Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Krankenhäuser geraten zunehmend ins Visier von Cyberkriminellen.

«Gefährlichste Malware der Welt» attackiert Zürcher Spital – das musst du wissen

Fachleute bezeichnen Emotet als derzeit gefährlichste Schadsoftware der Welt. Kürzlich hat es ein Spital im Kanton Zürich erwischt. Hier sind die wichtigsten Fragen und Antworten rund um den Cyberangriff.



Bild

Szene aus einer SRF-Sendung: Nun hat es ausgerechnet dieses Spital erwischt. screenshot: srf.ch

Das Wichtigste in Kürze

Im Visier

Unsere Spitäler sind zunehmend von kriminellen Attacken betroffen. Hacker versuchen, Schadsoftware (Malware) in die geschützten Systeme einzuschleusen. Meist mit dem Ziel, wertvolle Daten zu stehlen oder zu verschlüsseln, um ein Lösegeld zu erpressen.

Über die Kosten, die solche Ransomware-Attacken verursachen, dringt kaum etwas an die Öffentlichkeit. Im Gesundheitsbereich wolle niemand Klartext reden, man schweige das Problem tot, sagte ein IT-Sicherheitsexperte vor zwei Jahren gegenüber der «NZZ am Sonntag».

Im März 2019 berichtete dann das Schweizer Fernsehen SRF in der Sendung «ECO» über Cyberangriffe auf Spitäler. In der TV-Sendung erhielt ein Regionalspital im Kanton Zürich einen prominenten Auftritt: das GZO Spital Wetzikon.

Die Zuschauer erfuhren im informativen SRF-Beitrag (siehe Quellen), wie die Spitalleitung einen Sicherheitstest durchführen liess, um Schwachstellen aufzudecken. Anschliessend zog der Direktor Bilanz und räumte ein, man gehe zu leichtsinnig mit Computern und sensiblen Daten um.

Um die IT-Sicherheit des Spitals entscheidend zu verbessern, erarbeiteten die Zürcher Oberländer gemeinsam mit der Firma Logicare AG, einem Gemeinschafts-Unternehmen von vier Zürcher Spitälern, ein neues Sicherheitskonzept.

Offenbar gerade noch rechtzeitig: Denn nun ist genau diese regionale Gesundheitseinrichtung, die jährlich über 55'000 Patienten aufnimmt, ins Visier raffinierter Cyberkrimineller geraten. Der Kommunikations-Verantwortliche des Spitals Wetzikon, Stephan Gervers, bestätigt auf Anfrage einen entsprechenden Hinweis eines watson-Users.

Was Ransomware-Attacken im schlimmsten Fall auslösen können, zeigte sich 2017 bei «WannaCry». Die Windows-Schadsoftware verbreitete sich wurmartig in Netzwerken und befiel weltweit Hunderttausende Computer und Server. Auch in Krankenhäusern wurde der Betrieb lahmgelegt:

So weit kam es Mitte Oktober 2019 im Spital in Wetzikon nicht. Wobei der relativ glimpfliche Verlauf der Emotet-Attacke nicht mit Glück zu tun hat, sondern mit der professionellen Vorbereitung auf solche Bedrohungen und die schnelle Reaktion im Notfall. Dies zeigen die Antworten des IT-Sicherheitsexperten und Logicare-Geschäftsführers Stefan Steiner.

Um was für einen Angriff handelt es sich?

Um einen Angriff mit dem Windows-Trojaner Emotet.

Dazu Stefan Steiner:

«Der Angriff erfolgte mit grösster Sicherheit via E-Mail. Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet heute vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware (Malware) verwendet. Emotet versucht – mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten – mittels Social-Engineering den Empfänger zum Öffnen des Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros zu verleiten. Wenn ein Mailempfänger dieses ‹Tor öffnet›, wird aktiv nichts vom Benutzer bemerkt, sondern der Angriff läuft ruhig und (im Normalfall) unkontrolliert im Hintergrund.»

Wie wurde die Malware eingeschleust?

Dazu Stefan Steiner:

«Es muss davon ausgegangen werden, dass mittels Social-Engineering eine ‹glaubwürdige› (auf echten Gegebenheiten aus dem Umfeld des Empfängers angereicherten) Phishing-Attacke zum Befall geführt hat. Ein gutmütiger Click reicht dazu bereits aus. Normale Virenscanner können den sich selber verändernden Code in E-Mail-Anhängen grösstenteils nicht erkennen.»

Sprich: Es musste ein PC-User dazu verleitet werden, ein Word-Dokument zu öffnen, direkt als Mail-Attachment, oder über einen Link. Die eigentliche Infektion erfolgt aber noch nicht beim Öffnen des präparierten Dokuments. Sie erfordert das Ausführen von Makros. Die Emotet-Autoren nutzen die an sich praktischen Steuerbefehle dafür, Schadsoftware aus dem Internet nachzuladen und zu installieren.

Standardmässig sind Makros zwar in Microsoft Office deaktiviert; sie lassen sich jedoch mit einem Mausklick einfach aktivieren, wie heise.de schreibt. Und die Malware-Autoren täten ihr Möglichstes, die User zu diesem Klick zu verleiten.

Was passierte nach der «Primärinfektion»?

