Ransomware fährt dem Roten Kreuz Rheinland-Pfalz die IT herunter [0].
Und natürlich ist mal wieder die Rede von einem Hackerangriff. Eine Ransomware ist kein Hackerangriff. Ein Hackerangriff ist, wenn ein Hacker deinen Rechner angreift, ohne dein Zutun, und der geht dann kaputt oder tut Dinge, die du nicht wolltest. Heutzutage ist der Begriff in der Breite kaum noch anwendbar, weil jede Schrottsoftware ständig neue Updates nachinstalliert, die Dinge tun, die du nicht wolltest. Aber das ist die Definition eines Hackerangriffs.
Was wir hier haben ist ein klarer Fall von "die Organisation hielt es nicht für nötig, ordentliche Infrastruktur auszurollen". Organisationen, die glauben, ein verkacktes Berechtigungskonzept im Unternehmen durch die Nachinstallation von Schlangenöl bekämpfen zu können. Und ja, das ist meiner Erfahrung nach der beste Indikator für verkackte Sicherheitskonzepte in Organisationen: Schlangenöl. Je verkackter die Security, desto mehr Schlangenöl.
Ja aber Fefe, höre ich euch sagen, die Produkte im Gesundheitssektor sind alle auf einem beschissenen Niveau, da kann man nicht so viel machen! Doch, kann man. Man vernetzt sie nicht. Und man klagt solange bei den Herstellern Nachbesserungen ein, bis die netto einen Verlust pro verkaufter Lizenz einfahren.
Was mich ja bei solchen Geschichten immer am meisten mitnimmt: Das sind die Leute, denen wir glauben sollen, dass sie bei dem Rest ihres Krankenhauses schon alles ordentlich machen. Denen wir unser Leben anvertrauen sollen, wenn wir in Not sind. Die Leute, die es nicht schaffen, ihre IT ordentlich zu installieren, denen sollen wir dann glauben, dass sie aber ihre ärztlichen Dinge alle voll im Griff haben.
Ich weiß nicht, wie euch das geht, aber das fällt mir schwer.
Money Quote:
>In der Nacht zum Sonntag hat ein Cyberangriff das komplette Netzwerk des Verbundes lahmgelegt – und das trotz vorhandener Firewall und aktualisierter Antivirensoftware.
DAS IST JA UNGLAUBLICH, BOB? Ihr hattet Schlangenöl und eine Firewall!?!? Und das hat nicht gereicht?!?!?
>Eine von außen ins System eingespielte Schadsoftware hat Server und Datenbanken kryptisch verschlüsselt
Ja nee klar, von außen eingespielt. Ich glaube kein Wort. Das ist eine dieser "damit konnten alle gut leben"-Erklärungen. Es gibt für Ransomware drei typische Optionen, wie die in ein Unternehmen kommt:
• Jemand klickt auf einen Link oder ein Attachment in einer E-Mail und führt die Malware aus. (Selbst Schuld)
• Der Browser / das Office war bei denen nicht gepatcht und jemand klickte auf einen Link oder ein Attachment in einer E-Mail. (Selbst Schuld)
• Es hat sich tatsächlich jemand von außen bei denen reingehackt. (Übliche Schutzbehauptung)
Die Wahrscheinlichkeit für Fall 3 ist verschwindend gering. Das kommt praktisch nicht vor. Ich wäre wirklich überrascht, also echt ehrlich ganz doll überrascht, wenn das hier vorgekommen sein sollte. Den Fall kann man praktisch ausschließen, so selten kommt der vor. Dass jemand über eine Sicherheitslücke reinkommt, für die es noch keinen Patch gab. Das ist eine übliche Schutzbehauptung, aber vorkommen tut es nie.
Ich betrachte solche Fälle inzwischen als übliche Geschäftskosten. Du kannst entweder Geld in ordentliche Infrastruktur oder in Dauerreparaturen stecken. Ist wie bei Autobahnen und Fenstern und Sanitär und sonst überall. Aber seid dann bitte auch so ehrlich und faselt nicht von Hackerangriffen herum. Die Ursache für euren Schaden ist eure eigenen Infrastrukturentscheidungen, nicht irgendwelche Hacker.
So und jetzt könnt ihr entweder alle weiterhin euer Windows-Ökosystem mit Active Directory und SMB-Shares und MS Office weiter betreiben und schön Schlangenöl drübersprenkeln, und euch wundern, dass ihr trotzdem die ganze Zeit Ärger habt. Oder ihr könnt mir glauben, wenn ich euch sage: Schlangenöl hilft nicht.
[0] https://www.wormser-zeitung.de/lokales/rheinhessen/hackerangriff-auf-drk-einrichtungen-in-rheinland-pfalz_20286153
https://blog.fefe.de/?ts=a3d1e8ba