Kreisklinik Fürstenfeldbruck: IT durch Virus lahm gelegt

Es ist mal wieder der GAU für eine IT-Abteilung. Die Computertechnik in der bayrischen Kreisklinik Fürstenfeldbruck sind seit Tagen durch einen Virus lahm gelegt und abgeschaltet.


Anzeige

Das berichtet der Merkur in diesem Artikel. Dem Bericht zufolge mussten alle Computer, samt den zugehörigen Servern wegen des Virusbefalls abgeschaltet sein. Das Krankenhaus arbeitet seit Tagen (in der Erstmeldung vom 14. November 2018 heißt es 'seit einer Woche sei die elektronische Datenverarbeitung im Klinikum vollständig lahmgelegt').

Über die genaue Ursache des Befalls ist wenig bekannt. Es wird vermutet, dass ein (infizierter) E-Mail-Anhang von einem Klinik-Mitarbeiter geöffnet wurde. Der erste Rechner scheint am Donnerstag, den 8. November 2018, 'gegen Mittag' ausgefallen zu sein. Dann melden sich immer weitere Nutzer, deren Rechner selbsttätig herunter und wieder hochfuhren. Die IT hat dann die komplette Computertechnik heruntergefahren.

Klinik-Vorstand Alfons Groitl teilte dem Merkur mit, dass man das Klinikum bei der Integrierten Rettungsleitstelle abgemeldet habe. Notfälle werden daher an andere Kliniken umgeleitet. Das Krankenhaus selbst arbeitet im Notfall-Modus, bei dem man ohne Computer auskommen muss. Aber es konnten aus Operationen ausgeführt werden.

Erste Computer (im Klinikum sind etwa 450 Rechner im Einsatz) konnten am Mittwoch, den 14. November 2018 in Betrieb genommen werden. Vermutlich war ein Trojaner die Ursache für den Befall. Ob es Ransomware war, ist unbekannt. Auf der Webseite des Klinikums habe ich keine Informationen zum Thema gefunden (mangels Computer könnte man die Info wohl auch nicht einpflegen). Immerhin gibt es bald Autogenes Training – Entspannung als Burnoutprophylaxe für Erwachsene, da kann die IT dann ja teilnehmen.

Ähnliche Artikel:
Ransome-Malware legt Klinikbetrieb lahm
Virusinfektion legt britische Kliniken lahm
Hollywood-Klinik nach Ransomware-Angriff offline
Hacks of the day: Seitensprung-Portal und Klinikdaten
Singapurs größter Gesundheitskonzern gehackt
WannaCry: Die Gefahr ist noch nicht gebannt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Kreisklinik Fürstenfeldbruck: IT durch Virus lahm gelegt

  1. oli sagt:

    Mitarbeiterin einer von uns betreuten Firma hat auch auf sone Email geklickt, das Powershell-Script und eine temporär angelegte .exe-Datei wurde zum Glück von der AV-Software (Eset) blockiert. Die Email war vom Inhalt her kontextabhängig (es wurde eine angepasste Rechnung genau dieser Firma erwartet, die im gespooften Email-Adressnamen stand). Für einen nicht IT-affinen Mitarbeiter sah die Email also durchaus unproblematisch aus. Als Fachmann sieht man dann doch die Ungereimtheiten:

    -unpersönliche Anrede
    -im Thunderbird mit DKIM-Verifier schlägt die Signaturprüfung fehl
    -altes Word-Format (.doc)
    -und überhaupt: Rechnungen als .doc-Datei?
    -im Quelltext sieht man dann auch die echte Herkunft, welche natürlich nicht mit den MX-Einträgen der Emaildomain übereinstimmen

    Ich frage mich aber trotzdem, woher die Angreifer solch detailierte Informationen von internen Prozessen haben (oder war das nur ein dummer Zufall?). Das macht mir gerade am meisten Sorgen.

    • JohnRipper sagt:

      An deiner Stelle würde ich mir weniger Soegen mchen woher die Informationen kommen sondern um ganz anfere Dinge:

      Ein Standarduser darf einfach so Powershell ausführen?
      Und dann noch (im Anschluss) eine "temporäre" (vermutlich) nicht bekannte Exe?????
      Am besten noch aus dem Nutzerverzeichnis?
      DKMI schläft an aber keine Konsequenzen?
      Kein vernünftiger Spamfilter?

      Oh Gott, wie war euer Name. Ich möchte euch gerne "weiterempfehlen".

      Dass ESET das Thema noch verhindert war, war reines glück.