Dazu Stefan Steiner:

Emotet versucht in mehreren Phasen vorzugehen und im ersten Schritt unter anderem Passwörter, E-Mail-Adressbücher, E-Mail-Inhalte zu erhalten und weitere Schadsoftware nachzuladen. In einer weiteren Phase verbreitet sich der Angreifer auf allen erreichbaren Systemen, vor allem auch auf die Backup-Umgebungen. In einer letzten Phase beginnt die Verschlüsselung, zuerst die Backups, dann die Online-Systeme.

Man fängt sich also ein Multipaket an Schadsoftware ein. Nachdem der Emotet-Trojaner das System ausgekundschaftet hat, wird in der Regel der Banking-Trojaner TrickBot als «Türöffner» nachgeladen. Dieser sammelt und kopiert Zugangsdaten und übermittelt die wertvollen Information an einen von den Kriminellen kontrollierten Computer, einen sogenannten C&C-Server. Schliesslich wird der Verschlüsselungstrojaner Ryuk nachgeladen, der alle von TrickBot und Emotet als wichtig eingestuften Dateien zu verschlüsseln versucht.

Was macht Emotet so gefährlich?

Dazu Stefan Steiner:

«Das grösste Risiko liegt nicht auf der technischen, sondern viel mehr auf der menschlichen Ebene. Mittels inzwischen unglaublich cleveren Social-Engineering- bzw. Phishing-Attacken werden Benutzer unbemerkt zu Opfern. Hier hilft nur kontinuierliches Training und Sensibilisierung. Im GZO Wetzikon und auch in anderen Spitälern wird daran aktiv gearbeitet und alles daran gesetzt, dass dieses Risiko minimiert werden kann.»

Wenn Emotet erst einmal einen PC befallen hat, liest er Inhalte aus Outlook-Postfächern des befallenen Systems aus – das wird als «Outlook-Harvesting» bezeichnet. Die gesammelten Informationen nutzen die Täter zur weiteren Verbreitung von Malware. Sie senden Opfern täuschend echt wirkende E-Mails eines bekannten Kontakts, was dazu führt, dass ein Dokument mit grosser Wahrscheinlichkeit geöffnet wird.

Der Geschäftsführer der Logicare AG empfiehlt allen Spitälern «dringend ein kontinuierliches Sensibilisieren der Mitarbeitenden mit entsprechenden Massnahmen». Seine Firma biete dazu eine spezielle, professionelle und kontinuierliche Online-Trainings-Lösung zur Phishing-Simulation und Steigerung des Sicherheitsbewusstseins für die Mitarbeitenden an.

Wie wurde die Ransomware-Attacke gestoppt?

Dazu Stefan Steiner:

«Glücklicherweise konnte eine Verschlüsselung dank Überwachung der Netze und sofortiger Intervention verhindert werden. Das Taskforce-Team konnte den Angriff soweit unter Kontrolle bekommen, dass mittels Sofortmassnahmen die Aktivitäten erkannt, verstanden/klassifiziert und bekämpft werden konnten.»

Welche Auswirkungen gab es auf den Spital-Betrieb?

Dazu Stefan Steiner:

«Es entstanden glücklicherweise keine grösseren Ausfälle der zentralen Systeme. Einzelne Benutzer oder Systeme wurden kurzfristig isoliert und bereinigt, so dass lediglich teilweise ‹mühsame› kurze Unterbrüche oder Workarounds notwendig wurden.

Nicht zu unterschätzen waren die Auswirkungen auf die Ressourcenplanung der IT-Mitarbeitenden, alle Systeme mussten kurzfristig mit zusätzlichen Tools und Überprüfungen bearbeitet werden.»

GZO Spital Wetzikon - Aussenansicht im Herbst.
Credits: Deborah Spinelli/GZO

Mit rund 950 Mitarbeitenden stellt das GZO Spital Wetzikon gemäss eigenen Angaben die erweiterte medizinische Grundversorgung von jährlich über 55'000 Patientinnen und Patienten aus dem Zürcher Oberland sicher. In Vorbereitung ist eine Fusion mit dem Spital in Uster. Bild: GZO

Spitäler erbringen wichtige medizinische Leistungen und gehören zu den kritischen Infrastrukturen des Landes. Die IT-Sicherheitsexperten des Bundes von der Melde- und Analysestelle Informationssicherung MELANI verfolgen rund um die Uhr, wie sich die Bedrohungslage entwickelt.

Attacken könnten potenziell tödliche Folgen haben, sagt der stellvertretende MELANI-Leiter, Max Klaus:

«Angriffe auf Spitäler können insofern verheerende Folgen haben, als der grösste Teil der medizinischen Geräte (auch lebenserhaltende Geräte wie z.B. Herz-/Lungenmaschinen) mit dem Internet verbunden sind. Im Spitalbereich kommt erschwerend dazu, dass diese medizinischen Geräte infolge Vorschriften von Herstellerseite nicht so einfach gepatcht werden können.»

Sind alle medizinischen Geräte wieder am Netz?

Dazu Stefan Steiner:

«Grundsätzlich sind alle Geräte im Einsatz, einzelne Geräte wurden kurzfristig gezielt separiert, können aber verwendet werden.»

Was unternimmt der Bund gegen Emotet und Co.?

