Ransomware legt DRK-Krankenhäuser in Rheinland-Pfalz/Saarland lahm

Aktuell sind mehrere Klinken des DRK-Trägergesellschaft Süd-West in Mainz, Alzey, Worms und Bad Kreuznach etc. durch einen Ransomware-Befehl faktisch lahm gelegt. Die Abläufe werden mit Papier und Kugelschreiber bzw. Bleistift dokumentiert, da die IT weitgehend steht.


Anzeige

Die DRK Trägergesellschaft Süd-West betreibt laut dieser Webseite zur Zeit 11 Krankenhäuser an dreizehn Standorten und vier Altenpflegeeinrichtungen. Die Einrichtungen verteilen sich auf die Bundesländer Rheinland-Pfalz und Saarland. Hier versorgen unsere insgesamt rund 4.200 Beschäftigten über 80.000 Patientinnen und Patienten im Jahr.

Kliniken der DRK Trägergesellschaft Süd-West betroffen

Die ersten Presseberichte zu einem Ransomware-Befall in den Krankenhäusern wurden von Medien wie der Saarbrücker Zeitung am 17. Juli 2019 gebracht. Laut diesem Medium sind auch das DRK-Krankenhaus in der Vaubanstraße in Saarlouis sowie die DRK-Klinik Mettlach für Geriatrie und Rehabilitation in der Saaruferstraße in Mettlach betroffen. Letztendlich sind aber alle Kliniken und Einrichtungen der DRK Trägergesellschaft Süd-West in den Bundesländern Rheinland-Pfalz und dem Saarland betroffen.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Befall am Sonntag Morgen bemerkt

Der Geschäftsführer der Trägergesellschaft, Bernd Decker, sagte, dass der Befall mit einem Virus am Sonntag morgen gegen 6.30 Uhr bemerkt worden sei. Küchenmitarbeiter im Krankenhaus Saarlouis konnten das IT-System nicht hochfahren und informierten den Leiter der IT.

Es stellte sich schnell heraus, dass das komplette Netzwerk des DRK-Verbundes von einer Schadsoftware befallen war, die Server und Datenbanken verschlüsselt. Daraufhin seien am Sonntagnachmittag die Server aus Sicherheitsgründen vom Netz genommen, worden, so die DRK Trägergesellschaft. Ziel war es, die Systeme auf einen Befall zu überprüfen und zu verhindern, dass sich die Schadsoftware weiter ausbreitet.

Domain-Controller von Windows betroffen

Bei heise, die das Thema aufgegriffen haben, schreibt man, dass der Domain Controller des Verbunds durch die Ransomware angegriffen wurde. In der Folge waren alle elf Kliniken und vier Altenpflegeeinrichtungen unter dem Dach der Trägergesellschaft in Rheinland-Pfalz und im Saarland betroffen.

Bei diesen Einrichtungen wurde durch das Herunterfahren der Systeme sowohl E-Mail als auch Internetzugang gekappt. Alle Einrichtungen waren nur per Telefon und Fax erreichbar. Die Verwaltungsvorgänge mussten, auch in den Kliniken, wieder mit Bleistift und Papier durchgeführt werden. Decker sagte, dass die Aufnahme der Patienten oder Befunde von Laboruntersuchungen inzwischen mit Bleistift, Kugelschreiber und Papier vorgenommen würden. Laut Geschäftsführer Decker gibt es aber 'keine Hinweise darauf, dass Patientendaten abgegriffen worden seien'. Auch medizinische Geräte sollen nicht betroffen sei. Die Staatsanwaltschaft Koblenz und das Landeskriminalamt (LKA) sind eingeschaltet.


Anzeige

Eine Lösegeldforderung der Ransomware ist nicht bekannt. Auch wurde der Typ der Schadsoftware nicht genannt. Dieser Meldung zufolge ist die Schwachstelle identifiziert. Laut heise begann die IT der DRK Trägergesellschaft Süd-West am gestrigen Mittwoch wieder damit, die Systeme hochzufahren. Bereits Dienstag ging die Klinik in Neuwied wieder testweise ans Netz. Nachdem dort keine Probleme mehr auftraten, hofft man, dass das System clean sei (die Aussage möchte ich jetzt nicht kommentieren). Am Donnerstag will man damit beginnen, weitere Häuser wieder an die IT-Struktur des Verbunds anzuschalten. Das ist nicht der erste Ransomware-Angriff auf Kliniken, wie die nachfolgenden Artikel zeigen.

