Verschlüsselungstrojaner MacOSX

Question

Hallo zusammen,

bei einem Kollegen wurde heute nacht das gesamte Win- System verschlüssel bzw Festplatten gelöscht.

Mein Frage: ist aktuell auch so etwas bei MacOS bekannt?

Vieleicht besteht auch die Möglichkeit einen Unterpunkt im Tomedoforum mit dem Thema" IT Sicherheit" in der Arztpraxis zu etablieren?

Thema: z.B. welche Konfigurationen unter macox sind bedenktlich, aktuelle Bedrohungslage, Sichheitseinstellung Fritzbox, Telefonanlage etc.

mfg

Carsten Wach

Answer 1

Gruselig zu hören.

Zollsoft bietet ein Sicherheitspaket an.

Comments

Hallo Herr Cepin,

das "sicherheitspaket" der Firma Zollsoft besteht aus dem Antivirenprogramm der Firma ESET, das wars dann aber auch schon.

Elementar ist eine Hardware Firewall (UTM), dazu ist hier im Forum schon eine Menge geschrieben worden.

Besten Gruß

Axel Tubbesing

tubbeTEC GmbH - Hamburg, Berlin, München

---

Oh, ich dachte die Firewall gehört dazu.

Answer 2

Ja, es gibt mittlerweile eine ganze Reihe von Malware wie KeRanger, EvilQuest, MacRansom, die über "legale Software" eingeschleust werden. Es gibt ein paar kostenlose Tool wie avast for Mac oder ransomwhere, letztes verhindert jede Verschlüsselung, muss aber angelernt werden. Wirksame kostenpflichtige Tools gibt es von Sophos oder Acronis.

Ist ein Mac verschlüsselt, ist es generell schwierig oder unmöglich ihn zu entschlüsseln, bei drei Fällen in meiner Mandantschaft hat die durch Lösegeld erkaufte Entschlüsselung zu nichts geführt. Besser ist da am Ende eine ordentliche Versicherung.

Herzliche Grüße aus Lippstadt vom Arztgatten und ext. Datenschutzbeauftragten, RA Jörg Frotscher

Answer 3

Fritzbox würde ich als problematisch ansehen. Wir planen eine Hardware firewall.

Answer 4

Die Idee, einen Unterpunkt im Tomedoforum mit dem Thema" IT Sicherheit" in der Arztpraxis zu etablieren kann ich nur unterstützen!

Unser Konzept gegen Verschlüsselungstrojaner ist eine Datensicherung auf luckycloud.

Hier kann man lt Anbieter durch Versionierung den Dateizustand von vor 1,2,3,... Tagen wiederherstellen. Also die Version der Datei vor der Verschlüsselung. Ob das tatsächlich funktioniert, kann ich nicht behaupten - den Härtefall mussten wir zum Glück bisher nicht testen. Aber der Support funktioniert bisher hervorragend.

Selbstverständlich mit End-zu-End-Verschlüsselung, DSGVO-konform usw.

Comments

Hallo Zusammen,

ich nutze das Cloudbackup von Zollsoft. Wäre diese Sicherung auch von einem Verschlüsselungstrojaner betroffen oder gibt es da Sicherheitsvorkehrungen? LIebe Firma Zollsoft: Was sagt Ihr dazu? Mir ist schon klar das Ihr keine Garantie geben könnt, aber kann ich weiter gut schlafen oder nur mit Alkohol?

Schönes Wochenende.

Carsten Wach

---

Hallo Herr Wach,

zur konkreten Frage des Cloudbackups: unser Cloud-Backup beinhaltet auch einen Ransomware-Schutz, d.h. wahrscheinlich wäre das Cloud-Backup nicht betroffen. Aber Sie haben Recht: Eine Garantie geben können wir natürlich nicht, denn man muss sich immer bewusst sein, dass es keinen 100%igen Schutz gibt. Die bösen Jungs sind leider auch sehr clever...

Im Backup-Kontext ist zu empfehlen, in regelmäßigen Abständen auch ein "offline"-Backup anzufertigen.

Sie können aber in jedem Fall weiter ruhig schlafen würde ich sagen, auch ohne Alkohol.