Emotet sei eine schon länger bekannte Bedrohung, doch hätten einige Unternehmen die Warnungen von MELANI nicht ernst genommen, verrät uns Max Klaus:

«MELANI hat bereits im Frühjahr 2019 im Sinne einer Public-Private-Partnership mit verschiedenen Partnern Massnahmen ergriffen, um die Gefahr durch Emotet für die Schweizer Wirtschaft und für die Schweizer Bevölkerung zu minimieren. Betroffene Unternehmen erhalten von MELANI umgehend Informationen über die infizierten Systeme sowie Empfehlungen, wie mit der Infektion umzugehen ist. Wie die Unternehmen mit diesen Empfehlungen umgehen, liegt jedoch in ihrer alleinigen Entscheidungskompetenz. In der Vergangenheit gab es das eine oder andere Unternehmen, das unsere Warnung nicht ernst genommen und in der Folge eine Infektion mit Emotet erlebt hat.»

Im August 2019 veröffentlichte die Fachstelle auf melani.admin.ch eine eindringliche Warnung, wonach Emotet aktiv dazu verwendet werde, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren.

Emotet sei seit langer Zeit aktiv und greife immer wieder Unternehmen aus unterschiedlichsten Branchen an, betont Max Klaus. «Dazu gehören selbstverständlich auch Spitäler. Nach unserem Kenntnisstand sind in der Schweiz bisher jedoch keine Patienten zu Schaden gekommen.»

Seine Behörde pflege im Sinne einer Public-Private-Partnership seit Jahren eine sehr enge Zusammenarbeit mit zahlreichen Schweizer Spitälern und versorge diese mit Informationen aus öffentlich nicht zugänglichen Quellen.

Bisher habe MELANI 4500 sogenannte Command & Control Server (C&C Server) identifiziert, die in Zusammenhang mit den Trojanern Emotet und Trickbot stehen. «156 C&C Server sind nach unseren Erkenntnissen zurzeit aktiv.» Das sind mit dem Internet verbundene Computer, die irgendwem gehören und sich irgendwo auf der Welt befinden können, die aber von den Kriminellen missbräuchlich verwendet werden, um Malware-Attacken zu starten und zu administrieren.

Der Prävention komme nach wie vor sehr grosse Bedeutung zu, sagt der stellvertretende MELANI-Leiter. In den Unternehmen müssten die Mitarbeitenden laufend für die drohenden Gefahren sensibilisiert werden. Selbstverständlich brauche es überall auch technische Schutzmassnahmen. Mancherorts fehlten jedoch die organisatorischen Massnahmen, um die technischen Vorkehrungen zu ergänzen, wie zum Beispiel eine eingespielte Krisenkommunikation oder die rechtzeitige Beschaffung neuer (sicherer) Software.

«Im Bereich Prävention haben wir eine zusätzliche Stelle schaffen können, die wir voraussichtlich Anfang nächsten Jahres ausschreiben werden. Dies wird es uns ermöglichen, die Prävention bei Wirtschaft und Bevölkerung weiter voranzutreiben.»

Was sollen Unternehmen und Mitarbeitende tun?

Durch verschiedene Massnahmen lassen sich Angriffe mit Emotet und Verschlüsselungstrojanern vermeiden. Es gilt:

Dazu Max Klaus:

Die laufende Aktualisierung aller Software- und Hardware-Komponenten ist unabdingbar. Die Infektion mit Emotet erfolgt in erster Linie über verseuchte Mail-Anhänge oder Links auf infizierte Websites. Das Patchen von Systemen ergibt jedoch keine hundertprozentige Sicherheit, etwa dann, wenn durch die genannten Infektionsvektoren beispielsweise Zero-Day-Lücken ausgenützt werden.

Falls ein Angriff erfolgt ist, gilt es, kühlen Kopf zu bewahren. Betroffene Mitarbeitende sollten:

Polizei und Sicherheitsexperten raten, auf keinen Fall ein gefordertes Lösegeld zu bezahlen. Wobei dies natürlich einfacher gesagt als getan ist, wenn unverzichtbare Daten verschlüsselt sind und kein Backup vorhanden ist.

Schliesslich sollte man auch noch Geschäftskontakte warnen. Wenn das auf dem PC gespeicherte Adressbuch durch Outlook-Harvesting in die Hände von Kriminellen gefallen ist, drohen weitere massgeschneiderte Phishing-Attacken.

Müssen Spitäler Emotet-Attacken melden?

Eine Strafanzeige bei der Polizei ist zu empfehlen. Am besten fotografiert man dazu die auf dem Bildschirm angezeigte Erpressermeldung mit dem Smartphone.

Cyberattacken müssten der Aufsichtsbehörde Swissmedic gemeldet werden, sofern ein «schwerwiegendes Vorkommnis» entstehe, schrieb die «NZZ am Sonntag». Die Swissmedic-Kommunikationschefin präzisiert auf Anfrage:

Bei der Zuständigkeit bei Cyberangriffen muss zwischen allgemeinen Angriffen auf die Spitalinfrastruktur (z.B. Patientendaten) oder Angriffe auf Medizinprodukte unterschieden werden. Die Sicherung der IT-Infrastruktur in den Spitälern ist in der Eigenverantwortung der Spitäler und es gibt keine Meldepflicht an Swissmedic. Die allgemeine Überwachung von Spitälern liegt bei den Kantonen.

