Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck

Es gibt einige neue Erkenntnisse zum Malware-Befall im Kreisklinikum Fürstenfeldbruck, die ich hier im Blog zur Information einstelle. Die Informationen sind mir von Clearswift RUAG Cyber Security als Stellungnahme zugegangen.


Anzeige

Worum geht es?

Mitte November 2018 wurde das Klinikum Fürstenfeldbruck (Bayern) Opfer eines ernstzunehmenden Malware-Angriffs. Die vorhandenen ca. 450 Computer des Hauses waren tagelang unbenutzbar, die Klinik musste zeitweise von der integrierten Rettungsleitstelle des Landkreises abgemeldet werden. Lediglich Notfälle wurden noch in die Klinik geleitet, Patienten mit weniger schwerwiegenden Anliegen mussten mit den Rettungswagen in umliegende Krankenhäuser gebracht werden. Ich hatte im Blog-Beitrag Kreisklinik Fürstenfeldbruck: IT durch Virus lahm gelegt über den Vorfall informiert.

Befall vermutlich per Banking-Trojaner Emotet

Der Grund für den Zwischenfall war die Öffnung eines mit Schadsoftware infizierten E-Mail-Anhangs. Aller Wahrscheinlichkeit nach handelt es sich um eine Variante des Malware-Programms Emotet, der vor allem als Banking-Trojaner verbreitet wird. Aus diesem Grund wurden alle Bankkonten des Krankenhauses gesperrt, um finanziellen Verlusten vorzubeugen.

Der im Jahr 2015 erstmals aufgetretene Trojaner wurde bereits im diesjährigen Bericht des BSI „Die Lage der IT-Sicherheit in Deutschland 2018“ als einer der am häufigsten verbreiteten Malware-Programme erwähnt. Seit September 2017 sind hier besonders viele Attacken in Deutschland zu verzeichnen. Die Zentralstelle Cybercrime Bayern hat laut dpa bereits die Ermittlungen im Fall Fürstenfeldbruck aufgenommen.

Gesundheitswesen im Fokus

Der Angriff auf das Bayerische Krankenhaus reiht sich ein in eine Serie schwerwiegender Attacken auf Gesundheitsorganisationen innerhalb der letzten Jahre. Besonders der Fall des Neusser Lukaskrankenhauses im Jahre 2016 sorgte aufgrund seines Ausmaßes für Aufsehen. Aber auch der kürzlich erfolgte Zwischenfall in drei Ameos-Kliniken in Bremerhaven und Geestland im September dieses Jahrs verdeutlichte das Problem der IT Sicherheit im Gesundheitsbereich. Hier wurden die Kliniken von der Notfallversorgung abgemeldet, sämtliche EDV-Systeme mussten heruntergefahren werden.

Der Vorfall zeigt zum einen, wie verheerend eine Attacke auf die IT-Infrastruktur sein kann, denn diese führt zu massiven Störungen im Betriebsablauf sowie hohen finanziellen Schäden. Zum anderen verdeutlicht der Fall, dass Kliniken ein lukratives Ziel für Angreifer sind und wie einfach sie Malware in diesem Umfeld verbreiten können. Schließlich stellt der E-Mail-Verkehr in vielen Unternehmen, auch im Healthcare-Bereich, das Hauptkommunikationsmittel dar. Zwar sind Mitarbeiter sensibilisierter im Hinblick auf schadhafte Links und Anhänge – auf der anderen Seite werden die Angreifer immer professioneller und können oftmals täuschend echte Mails samt Anhängen, beispielsweise Rechnungen, fälschen.

