Die Bezirkskliniken Mittelfranken sind mit ihrer IT Opfer eines Cyberangriffs geworden, wie verschiedene Medien berichten. Konkret gibt es einen Ransomware-Befall der die Bezirkskliniken Ansbach, bei dem Daten verschlüsselt wurden. Die Krankenhäuser mussten sich aus der Notfallversorgung abmelden. Zudem wurde bereits bekannt, dass personenbezogene Daten sowie unternehmensinterne Dokumente durch die Angreifer abgezogen wurden.
Bezirkskliniken Mittelfranken
Die Bezirkskliniken Mittelfranken sind ein kommunales Gesundheitsunternehmen des Bezirks Mittelfranken für psychische und neurologische Erkrankungen. Auf Beschluss des Bezirkstags von Mittelfranken vom 14. Oktober 2004 wurden die drei psychiatrischen Fachkrankenhäuser (Klinikum am Europakanal Erlangen, Frankenalb-Klinik Engelthal, Bezirksklinikum Ansbach) und beide Heime des Bezirks Mittelfranken (Soziotherapeutisches Wohn- und Pflegeheim Ansbach und Soziotherapeutisches Wohnheim Eggenhof) in ein selbständiges Unternehmen mit der Rechtsform einer Anstalt des öffentlichen Rechts überführt.
Ziel der Bezirkskliniken ist es, für Menschen mit psychischen und neurologischen Erkrankungen in Mittelfranken eine gemeindenahe und differenzierte Versorgung mit ambulanter, teilstationärer und stationärer Krankenhausbehandlung, Rehabilitation und Pflege zu gewährleisten. Die Bezirkskliniken Mittelfranken verfügen über acht Kliniken und zwei Wohnheime mit insgesamt 1700 Betten und Behandlungsplätzen. Pro Jahr werden rund 15.000 stationäre und teilstationäre Patienten sowie etwa 40.000 ambulante Patienten behandelt.
Ransomware-Befall der IT
In einer Mitteilung vom 28. Januar 2024 teilt das Klinikum mit, dass sich Unbekannte Zugang zu den Systemen der IT-Infrastruktur der Bezirkskliniken Mittelfranken verschafft und gezielt Daten verschlüsselt haben. Ich bin über nachfolgenden Tweet auf den Sachverhalt aufmerksam geworden – inzwischen gibt es Meldungen beim BR und in anderen Medien.
Zum vollständigen Ausmaß des Schadens können zum jetzigen Zeitpunkt noch keine abschließenden Angaben gemacht werden. Laut Mitteilung der Kliniken steht jedoch bereits fest, dass Daten von den Hackern abgezogen wurden. Darunter befinden sich auch personenbezogene und unternehmensinterne Informationen.
Aus Sicherheitsgründen wurden alle Systeme vom Netz getrennt. Die zuständigen Ministerien und Behörden wie Polizei, Staatsanwaltschaft, Bayerisches Landesamt für Datenschutzaufsicht und der Bayerische Landesbeauftragte für Datenschutz wurden durch die Klinikeinsatzleitung umgehend informiert.
Ein Krisenstab untersucht seit Bekanntwerden der Attacke am Samstagvormittag (27. Januar 2023) in Zusammenarbeit mit der Polizei und Staatsanwaltschaft die Situation. Interne wie externe IT-Sicherheitsexperten arbeiten an der Aufklärung des Sachverhalts. Die Versorgung und der Schutz der Patientinnen, Patienten und Beschäftigten ist jedoch durch die umgehende Aktivierung bestehender Notfallpläne weiterhin gewährleistet. Dennoch stört der Hackerangriff die Abläufe in den Kliniken nachhaltig. Daher haben sich die Kliniken aus Sicherheitsgründen von der Notfallversorgung abgemeldet.
Die Bezirkskliniken Mittelfranken sind damit eines von zahlreichen Opfern von Hackerangriffen. Insbesondere in den letzten Monaten kam es vermehrt zu Angriffen auf Krankenhäuser (siehe auch Links am Artikelende). Wie schnell die Systeme nach der Cyberattacke wiederhergestellt werden können, ist derzeit noch nicht absehbar.
Neustart der IT
Ergänzung: Zum 28. Februar 2024 ist mir diese Meldung des Bayerischen Rundfunks (BR) untergekommen, die besagt, dass die IT der Kliniken neu aufgebaut wurde und alles langsam wieder hochgefahren soll. Nun droht nur noch der GAU, dass die erbeuteten Daten von den Cyberkriminellen öffentlich gestellt oder für Erpressungen verwendet werden.