Beste Grüße

Sven Radszuwill

---

"in regelmäßigen Abständen auch ein "offline"-Backup anzufertigen" - können Sie das bitte erklären.

Einfach das Ethernet Kabel rausziehen und ein Backup machen?

Gruß vom Urologen!

---

Moin Herr Schlicht,

ich nutze noch aus der Windoof Zeit eine Tandberg HPRDX Laufwerk, was ich an mein synology "geklöppelt" habe. Auf dieses Wechselmedium spielt "torpedo" dann neben verschiedenen anderen Orten die aktuelle Sicherung auf.. Das Wechselmedium wird morgens gewechstelt, so dass ich immer fünf Tage zurück eine offlinesicherung habe.

mfg

Carsten Wach

---

Die Bedeutung "offline" ist mir unklar.

---

es ist einen sicherung gemeint, die nur für die dauer der sicherung im netzwerk hängt und nach der sicherung ausgeworfen wird oder als Festplatte abgestöpselt wird

Diese würde im falle eine Randsom Angriffes nicht formatiert oder verschlüsselt werden können, denn die ist ja "offline" und würde sich so der verschlüsselung/Formatierung entziehen.

mfg

Carsten Wach

---

Perfekt - vielen Dank Herr Wach!

---

Bei der Lösung mit (täglich) wechselnden Festplatten gilt es zu beachten:

Cryptotrojaner können durchaus auch erst zeitverzögert aktiv werden: Ein Freund nutzte ganu das hier beschriebene System mit täglich wechselnden externen Festplatten. Ein Cryptotrojaner befiel das System, verschlüsselte die externen Festplatten der Datensicherung über eine Woche und zeigte sich erst danach mit der Lösegeldforderung. Die "offline" Datensicherung wurde damit nutzlos. (Windows als Betriebssystem)

---

Sehr geehrter Herr Radszuwill,

wie sieht denn der Ransomware-Schutz des tomedo-Cloudbackups aus? Gibt es auch bei Ihnen eine Dateiversionierung, damit ich die ganze Ordnerstruktur auf den Zustand von vor beispielsweise einer Woche zurückspulen kann?

Viele Grüße!

---

Hallo Herr Schaider,

da haben Sie völlig Recht mit der zeitverzögerten Verschlüsselung, wie gesagt, eine 100%ige Sicherheit gibt es nicht.

Unser Cloud-Backup arbeitet 1:1 nach der Logik des "normalen" tomedo-Backups, wie Sie es gewohnt sind. Das heißt, Sie können die Häufigkeit der Sicherung einstellen und haben entsprechend Ihren Einstellungen eine Versionierung. Also ja, in aller Regel können Sie auf vor einer Woche zurückspulen (oder 1 Monat, 1 Jahr, etc.). Wie Ihre Einstellungen sind, sehen Sie in den Server-Tools. Der wesentliche Unterschied ist, dass das tomedo.CloudBackup ein inkrementelles Backup ist, d.h. nach dem initialen Hochladen werden nur noch die Änderungen gespeichert. Das spart Speicherplatz und "schont" Ihre Internetverbindung.

Weitere allgemeine Informationen auch hier auf unserer Website.

Viele Grüße

Sven Radszuwill

---

Hallo Herr Radszuwill

Nur für mein Verständnis, da ich es nicht ganz verstanden habe: Wenn ich z.B. am 01.08.22 einen Verschlüsselungstrojaner bekomme, sind dann im tomedo.CloudBackup nur die ab diesem Zeitpunkt gemachten inkrementellen Backups von diesem Trojaner befallen oder das ganze tomedo.CloudBackup? Kann ich für diesen Fall das Erst-Backup der Cloud inkl. inkrementelle Backups bis 31.7.22 problemlos nutzen oder ist dies dann auch vom Trojaner befallen?

