Cyberangriffe Praxis

Question

Mich würden objektive Zahlen zu dem Thema interessieren wie ernst man Cyberangriffe nehmen sollte. Wer hatte schon einmal einen Cyberangriff in der Praxis mit Lösegeldforderung. ich weiss man redet nicht gerne darüber aber die Information über den Abstand zur Klippe ist wichtig für die rennende Lemminggruppe. Gerade mit dem Ukrainekonflikt und angekündigte Attacken wird dies sehr interessant.

OS: (Mac/PC)

Firewall: Soft und Hardware welche.

Zusätzlicher Softwareschutz: welche Software an den PCs installiert. Welches Antivirus, Malwareprogramm etc.

Backups: Festplatten, externe Festplatten ausser Haus, Online

Versicherung: ja/nein welche

Ablauf nach der Attacke bis zur Wiederherstellung: Kosten, Dauer, Involvierte Behörden, Gruppen, was wurde von Versicherung übernommen. Verlorene Patientendaten?

Comments

Nicht nur Erfahrungsberichte wären interessant sondern auch Ratschläge zu den aufgeworfenen Themen

---

Das kannst du dir aus den Erfahrungen ableiten Christian. Ich weiss ledglich von einem Fall in der Tomedofamilie und da wurden angebundene Windows PCs und NAS befallen und keine Macs. Wäre gut wenn sich mehr melden würden.

---

Bei den gut 200 von mir betreuten Arztpraxen habe ich eine Cyberschadenquote von 5%. Fast ausschließlich Windows-Netze. 5 Praxen mit Ransomware-Schäden, die allesamt durch Lösegeldzahlung behoben wurden, die zwischen 5 und 20 T€ lagen. Diese Attacken oder ihre Aktivierungen erfolgten alle zum Quartalsende. Die Versender konzentrieren sich immer mehr auf Zielgruppen und ihre spezifischen Strukturen. Diese Praxen hatten keine Sicherung in die cloud, alle Sicherungsmedien waren korrumpiert. Die Ausfallzeiten lagen bei rund 2 Wochen.

De restlichen Praxen waren von Datendiesbstahl betroffen. Dies galt auch für die Mac-basierten Netze von 2 Praxen. Lokalisiert wurde hier ein Diebstahl der in Outlook gelageten Adressdaten und ein Diebstahl in der Windows-Einrichtung unter parallels. Im letzten Fall konnte ein Diebstahl von Patientendaten nicht ausgeschlossen werden. Die dann auf Anordnung des LDI erfolgte Information der Patienten ist eine teuere und heikle Angelegenheit, die das Ende einer Praxis bedeuten kann. Jede erfolgreiche Attacke ist eine äußerst belastende Situation für Inhaber wie auch Mitarbeiter. Ich kann die Praxen nicht verstehen, die immer noch meinen, dass Sie mit einer FritzBox ausreichend geschätzt sind - und dazu gehören auch einige Tomedo-Praxen. Der Feind kommt häufiger von Innen als von Außen.

Ich habe gestern Abend ein Webinar mit Idana zum Thema Phishing und Awareness-Traing veranstaltet. Der Clip kann kurzfristig auf den Seiten von Idana angesehen werden. Hier der Link https://hubs.ly/Q0175_9S0 
Gruß aus Lippstadt, RA Jörg Frotscher

Answer 1

Guten Tag, 

gerne möchte ich auch ein paar Informationen aus meiner langjährigen Erfahrung im Bereich IT Infrastrukturen teilen. Wie bereits von mkgpch geannt, sind mir bisher nur Verschlüsselungsangriffe auf Windows Computer untergekommen. Leider ist es in den meisten Praxen so, dass gerade an diesen Systemen hochsensible Daten verfügbar sind (Röntgenserver, medizinische Diagnostikgeräte etc.) und in vielen Fällen auch nicht oder nur halbherzig gesichert werden.

