f6glich<\/a> (2.2.2023) und\u00a0Sch\u00e4dlicher E-Mail-Anhang: Gerstetter Rathaus ist von Cyberangriff betroffen<\/a> (3.2.2023) nachlesen. \u00dcber die Gr\u00fcnde f\u00fcr solche Sicherheitsvorf\u00e4lle, u.a. auch in Potsdam l\u00e4sst sich eine gr\u00fcne Politikerin im Tagesspiegel<\/a> aus. Ich bin \u00fcber nachfolgenden Tweet<\/a>, der die Sachlage gut zusammenfasst, auf das Thema gesto\u00dfen.
\n\"Gr\u00fcnde<\/p>\n

Bekleidungsanbieter Bogner betroffen<\/h2>\n

Erg\u00e4nzung 2:<\/strong> Auch der Ausstatter Bogner ist jetzt bei den Opfern eines Cyberangriffs zu finden, wie ich gerade nachfolgendem Tweet<\/a> entnehme.<\/p>\n

\"Cyberangriff<\/a>
\nIst aber ein weichgewaschener Text, diese Stellungnahme. Die sind nicht nur Opfer eines Cyberangriffs, sondern es gab in der Folge einen Datenschutzvorfall, bei dem Daten (ich gehe von Kundendaten aus) abgezogen wurden. Die Ausf\u00fchrungen der Art \"trotz aller Sicherheitsvorkehrungen\" und \"unverz\u00fcglich geschlossenem Weg\" des Zugangs sind letztendlich Worth\u00fclsen. Fakt ist, dass der Zugang m\u00f6glich war und vertrauliche Daten abgeflossen ist. Die sofortige Reaktion n\u00fctzt nichts, wenn Daten vorher abgeflossen sind. Und \"Sicherheitsvorkehrungen\" die versagen, sind im R\u00fcckblick unzureichend.<\/p>\n

Vorwerk Pipeline-Bau<\/h2>\n

Der Hersteller von Pipelines, das Unternehmen Friedrich Vorwerk, ist laut diesem Bereicht<\/a> auf heise Ende 2020 von einem Ransomware-Angriff betroffen worden, der die IT lahm legte.<\/p>\n","protected":false},"excerpt":{"rendered":"

Gerade sind mir wieder zwei F\u00e4lle erfolgreicher Cyberangriffa aus Deutschland zur Kenntnis gelangt. Mit Rechtsanw\u00e4lte Kapellmann und Partner hat es einen gr\u00f6\u00dfere Anwaltskanzlei getroffen. Und mit der Geomed-Klinik in Gerolzhofen (Landkreis Schweinfurt) und mit dem Stadtkrankenhause Schwabach sind gleich zwei … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-277580","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277580","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277580"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277580\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277580"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277580"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277580"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}