Viele Grüße

Martin Schütz

---

Hallo Herr Schütz,

das geht jetzt zwar stark ins Hypothetische, aber dennoch:

• "Normalerweise" verschlüsseln solche Schadprogramme erst mal alles, was lokal gespeichert ist. Dem können Sie schon mal entgegenwirken mit dem "offline"-Backup. Auch das kann wie oben beschrieben aber betroffen sein.
• Ein Cloudbackup stellt hier noch mal einen höheren Sicherheitspuffer zur Verfügung, denn aller Wahrscheinlichkeit nach wäre das tomedo.CloudBackup gar nicht betroffen von einem Verschlüsselungstrojaner (aus einer Vielzahl an Gründen, die ich nicht im Einzelnen aufschüsseln möchte). Grob: Der Trojaner müsste erst mal "den Weg in die Cloud finden", d.h. Zugriffsdaten, usw. und dort dann auch noch aktiv werden (können). Auch hier gilt aber: 100%ig ausschließen kann man es eben nicht.
• Falls (wie gesagt sehr unwahrscheinlich) auch das Cloudbackup betroffen wäre, wäre es wohl auch komplett betroffen. Das liegt in der Natur der Sache: in der Regel wird das gesamte Speichermedium verschlüsselt.

 

Ich hoffe das hilft etwas weiter.

Beste Grüße

Sven Radszuwill

---

Wie hier im Forum schon mehrfach diskutiert wurde ist eine Datensicherung auf mehreren Festplatten empfehlenswert. Ich habe 2 Platten im täglichen Wechsel, dazu 2 Platten wöchentlich im Wechsel, je eine Platte für gerade und ungerade Monate  und eine Halbjahresplatte.

Paranoid? Vielleicht. Better safe than sorry.

---

Vielen Dank für die rasche Antwort; das ist schon mal beruhigend.

Gibt es bei dem tomedo.CloudBackup ebenso eine Versionierung des Dateizustandes von vor 1,2,3,..Tagen, also die Version der Datei vor der Verschlüsselung zum Schutz vor Trojanern, wie es Herr Cepin bei der luckcloud beschrieb?

Viele Grüße Martin Schütz

---

Sehr geehrter Herr Radszuwill,

die Überlegung bzgl bösartiger Verschlüsselung der Cloud ist die:

- Es wird lokal in der Praxis am Server ein tomedo-Backup erstellt.
- Sowohl dieses tomedo-Backup als auch andere wichtige Dateien der Praxis (z.B. QM,...) werden dann automatisch in die Cloud gespiegelt.

- Wenn nun ein Trojaner die Daten lokal verschlüsselt, werden diese verschlüsselten Daten in die Cloud hochgeladen.

> nun die Frage: habe ich dann in der Cloud nur noch Zugriff auf die ebenfalls verschlüsselten Daten, oder kann ich in der Cloud "zurückspulen" auf unverschlüsselte Vorversionen?

Viele Grüße!

---

Herr Schütz: keine lucycloud; lokale externe Festplatten!

Zur Versionierung: steht schon oben:

Unser Cloud-Backup arbeitet 1:1 nach der Logik des "normalen" tomedo-Backups, wie Sie es gewohnt sind. Das heißt, Sie können die Häufigkeit der Sicherung einstellen und haben entsprechend Ihren Einstellungen eine Versionierung. Also ja, in aller Regel können Sie auf vor einer Woche zurückspulen (oder 1 Monat, 1 Jahr, etc.). Wie Ihre Einstellungen sind, sehen Sie in den Server-Tools.

---

Hallo Herr Schaider,

ja, in dem Fall hätten Sie noch Zugriff auf die zuvor hochgeladenen Backups, Sie könnten also zurückspulen.

Allerdings halte ich das Szenario für nicht ganz real, denn wenn Ihr komplettes System lokal verschlüsselt wurde, lädt vermutlich auch kein Programm mehr irgendwas irgendwohin - salopp gesagt. Da passiert dann nicht mehr viel. Alles tot, sozusagen.

Trotzdem hätten Sie das Cloudbackup oder eben ihre offline-Backups noch.

Beste Grüße

Sven Radszuwill

Answer 5

Hallo Herr Dr. Wach,

ich kann Ihnen und jeder anderen Praxis nur raten, sich mit einer aktiven, vorausschauenden Lösung zu beschäftigen.

Das Konzept, ach wir bekommen die Daten schon aus dem Backup wieder, entspricht nicht den Vorstellungen des Gesetzgebers zum Datenschutz, hier wird mehr der monetäre Aspekt abgebildet, was natürlich auch immer ein Thema ist. Keiner mag, wenn die KBV Abrechnung weg ist.