Danièle Bersier, Swissmedic

Gemäss Heilmittelrecht müssten schwerwiegende Vorkommnisse mit einzelnen Medizinprodukten (inklusive Software) der Aufsichtsbehörde gemeldet werden. Swissmedic treffe sich bei Bedarf in unregelmässigen Abständen mit anderen behördlichen Experten, etwa von MELANI.

Dies wird vom stellvertretenden Leiter Max Klaus bestätigt. Auch andere eidgenössische Regulatoren wie die Finanzaufsicht (FINMA) oder das Bakom hätten für ihren Zuständigkeitsbereich gewisse Meldepflichten eingeführt.

«Jedoch gibt es momentan in der Schweiz keine generelle Meldepflicht für Cyberangriffe.»

Max Klaus, Melde- und Analysestelle
Informationssicherung MELANI

Wegen diverser parlamentarischer Vorstösse und im Zuge der Umsetzung der «Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken» (NCS 2.0) werde die Frage aktuell geprüft, sagt der IT-Sicherheitsexperte. Der Bundesrat werde bis Ende Jahr über die weiteren Schritte entscheiden.

Wer steckt hinter Emotet?

Eine kriminelle Gruppierung, die vermutlich aus Russland stammt. Im Programmcode der Malware fanden Sicherheitsexperten jedenfalls entsprechende Hinweise.

Emotet kann jeden treffen: So lautet die beunruhigende Erkenntnis der Heise-Gruppe. Im Mai versetzte der Verschlüsselungstrojaner den deutschen IT-Verlag in den Ausnahmezustand. Dies, nachdem die eigenen Sicherheitsexperten zu früh davon ausgegangen waren, die Verbreitung gestoppt und den Schädling aus dem Netzwerk entfernt zu haben.

Der Schock sass tief, doch das Unternehmen ging in die Informations-Offensive. In Vorträgen schildern Heise-Mitarbeiter die technischen und datenschutzrechtlichen Konsequenzen, die ein verheerender Malware-Angriff haben kann.

Ihre Kernbotschaft: Emotet sei «eine der zerstörerischsten Gefahren für Unternehmens-IT». Mit der Kombination aus Dynamit-Phishing und Ransomware könne sie für viele Firmen und Organisationen existenzbedrohend sein.

Aktuell warnten staatliche IT-Sicherheitsexperten vor Emotet

Bild

screenshot: twitter

Die schlimmsten Verschlüsselungstrojaner der IT-Geschichte

Quellen

Doku zum Thema: Spitäler im Visier von Hackern – SRF ECO

Die bösartigsten Computer-Attacken aller Zeiten

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Play Icon

Mehr über Lösegeld-Trojaner und Online-Erpresser

New Orleans von Malware-Attacke betroffen – Stadt erklärt Ausnahmezustand

Link zum Artikel

Computervirus legt ganzes Spital in Tschechien lahm

Link zum Artikel

«Snatch»: Dieser Windows-Schädling kann dein Antivirus-Programm austricksen

Link zum Artikel

Kantonspolizei Zürich warnt vor Erpressungssoftware

Link zum Artikel

Fake-Sextortion: Wenn jemand dich wegen Pornos erpresst, glaub ihm oder ihr nicht

Link zum Artikel

Hackerangriff auf den grössten Aluminiumhersteller der Welt – die wichtigsten Fragen

Link zum Artikel

Neue Malware bedroht Windows-User – was du jetzt tun solltest

Link zum Artikel

«Hier ist der Hitler-Trojaner»: Hacker erpressen auch Schweizer Kleinbetriebe

Link zum Artikel

«GermanWiper»: Deutschland warnt vor zerstörerischem Trojaner, der alle Daten löscht

Link zum Artikel

Globale Malware-Attacke – Spur führt nach Russland

Link zum Artikel

Erpresser haben es auf Schweizer Windows-Nutzer abgesehen

Link zum Artikel

Die 12 bösartigsten Computer-Attacken aller Zeiten

Link zum Artikel

Petya, WannaCry und andere Erpressungs-Trojaner schlagen zu – so schützt du dich

Link zum Artikel

US-Polizisten werden Opfer eines Lösegeld-Trojaners und bezahlen. Dabei wäre es viel einfacher gegangen

Link zum Artikel
Alle Artikel anzeigen

Mehr über Lösegeld-Trojaner und Online-Erpresser

New Orleans von Malware-Attacke betroffen – Stadt erklärt Ausnahmezustand

3
Link zum Artikel

Computervirus legt ganzes Spital in Tschechien lahm

4
Link zum Artikel

«Snatch»: Dieser Windows-Schädling kann dein Antivirus-Programm austricksen

6
Link zum Artikel

Kantonspolizei Zürich warnt vor Erpressungssoftware

10
Link zum Artikel

Fake-Sextortion: Wenn jemand dich wegen Pornos erpresst, glaub ihm oder ihr nicht

22
Link zum Artikel

Hackerangriff auf den grössten Aluminiumhersteller der Welt – die wichtigsten Fragen

4
Link zum Artikel

Neue Malware bedroht Windows-User – was du jetzt tun solltest

7
Link zum Artikel

«Hier ist der Hitler-Trojaner»: Hacker erpressen auch Schweizer Kleinbetriebe

7
Link zum Artikel

«GermanWiper»: Deutschland warnt vor zerstörerischem Trojaner, der alle Daten löscht