Ähnliche Artikel:
Cyberangriff auf Uniklinik Frankfurt entdeckt?
„Cyber-Angriff“ auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?
Kliniken der Marienhausgruppe Opfer eines Cyberangriffs
Lockbit 3.0-Angriff auf KHO-Kliniken: Gibt es den Decryptor kostenlos?
Wenn das so weitergeht, lesen wir bald jeden Tag von einem neuen Vorfall. Habe ich nur den Eindruck, dass die Vorfälle zunehmen oder liegt das daran, dass hier bewusst nur über solche Themen berichtet wird?
Naja, die KI wird’s richten… nicht ;)
Also subjektiv habe ich auch den Eindruck, dass die Angriffe auf „Insitutionen im öffentlichen Interesse“ (sprich: staatliche Organisationen oder bedeutende Firmen) merklich zunehmen.
Hat da jemand statistische Erhebungen zu?
Aber so beunruhigend diese Wahrnehmung auch ist: Die Berichterstattung rückt das Thema aktuell doch etwas in den Fokus der Entscheider. Die Frage, ob daraus die richtigen Schlüsse gezogen werden, bleibt allerdings…
Das Cyber Polygon Planspiel wird umgesetzt bis die Welt nach einem neuen komplett vernagelten und kontrollierten Internet schreit, das ohne persönlichen digitalen ID gar nicht genutzt werden kann. Das Thema wird aber ungern gehört.
Das „vernagelte kontrollierte Internet“ würde uns nicht vor den Hackangriffen des Staates schützen. Siehe China und andere Länder mit paranoiden Behörden ;).
Ne, die Cyperfälle sind hier deswegen so präsent, weil es tagtäglich passiert und meistens überall durch die gleichen Fehler passieren.
Am Ende darf man sich die Frage stellen, ob der IT Standort „Deutschland“ nicht vielleicht schon am Ende seiner Tage ist, wenn man mit sowas schon überfordert ist.
Du hast das letztendliche Ziel des Planspiels gut verstanden.
Es könnte auch daran liegen, dass solche Vorfälle Meldepflichtig geworden sind.
Und natürlich nimmt die Gefahr mit zunehmender Vernetzung zu.
Früher riefen die Stadtwerke an um unseren Stromzähler für die Abschlagszahlung abzufragen.
Was sollte ein Angreifer damit anfangen?
0190er Nummern wählen lassen?
Inzwischen hängt das Teil natürlich im Internet und kann für DDos Attacken benutzt werden oder gar Zugriff auf das ganze Hausnetz gewähren.
Früher hat man dich zur Fernwartung mit einem Modem beim Kunden einwählen müssen. Der Kunde hatte eine Schaltuhr mit einem 2 Stunden Countdown, den er vor dem telefonisch avisierten Anruf aktivierte. Das Modem war so parametrirrt das es nach einem Anruf die spezielle Nummer der Wartung anrief. Heute hängt der Rechner im Internet, dauerhaft. Vielleicht hinter einem VPN, dessen Konfiguration der Admin nicht wirklich verstanden hat.
Früher mussten die Mitarbeiter in der Firma anwesend sein, weil die 2mio Bit pro Sekunde zwar relativ viel war, aber nicht für mehrere Dutzend Home Office Mitarbeiter ausreichend war.
Also wird die Angriffsfläche immer größer.
Und da es billiger erscheint, alles in zentrale Reichenzentren auszulagern sind immer viele betroffen.
Früher hatte mein Arzt eine Syquest Wechsel platte für die Daten aller Patienten. Es wäre sehr mühsam für einen Angreifer die diversen Computer Systeme aller meiner Artzte anzugreifen, zumal die nicht einmal online waren. Jetzt wird er gezwungen diese per ePA zentral zu speichern.
Und natürlich gilt auch hier:
„Only bad news are good news“
wenn Du das nicht sehen willst, möchtest Du vielleicht einen Yoga Blog lesen?
Es ist es wichtig das alle Einbrüche offen dokumentiert werden.
Wie es hier gerade beim SIT gemacht wird ist es vorbildhaft. Ein schlechtes Beispiel ist der Heise Verlag, der sein Wissen aus seinem Angriff teuer in Kursen vermarktet.