Zwei Fälle aus den letzten 5 Jahren:

Fall 1 (Industrieunternehmen, 15 Arbeitsplätze, 2 Server, gemischt Windows & Mac)

OS: Mac & PC (Auslöser war Windows der Chefsekretärin)

Firewall: Windows Firewall / keine Hardwarefirewall

Zusätzlicher Softwareschutz: Avira Antivir (Free)

Backups: NAS & separater Backupserver

Versicherung: nein

Ablauf nach der Attacke bis zur Wiederherstellung: Erkennen der Attacke: Freitag mittag, Support durch IT Systemhaus: 1 Stunde nach Information, komplettes Abschalten des Netzwerk, Installation und Prüfen aller Rechner mit Kaufsystem (GData), Wiederherstellung der Daten nach Löschen des Computers der Chefsekretärin, Einsatzbereit: Dienstag mittag, Arbeitszeit des Systemhauses: 4*12 Stunden = 48 Stunden, Verlust von Daten: Änderungen an Firmendokumenten zwischen Donnerstag Nacht (letztes unverändertes Backup)  bis Freitag mittag (bekanntwerden der Attacke), Arbeitsausfall von 1.5 Tagen

 

Fall 2: (Praxis mit 45 Arbeitsplätzen, 4 Server (2 macOS, 2 Windows)

OS: macOS Clients / Windows Server

Firewall: Securepoint HW Firewall

Zusätzlicher Softwareschutz: xProtect (macOS), Windows AV Programm (meine AVAST)

Backups: NAS, Remote NAS

Versicherung: nein

Ablauf nach der Attacke bis zur Wiederherstellung: Eingang einer E-Mail mit vermeintlicher Word Datei (Bewerbung), da das nicht am Mac geöffnet werden konnte -> MA kopiert die Daten auf einen Stick und schließt diesen am Röntgenserver an, Rechner gibt Warnung aus (wird von MA ignoriert), MA bestätigt das Ausführen des Programmes (vermeintliche Bewerbung), Computer bleibt kurz darauf hängen. Nach Neustart durch MA der Praxis: Verschlüsselte Festplatte.

Wiederherstellung: Dauer 8 Stunden aus vorhandenem Backup

Verlust von Daten: Alle Aufnahmen zwischen letztem Backup und Vorfall (Kopien davon sind in den Patientenakten vorhanden gewesen)

 

Die beiden Fälle zeigen sehr gut: Je nach Backupstruktur, Sicherheitsfunktionen und Mitarbeiterschulung kann eine solche Attacke sehr großen Schaden anrichten. Da beide Fälle weiter zurück liegen und wir aus diesen Fällen gelernt haben (Wir wurden für die Beseitigung des Schadens engagiert) haben wir auch unsere weiteren neuen Installationen angepasst, um hier die Möglichkeiten eines Befalls so gering wie möglich zu halten.

 

Die wichtigsten Funktionen gegen solche Verschlüsselungsschädlinge sind (sowohl auf macOS als auch Windows):

1) Trennen der Benutzer / Admins:

Auf allen Systemen sollte es immer getrennte Admins und Benutzer geben. Die Adminkennwörter sollten ausschließlich Praxisinhaber und IT Verantwortlicher / Dienstleister kennen. Dies verhindert bereits die schlimmsten Attacken da dem Nutzer die Rechte fehlen.

Das gleiche gilt für Zugriffe auf Netzwerkspeicher: Je weniger desto besser. Jede Datei die ein Schadprogramm nicht erreichen kann ist sicher vor diesem. Die Zeiten an denen sich Schadprogramme ungehindert innerhalb eines Netzwerkes verbreitet haben sind länger vorbei - die meisten Attacken werden durch die Nutzer selbst gestartet (indem eine unbekannte Datei ausgeführt wird). 