12
Link zum Artikel

Globale Malware-Attacke – Spur führt nach Russland

17
Link zum Artikel

Erpresser haben es auf Schweizer Windows-Nutzer abgesehen

5
Link zum Artikel

Die 12 bösartigsten Computer-Attacken aller Zeiten

6
Link zum Artikel

Petya, WannaCry und andere Erpressungs-Trojaner schlagen zu – so schützt du dich

21
Link zum Artikel

US-Polizisten werden Opfer eines Lösegeld-Trojaners und bezahlen. Dabei wäre es viel einfacher gegangen

3
Link zum Artikel

Mehr über Lösegeld-Trojaner und Online-Erpresser

New Orleans von Malware-Attacke betroffen – Stadt erklärt Ausnahmezustand

3
Link zum Artikel

Computervirus legt ganzes Spital in Tschechien lahm

4
Link zum Artikel

«Snatch»: Dieser Windows-Schädling kann dein Antivirus-Programm austricksen

6
Link zum Artikel

Kantonspolizei Zürich warnt vor Erpressungssoftware

10
Link zum Artikel

Fake-Sextortion: Wenn jemand dich wegen Pornos erpresst, glaub ihm oder ihr nicht

22
Link zum Artikel

Hackerangriff auf den grössten Aluminiumhersteller der Welt – die wichtigsten Fragen

4
Link zum Artikel

Neue Malware bedroht Windows-User – was du jetzt tun solltest

7
Link zum Artikel

«Hier ist der Hitler-Trojaner»: Hacker erpressen auch Schweizer Kleinbetriebe

7
Link zum Artikel

«GermanWiper»: Deutschland warnt vor zerstörerischem Trojaner, der alle Daten löscht

12
Link zum Artikel

Globale Malware-Attacke – Spur führt nach Russland

17
Link zum Artikel

Erpresser haben es auf Schweizer Windows-Nutzer abgesehen

5
Link zum Artikel

Die 12 bösartigsten Computer-Attacken aller Zeiten

6
Link zum Artikel

Petya, WannaCry und andere Erpressungs-Trojaner schlagen zu – so schützt du dich

21
Link zum Artikel

US-Polizisten werden Opfer eines Lösegeld-Trojaners und bezahlen. Dabei wäre es viel einfacher gegangen

3
Link zum Artikel

Abonniere unseren Newsletter

77
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
77Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Ueli der Knecht 19.12.2019 00:49
    Highlight Highlight Vielleicht noch zur Entwarnung und Beruhigung der aufgeschreckten Windows-User:

    1. Der normale Windows Defender erkennt Emotet und schützt wirksam (http://bit.ly/2S2A9KE). Also keine Panik (es sei denn, du hast den Windows Defender deaktiviert).

    2. Der normal vorsichtige User müsste mindestens eine deutliche Sicherheitswarnung wegklicken, um tatsächlich in Gefahr zu geraten.

    Es braucht daher nicht einmal einen zusätzlichen Virenscanner (mit zusätzlichem Sicherheitsrisiko). Der auf allen Windows-Systemen bereits vorhandene Windows Defender reicht absolut aus.
  • Aff 18.12.2019 16:34
    Highlight Highlight Aus eigener Erfahrung:

    Es gibt leider immer den einen HONK, der das Attachement öffnet.

    Meistens Kader, weil genau sie die Warnhinweise der IT ignorieren. Man lässt sich ja nichts von Untergebenen sagen.
    • Hoci 19.12.2019 08:51
      Highlight Highlight Bei den vielen Fake Mails erwischt es jedes millionste Mal in einem schwachen Moment jeden. Einmal unaufmerksam und faul genügt, zumal die Mails immer perfider werden.
      Das Management bekommt oft besonders viele Mails mit völlig verschiedenen Inhalten und ist deshalb besonders anfällig.
  • Shikoba 18.12.2019 06:41
    Highlight Highlight Auf die Gefahr hin, dass ich geblitzt werde oder meine Frage als dumm angesehen wird 🙈 Aber was genau ist der Grund, dass man in so einem Fall den PC nicht ausschalten darf?
    • @schurt3r 18.12.2019 07:26
      Highlight Highlight Das ist keine dumme Frage, tatsächlich gibt es hierzu widersprüchliche Ratschläge.

      Nach meinem Verständnis reicht es, die Netzwerkverbindung zu trennen, das Ausschalten würde wohl die Diagnose erschweren.
    • Ueli der Knecht 19.12.2019 00:39
      Highlight Highlight Für die Diagnose und Forensik ist ein Speicherabbild wichtig, weil dort die Verschlüsselungs-Algorithmen und die Schlüssel meist noch vorhanden sind. Manche Ransomware beenden ihre Arbeit erst beim Rebooten.
      https://www.zdnet.com/article/experts-dont-reboot-your-computer-after-youve-been-infected-with-ransomware/

      Mein Ratschlag wäre:

      1. Ruhe bewahren,

      2. alles offen lassen und den Computer in Ruhezustand versetzen (das Speicherabbild wird so gespeichert),

      3. den Computer vom LAN und Strom trennen und den Stromanschluss deutlich kennzeichnen/abkleben,