Ich stelle mir gerade vor, das das so auch in der Fliegerei üblich wäre. Wenn ein Flugzeug runter gefallen ist, bleibt die Firma, die den Fehler gemacht auf den Informationen sitzen. Und das Flugzeug der Konkurrenz hat den gleichen Fehler und stürzt auch ab. Wer würde da denn noch überhsupt fliegen?
Das ist aber die Situation in der IT.
Es gibt kein NTSB, das solange forscht, bis es die Ursache im Kern gefunden hat und das ganze Geschehen zum Vorteil aller veröffentlicht.
Die betroffenen in der IT bleiben aber meistens auf ihrem Wissen sitzen, geben es nicht weiter, ja halten den Angriff geheim, weil… hm, weil es ihnen peinlich ist? Sie regress der Kunden fürchten oder worst, weil sie diese Informationen meistbietend verkaufen wollen und sehen wollen, das die Konkurrenz denselben Fehler macht?
Es ist ein gemeinsames Problem, das uns alle betrifft und nur gemeinsam gelöst werden kann.
dyssoziales, egoisches Verhalten schadet allen, auch denen, die die Informationen zurück halten, um heute einen kleinen Vorteil zu ergattern.
my 2ct
Ich erinnere mich an einen Fall (wurde glaube ich auch hier im Blog thematisiert, ich finde ihn aber gerade nicht) da wurden die Forensiker wieder herausgeworfen. Vorgeblich weil sie zu teuer waren (hatten der Behörde schon einen reduzierten Satz angeboten), letztendlich vermutlich aber, weil sie unbequeme Wahrheiten zur Sprache gebracht haben.
75-90% Gemeinsamkeit der verschlüsselten Unternehmen: M$ System: Active Directory, Exchange, Windows usw. Idealerweise gepaart mit Produkten von Cisco, Juniper oder Fortinet und „abgesichert“ durch TrendMicro, dann hast nahe die 100% Marke erreicht.
oh, hab natürlich Citrix vergessen :-)
AzureAD / Entra ID nicht vergessen. 50% kommen wohl über die Cloud rein. Bisher hatte ich immer Popcorn besorgt, mittlerweile sind solche erfolgreichen Angriffe eher nur noch peinlich.
Ne, dass denke ich eher nicht. So hart verlinkt sind die Kliniken nicht mit Azure/Entra.
Problematisch sind oft, eigentlich meistens, medizinische Geräte, da diese mit einer fixen -Windows-Version arbeiten (müssen) um Ihre Zertifizierung zu behalten, was ein Updaten nur dann möglich macht, wenn der Hersteller es ausliefert. Additiv dann mäßig bis gar nicht eingerichtete Sicherheitsmaßnahmen auf den Geräten selbst, mangelnde Schnittstellen, schlecht umgesetzte APIs usw.
Hinzukommend dann schwach oder gar nicht umgesetzte Sicherheitsmaßnahmen (weil die Mails in Text halt nicht mehr klickibunti aussehen) und eine MDM auf dem Smartphone des Chefsarzt Ihn in seine „Kreativität“ einschränkt und die Kopplung der SONOs im Büro ja dann nicht mehr geht.
Aber man darf trotzdem Azure/Sharepoint nicht außer acht lassen, die Verbreitung von Dokumeten mit enthaltenen Links auf Schadhaften Seiten durch ungesicherte M365 Account ist bei uns der häufigste Grund von Spammeldung, aber ist ja ein M$ Produkt, ist ja alles sicher!11elfeins
Und was machen diese gehackten Unternehmen? Überdenken sie ihre Architektur? Keinesfalls, sie machen weiter wie bisher nur noch mehr Cloud, um den Angriffsvektor noch ein bischen zu vergrößern. Irgendwie tun mir die Entscheider leid. Keinerlei Kompetenz und dennoch für risikoreiche Architektur entscheiden. Meldepflicht schön und gut, aber solange das nicht mit persönlichen Konsequenzen für die Verantwortlichen verbunden ist,wird sich nichts ändern.
Früher hat man sein Geld in eine Schatulle oder einen Strumpf gesteckt. Wurdest Du überfallen, war Dein (und nur Dein) Geld weg.
Heute trägt man es auf die Bank – wird die überfallen ist das Geld vieler tausend Kunden weg.