Entscheider im Healthcare-Bereich sollten handeln

Um solchen gefährlichen Angriffen in Zukunft Einhalt zu gebieten, müssen Entscheider im Healthcare-Bereich das Thema Informationssicherheit zu einer ihrer Kernherausforderungen zählen. Schließlich steht bei der Vernachlässigung dieses Themas die bestmögliche Versorgung der Patienten und die Sicherheit der sensiblen Daten dieser auf dem Spiel. Neben der kontinuierlichen Sensibilisierung der Mitarbeiter ist die Anschaffung einer ganzheitlichen Lösung aus dem Bereich der E-Mail-Sicherheit unabdingbar. Um das Eindringen von Malware, insbesondere in Krankenhäuser, auf technischer Ebene zu verhindern, gibt es zwei Möglichkeiten.

  • Die erste basiert auf dem Entfernen von aktiven Inhalten – das bedeutet, die aktiven Inhalte (in diesem Fall Malware) werden aus dem Dokument entfernt, der Rest bleibt unangetastet. Dies gewährleistet, dass der Empfänger die Informationen sofort erhält – nicht aber die Malware. Diese Art der Entfernung von aktivem Content wird auch als „Structural Sanitization“ bezeichnet.
  • Bei der zweiten Methode kommt die so genannte Sandbox-Technologie zum Einsatz. Dabei wird das Dokument in einer sicheren Umgebung („Sandbox“) geöffnet und sein Verhalten analysiert. Wenn nach Ablauf einer bestimmten Zeit (z.B. 15 Minuten) nichts Ungewöhnliches geschieht, wird das Dokument für den Empfänger freigegeben. Diese Zeitverzögerung ist jedoch sowohl unpraktisch als auch ineffektiv, denn mit fortschreitender Professionalisierung der Angreifer ist Malware immer besser in der Lage, diese Art der Technologie zu umgehen. Beispielsweise kann eine Schadsoftware für eine Stunde „still liegen“ – eine Zeit, in der die meisten Sandboxes diese freigeben hätten und sie sich danach ohne Probleme auf dem Rechner ausbreiten kann.

Im Gegensatz dazu wird bei der Structural Sanitization die Bedrohung komplett eliminiert und stellt daher die effektivere Methode zur Abwehr von Angriffen dar.


Werbung

Der Kampf gegen Malware stellt für Unternehmen im Healthcare Sektor eine der größten Herausforderungen dar – allerdings eine, der durch neue Technologien Abhilfe geschaffen werden kann. Im Idealfall sollten Kliniken von mehreren Sicherheitsebenen umgeben sein und sicherstellen, dass ein ausreichender Schutz vor Malware besteht, ganz gleich aus welcher Richtung die Attacke erfolgt. Nur wenn eine Lösung die tiefgreifende Analyse zur Erkennung und Entfernung von eingebetteten Malware-Bedrohungen in Echtzeit bietet, sind Gesundheitsdienstleister und somit Patientendaten ideal geschützt.

Ähnliche Artikel:
Ransome-Malware legt Klinikbetrieb lahm
Virusinfektion legt britische Kliniken lahm
Hollywood-Klinik nach Ransomware-Angriff offline
Hacks of the day: Seitensprung-Portal und Klinikdaten
Singapurs größter Gesundheitskonzern gehackt
WannaCry: Die Gefahr ist noch nicht gebannt
Kreisklinik Fürstenfeldbruck: IT durch Virus lahm gelegt


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Kommentare zu Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck

  1. Mitleser sagt:

    Schade, der Titel ist irgendwie Clickbait. Unter “Mehr” verstehe ich irgendwie “Neues”, wie auch im ersten Satz “neue Erkenntnisse” erwähnt – doch davon gibt es hier gar nichts.

    Emotet wurde von Anfang an in den Medien genannt, und sonst irgendwie gar nichts Konkretes.

    Einfach nur viele Worte um nichts… klingt nach reinem Marketingmaterial.
    Herr Born, ich mag Ihren Blog sehr, aber das können Sie besser!