Ähnliche Artikel:
Ransome-Malware legt Klinikbetrieb lahm
Virusinfektion legt britische Kliniken lahm
Hollywood-Klinik nach Ransomware-Angriff offline
Hacks of the day: Seitensprung-Portal und Klinikdaten
Singapurs größter Gesundheitskonzern gehackt
WannaCry: Die Gefahr ist noch nicht gebannt
Kreisklinik Fürstenfeldbruck: IT durch Virus lahm gelegt
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Ransomware legt DRK-Krankenhäuser in Rheinland-Pfalz/Saarland lahm

  1. Herr IngoW sagt:

    Zitat:
    "Nachdem dort keine Probleme mehr auftraten, hofft man, dass das System clean sei (die Aussage möchte ich jetzt nicht kommentieren)."
    Ja genau, da fällt einem nix mehr zu ein 😥. Ist schon ein Armutszeugnis.

    • Bernard sagt:

      Wenn so grosse Einrichtungen schon Probleme haben, wie soll sich ein ein kleiner Betrieb gegen so etwas schützen?

      Es ist leider so, dass es trotz ALLER Warnungen immer noch Mitarbeiter gibt, die aus NEUGIER verdächtige E-Mails öffnen. Oder im Web andere gefährliche Dinge tun.

      Es gibt immer eine Schwachstelle.

      Wie kann ich sicher erkennen, ob jemand mein System gehackt hat? Und zwar zu einem Zeitpunkt, wo noch keine Verschlüsselung erfolgte, sondern lediglich das System ausspioniert wird?

      Diese Aufgabe ist nicht so trivial, wie manche Kommentatoren glauben.

      • Dranreb sagt:

        "Wenn so grosse Einrichtungen schon Probleme haben, wie soll sich ein ein kleiner Betrieb gegen so etwas schützen?"

        Indem man einfach keine viren-/trojaneranfällige (=Windows) Infrastruktur verwendet?

      • Dekre sagt:

        Es ist die Quelle wohl offen.
        Ansonten würde diese offengelegt. Alle sandere ist sinnlos.

  2. JohnRipper sagt:

    Ja scheiße wenn der Domain Controller umgedreht wird.

    Dann hat man meist verloren.

    Wichtig es ist gerade die DC bestmöglich zu sichern, merkt man oft aber leider erst wenn es zu spät ist.

  3. Bolko sagt:

    Wieso muss das IT-System hochgefahren werden?
    Normalerweise sollte das 24/7 laufen.

  4. Bolko sagt:

    Das Hauptproblem ist die Ausführungsberechtigung in Ordnern, wo ein User Schreibrechte hat.

    Besser wäre es die Ausführungsberechtigung für solche Ordner zu entfernen.
    Ausführungsberechtigung nur für den Programmordner zulassen und dort die Schreibrechte entziehen.

    Selbst wenn man sich dann einen Schädling einfängt (runterlädt), dann liegt der nur irgendwo tot rum und kann nicht gestartet werden.

    Das geht mit Apploacker oder SAFER oder Restric'tor

    *_SAFER.INF konfiguriert Windows so, daß Benutzer (also Nicht-Administratoren) Programme nur dort ausführen dürfen, wo sie keine Schreibrechte haben. Ein Benutzer kann somit ein Schadprogramm nicht zur Ausführung bringen, selbst wenn er wollte – wo er es ablegen kann, darf er es nicht ausführen, und wo er es ausführen dürfte, darf er es nicht ablegen.

    http://schneegans.de/computer/safer/
    https://skanthak.homepage.t-online.de/SAFER.html

    Restric'tor
    https://www.heise.de/ct/artikel/Restric-tor-Profi-Schutz-fuer-jedes-Windows-3690890.html

    In Linux ist dieses Sicherheitsfeature standardmäßig aktiv.

    Noch besser ist eine Whitelist mit hash-Überprüfung der startfähigen Programme.
    Alle Programme, deren hash nicht in der whitelist drin steht, können nicht gestartet werden.

    • Günter Born sagt:

      Danke für die Ergänzung. Die von dir genannten Stichworte stehen auch noch auf meiner Agenda für 'Windows 7 zum Supporende härten und abgespeckt in VMs laufen lassen'

      • Gaga sagt:

        Sehr interessant!
        Darauf bin ich sehr gespannt da ich dazu nur sehr wenig Erfahrung/Wissen habe…

        Ich freue mich darau!

      • Hans Thölen sagt:

        Auch ich warte mit großer Spannung auf diesen Artikel,
        da ich mich dazu entschlossen habe, auch nach dem
        Supportende weiterhin ausschließlich mit Windows 7 zu
        arbeiten. Was Anderes kommt für mich nicht in Frage,
        auch kein Linux.