      • Martin Feuerstein sagt:

        > Ein Standarduser darf einfach so Powershell ausführen?
        Windows-Standard.
        > Und dann noch (im Anschluss) eine "temporäre" (vermutlich) nicht bekannte Exe?????
        Windows-Standard.
        > Am besten noch aus dem Nutzerverzeichnis?
        Darin liegt das Nutzer-Temp. Windows-Standard.
        > DKMI schläft an aber keine Konsequenzen?
        Dass DKIM-Prüfung überhaupt vorhanden ist…
        > Kein vernünftiger Spamfilter?
        Wieviele Dating-Anfragen osteuropäischer Frauen allein heute bei mir durchgekommen sind… trotz Spam-Filter!

        > Oh Gott, wie war euer Name. Ich möchte euch gerne "weiterempfehlen".
        Insofern… wenn keiner da ist/bezahlt wird, der die Umgebung absichert, ist es genauso sicher "wie zuhause" – also gar nicht. Nur dass zuhause bestenfalls ein paar Urlaubsbilder flöten gehen.

      • oli sagt:

        Ja, SRPs sind nicht umgesetzt. Sind noch ein paar andere Dinge, wie noch aktiviertes SMBv1 und ein letzter WinXP-Rechner, die mich stören. Spamfilter gibt es schon einen rudimentären. Aber die Emails sind schon gut gemacht, wenn normale Menschen schon Probleme haben, wundert mich nicht, dass die Email durchrutscht. Die angehangene .doc-Datei wurde anfangs übrigens nicht von Eset erkannt.

        Im Grunde bin ich aber trotzdem Schuld. Wir hatten letztens einige MS-Office-Richtlinien (bzgl. Datenschutz und Security) durchgesetzt und mir ist jetzt nach dieser Aktion aufgefallen, dass ich eine Richtlinie zur Deaktivierung von Macros aus unsicheren Quellen für MS Office 2013 vergessen hatte (für 2016 wars gesetzt). Dadurch konnte die Dame (sie nutzt natürlich Office 2013) überhaupt die Warnmeldung wegklicken und die Macros aktivieren.

  2. deo sagt:

    Ein PC wurde nicht kompromittiert. Der ging über den Gastzugang, der keinen Zugang zum LAN der Fritzbox hat, online. ;-)
    Irgendwie ist es schon komisch, dass Heimrouter ein Netz für Gäste bereitstellen, die das LAN nicht gefährden können, aber ein großes Krankenhaus-LAN nur ein Netz hat, in dem ein Doktor mit seiner kritischen Infrastruktur davon abhängig ist, dass ein Lehrling im Büro keinen Mist baut.
    Können die kritische Bereiche nicht mit weiteren Routern und Firewalls voneinander trennen, so dass die Ausbreitung von Malware Grenzen hat?

  3. Schwarzes_Einhorn sagt:

    "-und überhaupt: Rechnungen als .doc-Datei?"

    Toll-Collect hat seine Rechnungen als *.zip-Dateien (!) per Mail geschickt. Beim ersten Mal wurden sie in der Firma gelöscht, weil man die Mail als Spam einstufte, beim zweiten Mal wurde telefonisch nachgefragt. Ja, die schicken ihre Rechnungsmail tatsächlich als *.zip.

    Seriös sieht ja irgendwie anders aus. Ich bin ja nur blöder Nutzer, aber da fiel mir nichts mehr ein – was ich am Telefon auch sagte.

  4. Markus sagt:

    Das war bestimmt LiMux (von Ausländern und Spinnern programmiert). LiMux ist akut massiv von Windows bedroht und nimmt jetzt Windows-Netze im Staatsgebiet in den Untergang mit…

  5. nook sagt:

    Folgende Situation diese Woche.

    Ich werde nach Krankheitsunterlagen für eine Angehörige (Notaufnahme) gefragt, ok, ich hole sie schnell.

    Murphy um 21:00 Uhr: Mein problemloser Brother Laser weigert sich zu drucken. Daten gescannt, als pdf auf den Stick geschoben.

    In der Station, hier sind die Daten. Oder soll ich per Mail senden, Laptop ist dabei. Zack, und mein USB Stick steckte schon im Klinikrechner …

  6. Torsten sagt:

    Seit einer Woche werden wir auf Arbeit auch mit angeblichen "Rechnungen" im DOC Format bombardiert. Der Mail-Filter mit Sanboxanalyse hat über 300 Anhänge blockiert.

Schreibe einen Kommentar zu Schwarzes_Einhorn Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.