      4. Vorfall melden / Hilfe holen.
    • Shikoba 19.12.2019 07:08
      Highlight Highlight Danke für die Erklärungen! :)
  • Alnothur 18.12.2019 01:09
    Highlight Highlight "Absender können gefälscht sein" - jein. Die Mailadresse selbst nicht. Das wird seit vielen Jahren schon verifiziert. Aber der Name, der daneben angezeigt wird – oder leider von manchen idiotischen Programmen wie Outlook ausschliesslich angezeigt wird – hingegen schon.
  • lus 17.12.2019 22:38
    Highlight Highlight Die meisten heutigen Firewalls kriegen die C&C Server gemeldet, was viele Nachladungen eindämmt und somit auch die infizierten PCs (schneller) identifiziert werden können, aber auch Sandboxing hilft.
    Das sind Services die sich auch KMUs leisten können - wenn sie dann wollen.
    Das sind übrigens alles auch phöse Clouddienste ;)
  • Ueli der Knecht 17.12.2019 21:28
    Highlight Highlight Im Frühling 2020 (also in wenigen Monaten) müssen per Gesetz alle Spitäler und psychiatrischen Kliniken auf das elektronische Patientendossier migriert sein.

    https://www.bag.admin.ch/bag/de/home/gesetze-und-bewilligungen/gesetzgebung/gesetzgebung-mensch-gesundheit/gesetzgebung-elektronisches-patientendossier.html

    Na dann, viel Glück....!
  • You will not be able to use your remote control. 17.12.2019 18:43
    Highlight Highlight Nehmt den Leuten, die 'Folder', 'Patchen' und 'Macro' sagen die wichtigen Computer weg!
    • @schurt3r 17.12.2019 19:53
      Highlight Highlight ...
      Benutzer Bildabspielen
  • 0 o 17.12.2019 17:33
    Highlight Highlight Wer kommt bitte auf die Idee, lebenserhaltende Geräte ans reguläre Internet anzuschliessen?
    Von so wenig Weitsicht bekomme ich Kopfschmerzen.
    Für was bitte schön gibt es Intranet? Es kann doch nicht so schwer sein, für sensible Bereiche (Medizinische Geräte, Patientendaten, etc) ein eigenständiges Internes Netzwerk einzurichten, dass schon gar keinen Anschluss ans Internet hat.

    Oder verlangen die Hersteller der Geräte eine ständige Verbindung zu ihren Geräten, damit 24/7 Support gewährleistet werden kann?

    Dann wäre es wieder bis zu einem gewissen Punkt nachvollziehbar.
  • pamayer 17.12.2019 17:06
    Highlight Highlight Zuerst alles digitalisiert, dann brutal abhängig davon. Und entsprechend verletzlich.
    • Hoci 19.12.2019 08:56
      Highlight Highlight Na ja das nennt sich heutzutage modern. Und man macht es, inkl. 5G, egal, ob es sinnvoll ist oder gar überwiegend schadet.
      Aber hauptsache das Neueste, Modernste haben. Und dann gibt es natürlich noch die Firmen, denen nichts an Sicherheit aber viel am Datensammeln liegt und Sicherheitsmassnahmen erschweren bis verhindern.
  • rothi 17.12.2019 17:00
    Highlight Highlight Das Gefährliche an Emotet: Er klinkt sich in bestehende Mailverläufe ein. Somit meint das Opfer, ein legitimes Mail vor sich zu haben. Und Emotet kommt selten allein sondern zusammen mit Trickbot und Ruyk. Wie so ein Angriff im Detail abläuft habe ich in diesem Blogartikel mal zusammengefasst: https://www.infoguard.ch/de/blog/emotet-trickbot-ryuk-das-schlimmste-trio-seit-es-computerviren-gibt
  • Edwin Schaltegger 17.12.2019 16:19
    Highlight Highlight Man muss ja schon von "allen Geistern verlassen sein" um in einem per e-mail zugesandten Word Document eine Macro Funktion zu aktivieren. Man sollte generell nur *.pdf Dokumente per e-mail versenden. In MS-Word ist eine Standardfunktion vorhanden um pdf-files abzuspeichern. Das Personal dieser Spitäler muss unbedingt bezüglich Datensicherheit besser ausgebildet werden.
    • Neruda 17.12.2019 16:34
      Highlight Highlight Nein nur normaler User. Habe in der IT gearbeitet und die Dämlichkeit des Menschenschlags verwundert mich überhaupt nicht mehr. Traurig aber wahr.
    • miip 17.12.2019 20:36
      Highlight Highlight Auch in PDFs lassen sich Skripte einbetten. So einfach ist es mit dem Digitalen eben nicht. Sicher hilft es nicht, dass in der IT-Welt der Firmen eine Software-Monokultur herrscht.
    • Hoci 19.12.2019 09:04
      Highlight Highlight Neruda, du bist ein typischer arroganter IT-Typ.
      Wie Windfahnenprofet sagt, bist du nur gut auf deinem Gebiet. Einfühlungsvermögen und vernetztes Denken geht dir offensichtlich ab.
      Wenn deine User es "nicht verstehen" , dann weil du deinen Job nicht machst.
      Meine User behandle ich korrekt und respektvoll und helfe ihnen im Alltag sich zu schützen: mit den richtigen Tools, Systemen und Anleitungen.
  • MartinZH 17.12.2019 14:48
    Highlight Highlight Ganz klar, das waren keine Lausbuben, sondern staatliche Hacker! Die sind "am Testen"... 😕