    • 1. Restric'tor ist UNSICHERER Sondermüll: in Standardinstallationen von Windows erlaubt es ganz trivial das Ausführen beliebigen Codes mit Administratorrechten; zudem sind die damit erzeugten SRPs unvollständig, es bleiben mehrere Dutzend wohlbekannte Pfade OHNE Schutz.

      2. "In Linux ist dieses Sicherheitsfeature standardmäßig aktiv."

      AUTSCH!
      Eine mit SAFER oder AppLocker vergleichbare Funktion ist dort NICHT aktiv!
      Unter UNIX werden Dateien (im Gegensatz zu Windows) standardmäßig nur ohne "x"-Permission angelegt; ein folgendes "chmod +x …" ändert das.
      Unter Windows NT 3.5 aufwärts kann das jeder Benutzer selbst nachrüsten, indem er der NTFS-ACL von %USERPROFILE% die NTFS-ACE (D;OIIO;WP;;;WD) alias "verbiete Ausführen von Dateien in diesem Verzeichnis für JEDER, vererbbar auf Dateien in allen Unterverzeichnissen" hinzufügt.

      • Bolko sagt:

        Vielen Dank für die Infos, man lernt halt nie aus.

        Zitat:
        in Standardinstallationen von Windows erlaubt es ganz trivial das Ausführen beliebigen Codes mit Administratorrechten

        Gilt das auch, wenn UAC auf höchster Stufe steht und man nur den Standardbenutzer (also kein Admin-Konto) benutzt?

        Kennst du auch eine Maßnahme gegen Dropper, die sich gar nicht auf die Festplatte schreiben wollen, sondern nur im RAM laufen?

        Kennst du einen Weg, wie man SAFER in Linux nachbilden kann?
        Kann man chmod +x unterbinden, so dass sich Schädlinge keine Ausführungeberechtigung verschaffen können?

        • Dranreb sagt:

          "Kennst du einen Weg, wie man SAFER in Linux nachbilden kann?
          Kann man chmod +x unterbinden, so dass sich Schädlinge keine Ausführungeberechtigung verschaffen können?"

          Kommt darauf an, wie das System partitioniert ist unter Linux. Normalerweise ist z.B. /home auf einer separaten Partition. Die kann man dann einfach mit der Mountoption "noexec" einhängen. Damit ist ein Ausführen von Dateien, die auf dieser Partition liegen, nicht mehr möglich. Beim /tmp und /dev wird das sowieso gemacht, bei Netzlaufwerken ist das ebenfalls ratsam.

          Ansonsten kann man auch per ACL das x-Flag aus der Mask nehmen, dann kann man das auf Verzeichnisebene umsetzen. Ist auch vererbbar.

          Es ist also weder ratsam noch nötig, sowas wie "SAFER" in Linux nachbilden zu wollen.

      • Bolko sagt:

        Hast du das wegen Restric'tor der c't (heise) schon mitgeteilt, dass die einige Pfade vergessen haben?

        Solltest du machen, damit die den Fehler korrigieren können.

    • Dekre sagt:

      Mal generell, ich habe es oben gerade schon eingestellt. Das technische Geplänkel ist nicht zielführend.
      DENN – Die einzige Frage ist doch:

      WIE KAM DAS DING AUF DAS SYSTEM?

      Das ist das Entscheidende!

      • JohnRipper sagt:

        Sehe ich anders.

        Für mich hat ein Sicherheitssystem mehrere Stufen.

        Klar versuche ich Schadsoftware draußen zu halten, aber das schaffe ich nicht, ohne das LAN Kabel abzustecken, WLAN abzuschalten und alle Ports zu sperren, was das System quasi unbrauchbar macht.

        Aber es gehört auch dazu die Nutzer zu sensibilisieren.

        Und auf der nächsten Stufe, deren Fehler oder böse Absichten bestmöglich zu korrigieren.
        (Kein einfaches ausführen von irgendwelchen Programmen, die von irgendwo kommen…)

        Last but not least: Backup

        And finally: Offside Backup

        Und zuletzt: zweites offside Backup/Langzeitarchivierung

    • JohnRipper sagt:

      Hash Freigaben ls Whitelist sind die Königsklasse.

      Für den normalen Enduser wäre Applocker oder Software Restriction Policy (SRP) mE fast immer ausreichend.

      SRP ist zudem ein Standardfunktion ab Pro

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.