  2. Rolf Dieter sagt:

    “Zwar sind Mitarbeiter sensibilisierter im Hinblick auf schadhafte Links und Anhänge – auf der anderen Seite werden die Angreifer immer professioneller und können oftmals täuschend echte Mails samt Anhängen, beispielsweise Rechnungen, fälschen. ”
    Genau da liegt das Problem. Nix und niemand ist “sensibilisiert”. Das geht bei den Jungs und Mädels ins eine Ohr rein, und sofort wieder raus. Oft genug bei unseren Kunden festgestellt. Merkbefreit. Niemand, aber auch niemand schreibt eine Rechnung, und verschickt die dann als änderbares DOC! Kannste 10 mal erzählen und Schulen, morgen ist wieder alles vergessen. Sperrt man nun die DOC etc. Anhänge, wird rumgeflennt, warum man die nicht mehr öffnen kann. Scheiß EDV, heißt es dann!
    Reflektieren, dass man das Netzwerk vor Dummheit schützen muss, ist nicht.
    Immer wieder muss ich feststellen, dass viele, sehr viele Glück haben, dass Atmen ein Reflex ist. :-) Sonst hätten wir an den Arbeitsplätzen ein Massensterben ;-)
    Und immer z.B. schön WhatsApp auf alle Kontakte im Handy zugreifen lassen. Ist ja so einfach, und ich habe ja nix zu verbergen. Aber sich wundern, wo die Spamer die ganzen Adressen her haben.

    • Dekre sagt:

      Genau! Das ist das Problem. Die arrogante Selbstgefälligkeit in diesem Land. Diese wird aber von den regierungstragenden Organisationen (mit allen Drum und Dran, es betrifft alle, Bund, Länder und Stadtstaaten) auch so vorgelebt und propagiert.
      Es ist der Egoismus in diesem Land. Vorgelebt von einer bestimmten Richtung und gegenwärtig nicht zu ändern. Irgendwann wird unser System kollabieren.

      Aber wir beschäftigen uns hier mit EDV und können da nur edv-technisch mahnen und Hilfe anbieten für die Dummbatzen, wenn es schon da ist.

      • Rolf Dieter sagt:

        Und das Schlimme ist, dass man an zwei Fronten kämpft. Zum einen die “Anwender” und zum anderen Winzigweich. Ich habe momentan mehr Angst vor MS Updates als vor Viren!

  3. Simsoo sagt:

    Was für ein Virenscanner war in der Klinik im Einsatz?

    • Rolf Dieter sagt:

      Vollkommen egal.
      Ein Virenscanner ist immer nur eine Momentaufnahme.
      Kommt ein neuer Virus heraus, muss dieser analysiert, eine Signatur erstellt und per Update verteilt werden.
      In der Zwischenzeit stehste mit runtergelassenem Höschen da.
      Greif Dir einen verdächtigen Anhang, lade es auf virustotal.com hoch, und wundere Dich, dass mal gerade 20% das Ding erkennen.
      Ein Virenscanner ist kein kompletter Schutz!
      Brain 1.0 hilft da schon wesentlich mehr (keine Signatur, falsche Telefonnummer, unsinniges Anschreiben, Rechtschreibfehler etc.)
      Aber davon gibt es leider viel zu wenige in der freien Wildbahn, die darauf achten.
      Einfach aufmachen, klingt ja ganz interessant und wichtig….
      Mir doch egal, eh nicht mein Rechner…
      Und ein Schuldbewustsein gibt es eh nicht.
      Was haben wir da an Ausreden gehört.