    Leider nicht das erste Mal, hier war es Petya: https://www.watson.ch/!221086525
    • x4253 18.12.2019 08:08
      Highlight Highlight Naja, die meisten staatlichen Hacker bessern ihr Einkommen noch ein bisschen auf mit solchen Aktionen ;)
  • Lightning makes you Impotent (LMYI) 17.12.2019 14:47
    Highlight Highlight Sehr guter Artikel von euch/dir!! 👍 Wollte das mal sagen. Ich habe diesen auch an unseren IT Verantwortlichen weitergeleitet. Wir sind ein kleiner Gesundheitsbetrieb, der nicht über die Ressourcen der grossen verfügt. Vor allem Heime und kleinere Bezirksspitäler sind hier stark betroffen. Das Personal wechselt häufiger und ist noch in geringerem Umfang IT Affin. Sag einmal unseren Leuten sie dürfen keine Word-Dokumente verschicken! Die wissen zum Teil nicht mal wie sie ein PDF machen können. 🙈🙈 Aber leisten hervorragende Arbeit am Patienten.
    • sheshe 17.12.2019 16:37
      Highlight Highlight Schon eine Cyber-Versicherung abgeschlossen? So lassen sich wenigstens die Kosten überwälzen. Betriebsunterbruch hast du trotzdem, aber im Risikogespräch findet man immer viele Lücken bzw. Verbesserungspotential
  • Locutus70 17.12.2019 14:35
    Highlight Highlight Heutzutage lautet die Devise: So wenig wie möglich online zu haben und dies konsequent von den Verbindungen nach außen abzuschirmen.
    Das ist anfangs natürlich ein größerer Aufwand, da man eventl. Strukturen und Arbeitsabläufe ändern muss - ist aber derzeit die effektivste Strategie gegen Angriffe von außen.
  • AstaLaVista 17.12.2019 13:46
    Highlight Highlight Spitäler schützen sich heute natürlich auch mittels diversen Ansätzen.
    Sei es Zonierung oder mittels Security Domains.

    Eher ein grosses strukturelles Problem scheint mir als externer Betrachter, dass die IT in Spitälern oft einfach umzusetzen hat, was die Fachabteilungen beschaffen wollen. Jeder Chefarzt kauft mal da oder da wild sein Lieblings Spielzeug ein. Die IT muss hinterher rennen.
    Shadow IT scheint eines der grössten Sicherheits-Probleme der Schweizer Spitäler zu sein.
    • RonaldMcDonald 17.12.2019 15:31
      Highlight Highlight Schon möglich, aber dafür gibt es gute Modern Device Management Lösungen wo du plattformübergreifend Policies und Restriktionen definieren kannst.
  • hollow 17.12.2019 13:34
    Highlight Highlight Im Artikel fällt mehrfach das Schlagwort "Social Engineering" als Methode, um an interne Informationen zu gelangen. Es wäre echt spannend und täte dringend Not, hier mal in einem separaten Artikel zu beleuchten, wie ein solches Social Engineering aufgegleist wird. Social Engineering kann jede/n treffen, wenn man nicht aufgeklärt und auf der Hut ist!
    • Ueli der Knecht 17.12.2019 15:26
      Highlight Highlight Dazu empfehle ich das Standard-Werk:

      Kevin Mitnick,
      "Die Kunst der Täuschung, Risikofaktor Mensch"
      https://de.wikipedia.org/wiki/Die_Kunst_der_T%C3%A4uschung_%28Buch%29
    • @schurt3r 17.12.2019 16:00
      Highlight Highlight Danke für den Input!

      Kommt bei mir auf die To-do-Liste mit den spannenden Hintergrund-Themen.
    • rothi 17.12.2019 17:04
      Highlight Highlight Bei Emotet funktioniert das mittels Dynamit-Phishing. Emotet stiehlt die ersten 64k Zeichen aller Emails der letzten 180 Tagen und benutzt diese danach um sich weiter zu verbreiten. Ich habe Fälle gesehen, wo ein Spital vermeintliche Laborberichte erhielt und sich dahinter emotet verbarg. Es ist sehr schwierig sich gegen diese Angriffe zu schützen.
    Weitere Antworten anzeigen
  • Scaros_2 17.12.2019 13:15
    Highlight Highlight Haben die denn keine ISO 27001 Zertifizierung? Oder ist dies immer noch ein "Goodie" oder wird es als solches verstanden?
    • Klirrfactor 17.12.2019 16:56
      Highlight Highlight ISO sagt nur, "Ja, Prozesse vorhanden!" - nicht mehr.
    • x4253 18.12.2019 08:05
      Highlight Highlight ISO27001 ist gut gemeint, wird aber oft von hinterwäldlerischen und ignoranten Flitzpiepen in der Teppichetage hergenommen damit man "halt etwas macht". Ob dadurch sicherer wird oder nicht ist oft sch*iss egal. Es geht nur darum, die eigene Verantwortung im Falle eines Schadenfalles auf abstrakte Konstrukte (in diesem Fall Prozesse) abzuwälzen. Cover my Ass vom Feinsten.