2) Datensicherungen kleinschrittig anlegen, Offline Backup erstellen, getrennte Backupsysteme verwenden

Bei der Datensicherung ist es wichtig eine so genannten Versionierung anzulegen um immer mehrere Versionen einer Datei (auch bei Änderungen) zu haben. Dies gilt auch für die Zweitsicherung, welche über ein getrenntes System erfolgen sollte (z.B. Erstsicherung: via TimeMachine / tomedo, Zweitsicherung: Über auf einem NAS integrierte Backupfunktion). So kann ein Übergreifen durch bestehende Zugrifsrechte verhindert werden. Durch Versionierung ist im schlimmsten Fall nur das aktuellste Backup verseucht, die alten Daten aber noch intakt.

3) Absicherung aller möglichen Einfallstore

Durch ein durchdachtes Sicherheits- und Prüfungskonzept von allen Datenquellen kann eine unbeabsichtigte Verseuchung stark verringert werden. Die meisten Schadprogramme kommen heutzutage über das Internet - entweder als Download oder als E-Mail Anhang. Durch Nutzung von verschiedenen Sicherheitsleveln kann bereits vor der Nutzerinteraktion ein Befall verhindert werden. Hierzu gehören:

• UTM Firewall mit HTTP / HTTPS Proxy zum Scannen von Internetaufrufen (schützt vor Schadsoftware als Download) und Zugriff auf schädliche Websites
• eigener E-Mail Server mit Antivirus und Antispam - hier kann insbesondere das Annehmen von Anhängen im MS Office Format sowie ausführbare Dateien unterbunden werden
• lokaler Virenschutz mit Verhaltensanalyse und regelmäßigen Scans der Dateien auf dem Rechern - hier können auch bisher unbekannte Programme erkannt werden, wenn diese sich komisch verhalten (z.B. große Mengen an Dateien auf einmal verändern)
• Monitoring von Systemen - eine plötzliche Erhöhung von Speicherverbrauch oder Backupgrößen kann auf versteckte Verschlüsselung hinweisen.

 

4) Schulung der Mitarbeiter

 

Das wichtigste ist die Schulung der Mitarbeiter. Diese sollten darauf geschult werden jede Fehlermeldung richtig durchzulesen. Weiterhin sollten Dateien aus unbekannten Quellen nicht einfach geöffnet werden. Wenn Warnmeldungen auftauchen sollten diese am besten mit zwei Personen begutachtet werden (oder Screenshot an den IT Verantwortlichen / Dienstleister senden) bevor auf "Weiter" oder "Akzeptieren" geklickt wird. Beide Attacken aus obigen Beispielen sind aufgrund der Unachtsamkeit von Mitarbeitern entstanden - ohne diese wäre der Schädling nicht aktiv geworden.

 

5) Wachsamkeit für mögliche Attacken

 

Auch wenn die Wahrscheinlichkeit für eine Infektion auf einem gut gewarteten Macsystem im Vergleich zu Windows relativ gering ist, so darf man sich trotzdem nicht in Sicherheit wiegen. Genausowenig sollten Schutzmaßnahmen auf die leichte Schulter genommen werden - aus einem "Wird schon nichts passieren" kann ganz schnell ein "Die Existenz ist vernichtet" werden, wenn man es Angreifern zu leicht macht. Leider kann kein System der Welt (ausser vielleicht Zettel und Stift) vor einem IT Angriff, wenn er denn vom Angreifer wirklich gewollt ist, schützen. Die meisten Opfer sind aber Zufallsopfer die "halt eben so mitgenommen werden". Mit den richtigen Vorbereitungen kann man diese Wahrscheinlichkeit zwar drastisch reduzieren aber nicht zu 100% verhindern - wenn dann aber dochmal was passiert ist bei richtiger Vorbereitung der Schaden deutlich kleiner und betrifft ggf. nur einen kleinen Teil der Praxis der recht schnell wiederhergestellt ist. Gute IT Sicherheit mag man vielleicht nicht im Arbeitsalltag sehen und die Patienten mögen es auch nicht honorieren - jedoch ist gute IT Sicherheit die Rettungsleine wenn es doch mal hart auf hart kommt.

