Mitte Juli 2019 kam es zu einem Ransomware-Befall in diversen DRK-Einrichtungen in Rheinland-Pfalz. Nun ist zumindest das Einfallstor, ob das die Ransomware in den Systemen verbreitet wurden, bekannt.
Anzeige
Der Ransomware-Befall in den DRK-Krankenhäusern
Mitte Juli 2019 kam es in Einrichtungen, die die DRK Trägergesellschaft Süd-West betreibt, zu einem Ransomware-Befall der IT-System. Die DRK Trägergesellschaft Süd-West betreibt laut dieser Webseite zur Zeit 11 Krankenhäuser an dreizehn Standorten und vier Altenpflegeeinrichtungen. Die Einrichtungen verteilen sich auf die Bundesländer Rheinland-Pfalz und Saarland.
Laut Betreiber wurde der Befall am 16. Juni 2019 am frühen Morgen um 6.30 Uhr bemerkt. Küchenmitarbeiter im Krankenhaus Saarlouis konnten das IT-System nicht hochfahren und informierten den Leiter der IT. Es stellte sich schnell heraus, dass das komplette Netzwerk des DRK-Verbundes von einer Schadsoftware befallen war, die Server und Datenbanken verschlüsselt. Daraufhin seien am Sonntagnachmittag die Server aus Sicherheitsgründen vom Netz genommen, worden, so die DRK Trägergesellschaft.
Ich hatte im Blog-Beitrag Ransomware legt DRK-Krankenhäuser in Rheinland-Pfalz/Saarland lahm über den Vorfall berichtet. Bekannt wurde damals, dass die Infektion der IT-Infrastruktur über einen Domain Controller des Verbunds erfolgte, der durch die Ransomware angegriffen wurde. In der Folge waren alle elf Kliniken und vier Altenpflegeeinrichtungen unter dem Dach der Trägergesellschaft in Rheinland-Pfalz und im Saarland betroffen. Die gesamten IT-Systeme wurden dann außer Betrieb genommen.
Altes Dienste-Konto für Angriff genutzt
Nun wurde in einer des Landtags in Mainz bekannt, wie die Ransomware über einen erfolgreichen Angriff des Domain Controllers verteilt werden konnte. Dieses Medium und heise berichten, dass 'ein vor zehn Jahren angelegtes "altes Dienstkonto" nach Behördenangaben die entscheidende Schwachstelle des Cyber-Angriffs auf elf Kliniken in Rheinland-Pfalz war.
Dieses Dienstkonto sei zwei Tage nach dem Angriff vom 14. Juli identifiziert und deaktiviert worden, so Gesundheitsministerin Sabine Bätzing-Lichtenthäler (SPD) am Donnerstag in einer Fragestunde des Landtags in Mainz. Mehr Informationen werden nicht gegeben – man kann aber zwischen den Zeilen lesen.
Meine Interpretation geht dahin, dass auf dem Domain Controller ein Konto zur Administration oder zum Starten von Diensten eingerichtet wurde und dann per Remote Desktop erreichbar war. Dieses Konto könnte nur unzureichend durch ein Passwort geschützt worden sein. Den Urhebern der Ransomware gelang es dann, möglicherweise durch einen Brute-Force-Angriff, sich Zugang zu diesem 'Dienste-Konto' zu verschaffen.
Dieses Konto wurde dann infiziert und danach auf inaktiv gesetzt. Ich vermute, dass sich dann die Infektion über dieses Konto des Domain Controllers auf die angeschlossenen Clients der betroffenen Einrichtungen ausbreitete.
Gesundheitsministerin Sabine Bätzing-Lichtenthäler fordert laut Presseberichten und hiere, auf Grund des erfolgreichen Angriffs, ein Sofortprogramm vom Bund für die IT-Sicherheit aller Krankenhäuser. Wie es ist, wenn die IT in einem Krankenhaus wegen eines Ransomware-Befalls heruntergefahren wird, hat ZEIT Online in diesem Artikel beschrieben.
Anzeige
2015
"ein vor zehn Jahren angelegtes "altes Dienstkonto"… dazu ein schlechtes Passwort….
hört sich an, als hätte es gelöscht werden müssen, weil es nicht mehr benötigt wurde.
Der betreffende Mitarbeiter war vielleicht schon in Rente und ein Anderer hat seine Funktion übernommen.
Üblicher Weise werden solch verschleiernde Redewendungen genutzt, um Unzulänglichkeiten zu kaschieren. Die IT-Verantwortlichen stehen dem Anschein nach nicht gut da, wenn sie den Angriff hätten verhindern können.
Aber das sind ja nur Vermutungen.
Sollte es sich wirklich um ein zehn Jahre altes Dienstekobto handeln, dann haben die wirklich mal mein Mitgleid.
Gerade gewachsene Strukturen sind schwer abzusichern, hatte man vor zehn.. ach auch schon vor fünf Jahren noch nicht derartige Sorgen. Und wenn das dann noch minimal unsauber dokumentiert ist, wird es echt schwierig.
Aber es zeigt sich: Active Directory, SSO ist echt wichtig, aber die gewonnene Zeit muss man dringend in Absicherung des Domain Controllers investieren und eben nicht einsparen. Am zentralen Autorisierungspunkt darf dann halt nix schiefgehen.