      Die Ernüchterung bei den meisten 27k1 zertifizierten Unternehmen kommt oft dann, wenn man mal einen ernsthaften Pentest durchführt.
  • Cpt. Jeppesen 17.12.2019 13:02
    Highlight Highlight Mit Linux wär das nicht passiert.
    • purzelifyable 17.12.2019 19:35
      Highlight Highlight Mit Brieftauben auch nicht.
    • tuturu 17.12.2019 23:35
      Highlight Highlight wie es die welt auf den kopf stellen würde, da opensource nun mal um einiges sicherer ist.. aber ja, bleiben die leute bei windof und ziehen des hackers fokus auf sich.
  • MrJS 17.12.2019 13:01
    Highlight Highlight So liebe Schweizer und jetzt sagt mir mal, wieso ihr euch vor Terrorismus mehr fürchtet als vor dem?!
    • Beobachter 17.12.2019 14:44
      Highlight Highlight @MrJS: Wo ist der Unterschied? Das ist nichts anderes als Terrorismus.
  • RichiZueri 17.12.2019 12:46
    Highlight Highlight IT Angriffe generell sind ja bereits nicht sehr nett, aber einen Spital angreifen...?
    • Heinzbond 17.12.2019 13:04
      Highlight Highlight Schadsoftware schreiben ist per se auch nicht nett, dennoch machen es einige...
    • Flötist 17.12.2019 14:45
      Highlight Highlight @RichiZueri Ja, das wird gemacht. So erhöht sich die Chance am meisten, dass Geld gezahlt wird. Je mehr jemand davon abhängt.
  • David Tschan 17.12.2019 12:09
    Highlight Highlight Sehr guter, detaillierter und fachlich korrekt geschriebener Artikel...

    Danke 👍🏻
  • Coburn 17.12.2019 11:58
    Highlight Highlight Wieso müssen medizinische Geräte überhaupt dauerhaft mit dem Internet verbunden und im selben Netz wie Clients sein, die Emails empfangen? Sollten solch kritische Netze nicht getrennt sein?
    • @schurt3r 17.12.2019 12:03
      Highlight Highlight Guter Punkt 👍

      Ich denke, das wird schon in einigen Institutionen so gemacht. Die «NZZ am Sonntag» berichtete Anfang Oktober, dass im Inselspital Bern nur ein Teil der Apparate durchgängig vernetzt sei, das erschwere Cyberangriffe. «Kritische Systeme» seien in getrennten Netzen untergebracht.
    • Jeremy Liquidpsy 17.12.2019 12:06
      Highlight Highlight Um zu der Einsicht zu kommen braucht es halt eine kompetente IT-Abteilung.. :/
    • Heinzbond 17.12.2019 12:15
      Highlight Highlight Gut, man könnte das Internet der Dinge, und so verstehe ich all die Monitore, Infusuiomaten und anderes, die am Internet hängen, generell in Frage stellen... Aber die Dokumentationswut muss eben auch befriedigt werden...
    Weitere Antworten anzeigen
  • @schurt3r 17.12.2019 11:51
    Highlight Highlight Hast du noch eine Frage zur Malware-Attacke auf das Spital? Ich versuche sie direkt zu beantworten, oder leite sie an die IT-Sicherheitsexperten weiter ;-)
    • kettcar #lina4weindoch 17.12.2019 13:06
      Highlight Highlight Schützt hier der Einsatz von AppLocker mit Whitelisting nicht genug? Resp. kann er umgangen werden?
    • Skinny bad boy James aka weissnonigsegedihr 17.12.2019 14:47
      Highlight Highlight Alles kann umgangen werden, die Frage ist nur wie Aufwändig ist es.

      Ich kenne den Angriff jetzt nicht ins detail, es gibt mehrere Szenarien wo ein application Whitelisting helfen würde. Bei einer Vulnerability kann es sein das ein legitimes Host System (z.B: Browser) ausgenutzt wird um den Schadcode auszuführen. Dabei ist der Browser jedoch in der Whitelist udn wird dadurch nicht blockiert.

      Bitte um korrektur falls nicht korrekt.

      Trotzdem Whitelisting ist ein gutes Sicherheitsfeature welches genutzt werden sollte. Aber es ist nur eins von mehreren. Alleine bietet es zu wenig Schutz.

    • D0MD0M 17.12.2019 15:15
      Highlight Highlight Und warum muss man in einem Spital Office unsignierte Makros ausführen?
    Weitere Antworten anzeigen

Bekanntes Antivirus-Tool verkauft Surf-Daten (inklusive Porno-Konsum) an Google und Co.

Die populäre Antiviren-Software Avast, die auf Macs und Windows-PCs läuft, sammelt höchst sensible Daten, die zu Werbezwecken weiterverkauft werden.

Update: Avast hat am 29. Februar 2020 via Firmen-Blog angekündigt, das umstrittene Programm einzustellen, das Browser-Daten von Kunden sammelte und weiterverkaufte.

Das Antivirus-Programm Avast überwacht PC-User beim Surfen und eine Tochterfirma verkauft die anfallenden Browser-Daten zu Werbezwecken an Dritte. Laut aktuellen Berichten wurde auch der Online-Porno-Konsum erfasst.

Zu den Firmen, die laut Recherchen von Motherboard (Vice) und PCMag womöglich für solche User-Daten bezahlten, gehören …

Artikel lesen
Link zum Artikel