 

Wenn Sie sich unsicher sind, was für Sie sinnvoll ist, lassen Sie sich gerne von Fachleuten beraten (Tipp: Manche Dienstleister bieten abseits der kostenfreien Beratung auch kostenpflichtige Beratungen an und agieren so ohne Verkaufsdruck wenn das Produkt die Beratung ist). Kontaktieren Sie gerne Ihren Zollsoft Ansprechpartner was von zollsoft empfohlen wird oder wenden Sie sich an Ihre örtliche KV - hier sind mittlerweile (zumindest in unserer Region) auch sehr gute IT Menschen die Beratungen für Mitglieder übernehmen und ehrliche Einschätzungen zu Sicherheitskonzepten und Lösungen geben.

Comments

Vielen Dank Herr Hillebrand. Zwei Klassiker die sie da hatten. Mir machen schlummernde Verschlüsseler Sorgen. Die gemeinste Ransomeware ist die die erst nach einem Jahr verschlüsselt. Da kann man nicht mal die Backups einfach so einspielen weil sie ja sofort auch verschlüsseln. Deswegen lagere ich noch die letzten zwei Jahre für den worst case.

Weitere Opfer bitte melden.

---

Ja, die schlummernden Feinde sind wirklich angsteinflößend. HIer muss ich aber sagen, dass es sich bei solchen Attacken eigentlich immer um gezielte Attacken handelt, welche durch die lange Wartezeit so viel Schaden wie möglich anrichten möchten. Die Attacken die "normale Nutzer" treffen sind meisten breit gestreut, schnell durchgeführt und auch schnell wieder weg - da es hier meist darum geht in möglichst kurzer Zeit möglichst viel Geld abzugreifen fangen diese meist direkt an zu verschlüsseln - lange warten die Angreifer in diesen Fällen nicht.

 

Aber klar: Je mehr Backups man hat desto besser. Langzeitarchive sind besonders bei großen und wichtigen Daten ein guter Rat. Hier sind auch die klassischen Bandlaufwerke sehr häufig vertreten da hier meistens auf WORM Medien gesetzt wird (write once, read many) - hier kann nachträglich auch nichts mehr verändert werden. Leider ist so eine Sicherungsstruktur realtiv teuer und für die meisten Praxen nicht handelbar.

---

Was lange schlummert kann auch lange entdeckt werden, stimmt schon.

Haben sie schon mal von online Datenklau gehört? Tomedodaten liegen ja unverschlüsselt auf dem Server herum. Ob man an die Datenbank auslesen kann, weiss ich nicht aber die Dokumente der Akten könnte man klauen. Man sucht solange bis man einen Promi findet und erpresst damit, dass die Bildzeitung grosses Interesse an den Naktfotos hat. Auch aus Revisionssicherheit und Unveränderbarkeit durch den Nutzer sollten die Daten eigentlich verschlüsselt sein.

Unabhängig davon sollten alle Laufwerke ausnahmslos, auch die Backups mit Filevault geschützt sein damit ein Diebstahl kein Problem Datenschutzproblem verursacht.

---

Mir persönlich ist in meinen Jahren bisher noch kein Datenklau über eine Onlineverbindung untergekommen. Was häufiger vorgekommen ist, sind Mitarbeiter, welche Daten aus den Unternehmen entwendet haben (via USB Stick, externen Festplatten oder per E-Mail an sich selber weitergesendet). Hier entstehen aber eindeutige Datenspuren so dass meistens die Nachverfolgung und Strafverfolgung gut möglich ist.