Haben Fremde Zugriff auf Ihre Daten Ihrer Patienten, dann ist der Teufel los. Ich habe kürzlich wieder von einer Praxis die Aussage gehört: Ach die KBV sagt doch auch, dass die Fritzbox eine Firewall hat, das reicht dann. Was soll ich dazu sagen, jeder Rechner hat eine Firewall, bei Apple ist die fast immer aus, jeder Router hat das, und jedes andere Gerät. Aber das sind keine UTM Systeme (Universal Threat Management), die extra für den Schutz von Netzwerken entwickelt wurden. Und, auch diese Systeme sind natürlich so gut, wie die Techniker, die diese Systeme einstellen und warten.

Wir sind uns auch der Tatsache bewußt, dass Apple Rechner aufgrund der Systemarchitektur recht sicher sind, ebenso hat fast jede Praxis einen MFC von Brother oder Parallels oder ein Windows System und da geht es dann doch wieder los.

Zur Starface können wir uns auch klar positonieren. Wir haben es bis zur dem Log4j Problem jeder Praxis frei gestellt, ob die Praxen updates gemacht haben oder nicht. Auch hier ist wieder die Frage, wie gefährlich diese Lücke ist. Aber für uns ist der klare Ansatz, alle Lücken schliessen und möglichst die Technik auf dem neuesten Sicherheitsstand halten, die Norm. Darum raten wir seit der Lücke allen Praxen zu dem Update auf die sichere Version.

Mit bestem Gruß

Axel Tubbesing

tubbeTEC GmbH - gerade mal in Cancun

Comments

Einige Cyber-Versicherer akzeptieren nicht mehr den eingebauten Schutz von Apple, Unix undLinux, sondern nur noch eine zusätzliche Firewall. Die Schadensummen sind derart in die Höhe geschnellt, daß die Prämie nicht mehr ausreichen. Praxen mit einem Umsatz von mehr als 2,0 Mio € müssen jetzt etwa das Doppelte bezahlen, was die Policen vor einem Jahr bei einfacheren Bedingungen gekostet haben.

Werden die (unverschlüsselten) Daten gestohlen und anschließend bösartig verschlüsselt, tritt der Super-Gau ein, da die Landesämter f. Datenschutz auf eine Benachrichtigung aller Patienten bestehen. Dieser sog. Benachrichtigungsschaden wird dann schnell 6-stellig und der Ruf der Praxis ist je nach Fachgruppe ruiniert. Zwar wird der Imageschaden auch (noch) durch eine PR-Hilfe unterstützt, aber ein vollständiger Vertrauensverlust bei den Patienten ist nicht regulierbar.

Grüße aus Lippstadt vom Arztgatten, RA Jörg Frotscher

---

Spannend finde ich in díesem Zusammenhang die neue Sicherheitsbroschüre des Hausarztverbandes, den ich sonst sehr schätze. Hier wird der Windows Defender als ausreichende Sicherheitskomponente beschrieben, die Hardwarefirewall taucht in der ganzen Broschüre nicht auf.... ob das nicht etwas naiv ist?

---

Insofern würde ich es gut finden, wenn man alle Karteileichen, die seit 10 Jahren keinen Eintrag bekommen haben, regelmäßig löchen könnte.

Das reduziert definitiv die Anzahl der zu benachrichtigenden Patienten.

---

Hallo,

 

und um noch was zu ergänzen: das größte Problem ist nicht die Firewall (sei es soft- oder hardware), sondern die Kontrolle der Infektionswege. Und da sitzt das Problem meistens vor dem Monitor. Da nutzt am Ende die beste Hardware nur wenig, wenn USB-Sticks von Patienten angenommen werden oder auf alle Links in Emails geklickt wird. Firewall/Virenschutz ist sicherlich schon für die Versicherung und wegen der DSGVO notwendig, das ist überhaupt keine Frage (und ich verstehe nicht, wieso Praxen, die 7stellige Jahresumsätze haben, das "wegen der Kosten" ablehnen und sich selber eine Fritzbox hinstellen), der wichtigste Punkt ist meiner Meinung nach aber die kontinuierliche Sensibilisierung der Mitarbeiterinnen und Mitarbeiter. . .

 

-js