      • 20% Erkennungsrate auf VirusTotal? Du übertreibst, SCHAMLOS!
        Ich finde regelmässig DrexZeux mit 0% (in Worten: NULL) Erkennungsrate. Wobei “raten” genau das richtige Wort ist.
        Virenscanner sind GAR KEIN Schutz, da NICHT ZUVERLÄSSIG!
        Ebensowenig sind Versuche, Mail- bzw. Webseiten-Anhänge (letztere werden i.A. als “Downloads” bezeichnet) anhand von des vom Versender/Ersteller angegebenen MIME-Typs oder einer Dateiendung klassifizieren und dann blockieren zu wollen, sinnvoll.
        Tipp: kennwortgeschütztes ZIP-Archiv…

        WIRKSAME Schutzmassnahmen dagegen sind
        1. STRIKTE Privilegientrennung, d.h. KEINE Administratorrechte für Benutzer (JFTR: das Placebo qUACkery ist, wie seine Bezeichnung verdeutlicht, ebenfalls Schlangenöl);
        2. “write XOR execute”, d.h per Softwarebeschränkungsrichtlinien (AppLocker oder SAFER) Ausführen von Dateien, egal ob Programm oder Skript, nur an Orten zulassen, wo Normalbenutzer keine Schreibrechte haben, und umgekehrt;
        3. alle aktiven Inhalte (Makros, VBA, VBScript, JavaScript) in Anwendungen, die sowas ausführen, deaktivieren.

        • Rolf Dieter sagt:

          Ja, mit den Prozentzahlen mag ich übertrieben haben. :-)
          Das mit dem Passwortgschützten ZIP ist aber auch so eine Sache.
          Unsere Gateprotects meckern rum, bzw. deklarieren dann diese Datei als Virus, da ja nicht in dem ZIP gescannt werden kann. Ein Teufelskreis.
          Leider verlangen einige Programme Administratorrechte, sonst funktionieren die nicht richtig. Immer wieder bei Autokack der Fall. Klingt komisch, ist aber so.
          Theorie ist eine Sache, die Praxis leider immer wieder eine andere. :-(
          Immer ein schöner Ritt auf der Rasierklinge.

          • “Ein Teufelskreis.”
            Du darfst anstelle solcher kennwortgeschützter Archive selbstverständlich auch (PGP bzw. S/MIME-verschlüsselte Mails) oder SSL/TLS-verschlüsselte HTTPS/FTPS/…-Transfers a priori als virenverseucht betrachten lassen.
            Sowas ist SEEEEHR praktisch … in der Theorie.

            Ausserdem sind praktisch ALLE Benutzerprogramme, die NICHT mit Benutzerrechten laufen ALLERÜBELSTER und MANGELHAFTESTER Schrott!
            Wer den Verbrechern solchen DrexZeux gar noch Geld zahlt ist ein VOLLIDIOT!

      • GPBurth sagt:

        keine Signatur, falsche Telefonnummer, unsinniges Anschreiben, Rechtschreibfehler –> alles Dinge, die schon seit mindestens einem Jahr in “gut gemachter” Malware nicht mehr vorkommen.

        Stattdessen werden sogar zum Namen passende Email-Adressen als Absender verwendet (“maria.musterfrau@gmx.de”) – und das sogar im SMTP-Header. Zudem werden beispielsweise angebliche Bewerbungen auf echt ausgeschriebene Stellen versandt – und auf genau die Ausschreibung Benzug genommen.

        Wenn es sich nicht um Malware handeln würde müsste man das fast bewundern…

        • Rolf Dieter sagt:

          Alle DOC Trojaner die mir von unseren Kunden vorliegen haben keine richtige Signatur.
          Es wird lediglich eine Telefonnummer angegeben, und die ist falsch, denn diese passt nicht zum Mitarbeiter. Nix Name, nix Adresse, nix Logo.
          Alle sind im Header von anderen Adressen verschickt worden.
          Kein Mitarbeiter schreibt so was wie “Guten Tag” und gleich darunter “Genemigt” und “Freundliche Grüße”.
          Da steht in der Regel “Hallo (Name des Empfängers)”, ein kurzer beschreibender Text, und “Mit freundlichen Grüßen” wäre auch sinnhafter.
          Ich beziehe mich hier immer auf Mails, in denen interne Mitarbeiter angeblich eine Rechnung verschickt haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.