Aus den Medien konnte man in den letzten Jahren häufiger Informationen entnehmen bei denen Unternehmensdaten oder Patientendaten offen im Internet zur Verfügung standen. In den meisten Fällen handelte es sich hier aber um eine unsichere Konfiguration des Systems (Windows Server voll im Internet verfügbar mit unsicheren Kennwörtern) oder um Verbundattacken - bei denen von einem öffentlichen Server aus auf interne Server und so weiter zugegriffen werden konnte. Gegen solche Verbundattacken kann eine gute Konfiguration schützen (öffentliche Server gehören in eine getrennte DMZ mit nur den nötigsten Zugriffen auf interne Netze). Vor schlechten oder unsicheren Konfigurationen schützt nur die eigene Prüfung oder das Vertrauen auf einen vertrauenswürdigen Dienstleister. Im Endeffekt sind Sie hier nur vor sicher, wenn Sie selbst prüfen oder (bei fehlendem IT Verständnis) durchDokumentation und Bestätigung des Dienstleisters. Nur dann können Sie Verantwortung abwälzen und Dritte (Versicherungen / Dienstleister / u.s.w.) für den Schaden zahlen lassen.

Vor Datenabfluß von Mitarbeitern kann man sich teilweise schützen - sei es mit einem Geräteverwaltungssystem was alle internen Ressourcen so absichert dass keine Daten an ungewünschte Stellen abfließen können oder durch Beschneidung von Funktionen dass gar nichts mehr raus kann (Stichwort: USB Schnittstellen für Datenträger lahmlegen).

---

Auch hier sollte Zollsoft nachbessern und keine Dateien rumliegen haben die mit dem Finder erreichbar sind. Es spricht eigentlich alles für eine Verschlüsselung der Datenbank und des Anhangs wie pdf Dokumente. Oder sie sind gar nict erreichbar. So macht es unsere Sterisoftware Segostar oder eine Konkurrenz PVS die nur noch online sind.

Opfer bitte melden - Ihr Hans Zimmermann

---

Das "keine Dateien rumliegen lassen" ist mit aktuellen Bordmitteln auch recht einfach zu unterbinden: Auf dem Mac keine Freigaben erstellen (die Daten werden mit dem Client nur über Port 8080 ausgetauscht) und die Zugangsdaten zum Server Mac sicher aufbewahren ohne Kenntnis der Mitarbeiter. Durch die neuen Servertools die per Website erreichbar sind braucht man auch keine VNC Verbindung mehr (ausser für administrative Punkte).

Wenn man Gelegenheitstäter abschrecken möchte, kann ich nur den Linux Server empfehlen - wenn man hier VNC abschaltet (alsi keine grafische Oberfläche hat) werden 95% der Leute schon aufgeben bevor sie angefangen haben - es ist einfach zu kompliziert. Ansonsten ist auf dem Linux Server genauso die Dateifreigabe abzuschalten wie auf dem Mac Server - der Zugriff auf SMB oder AFP Shares ist somit schon mal weg. Ohne Adminzugangsdaten kommt man an die Maschine nicht mehr dran.

---

Selbstgebastelter Schutz mag gegen die "evil maid" Attacken helfen. Aus meiner letzten recht heftigen Behördenerfahrung bringen diese selbstgemachten Sicherheitsschranken und Erklärungen nichts. Was zählt sind offizielle und am besten zertifizierte Sicherheitseinrichtungen. Wir müssen ja selbst bei IGEL Leistungen die Diagnose von einem fachfremden Kollegen"zertifizieren" lassen weil sie sonst nicht als mehrwertsteuerfrei anerkannt wird. Das ist teuer und Zollsoft wehrt sich mit Händen und Füssen dagegen aber das wäre auch eine extrem gute Werbung. Tomedo - TÜV zertifiziert. Das wäre schon was.

Was ich damit sagen will, der Supergau sind die Datenschutzverletzung, nicht, dass man nicht weiterarbeiten kann.  In diesem Fall zählt die Sicherheit des PVS und die beweist weder der Betreiber, noch die PVS selbst sondern eine dritte Stelle.

Ich weiss nicht ob beim Augenarzt, dem nicht geblaubt wurde, dass er weitgetropft hat um den Augenhintergrund zu untersuchen ein Export der Karteiänderuneg seiner PVS beim §630f Nachweis geholfen hätte. Wohl aber ein Zertifikat einer dritten Instanz §630f zu erfüllen bei allen Akteneinträgen.

Aber das wird Off Topic

Gibt es weitere Opfer?