Hat man sich deshalb vom risikoreichen Konzept „Bank“ verabschiedet? Nein, aber man sichert sie eben so gut es eben geht.
Hm, hast Du schon mal von jemanden gehört, dessen „eigenes“ Geld bei der Bank geklaut wurde? „Meinen gestern eingezahlten 50er“ können Bankräuber ruhig mitnehmen, mein Kontostand wird sich dadurch nicht ändern.
Aber ich gebe Dir recht, „Überdenken sie ihre Architektur?“ wird nur dann gemacht, wenn es ans eigene Konto geht. Und zwar mit schmerzenden Strafen und nicht solchen, wo man sich überlegt, ob es zu ignorieren nicht doch billiger wäre.
Das kam wohl im wilden Westen öfters vor, wenn die „finsteren Männer mit ihren rauchenden Colts“ vorbei kamen.
Wenn Du in Deutschland deinen 50er wiederkriegst, dann wegen der hohen Sicherheitsvorkehrungen und abgeschlossenen teuren Versicherungen.
Aber mit Deinen Kontoführungsgebühren zahlst Du indirekt jeden Bankraub (hier in der Stadt gibt es mindestens zweimal im Jahr eine Automatensprengung, die letzte filmreif mit Schießerei und Verfolgungsjagd über die Autobahn, die Täter waren wohl Holländer) trotzdem mit.
Die werden schon einen Schuldigen finden; am Ende der Nahrungskette trifft es dann den kleinen dämlichen Admin, der schon Jahre erfolglos gegen die sämtliche fachfremde IT-Entscheider bez Security angekämpft hat.
Stimmt.
Wenn man in einem sicheren System 2 mal etwas anklicken muß, um zum gewünschten Dokument zu kommen anstatt 1 mal in einem unsicheren System, dann siegt bei den Entscheidern meist die Bequemlichkeit und das System bleibt unsicher.
Und das fängt doch schon im kleinen auch abseits der IT an.
Man muß nur einmal eine Firma betreten und sich die Fenster anschauen.
Gibt es da abschließbare Fenstergriffe und wenn ja, steckt da auch nicht der Schlüssel drin?
Werden Außentüren außerhalb der Geschäftszeiten auch wirklich abgeschlossen oder die Türen nur ins Schloß gezogen?
etc.
I.d.R. hakt es schon an diesen Punkten. Wie soll es dann mit der IT-Sicherheit besser aussehen?
Wir haben (nach zwei Einbrüchen, bei denen u.a. auch teure Oszis gestohlen wurden) einen Wachschutz beauftragt.
Der mault uns (zu Recht) sogar an, wenn abends die Toilettenfenster noch gekippt sind.
Der Verschluß der Außenhauttüren ist klar geregelt und wird alarmüberwacht.
Die Komforteinbuße (außerplanmäßige Nacht- und Wochenendarbeit muß durch Befugte vorher angemeldet werden) ist es uns wert.
Die Cloud Lemminge suchen dann die nächsthöhere Möglichkeit zum Runterspringen.
Was sollen denn die „persönlichen Konsequenzen für die Verantwortlichen“ sein?
Wenn die Verantwortlichen mit goldenem Handschlag entlassen werden, kriegen Sie beim nächsten Job mehr Geld, da es ja als Erfahrung mit IT-Angriffen dargelegt wird.
Und wegen Fahrlässigkeit oder Vorsatz in den Knast schicken, dann müssten 80% aller IT Verantwortlichen in den Knast und man hätte keine mehr.
Somit ist es wie fast überall in allen Bereichen, Inkompetenz und zahlen muss es die Allgemeinheit.
Der Mensch ist dafür nicht gemacht, will aber immer mehr, ist doch nur ein Evolutionszweig eines Tieres mit etwas Intelligenz.
Neuer Fall: Caritas-Klinik Dominikus (Berlin-Reinckendorf)
Danke, habe es bereits gestern Abend gelesen – war aber zu platt, noch drüber zu bloggen. Wird mal wieder ein „heißer Freitag“ …
Gemach.
Vielleicht macht es ja auch Sinn, nur einen regelmäßig aktualisierten Sammelartikel mit der Liste der Betroffenen zu erstellen.
Die anfangs recht dürre Faktenlage (nichts geht mehr / Polizei und Computerspezialisten eingeschaltet / von der Notversorgung abgemeldet) ist eh oft ähnlich, die sich anschließende Diskussion irgendwie auch. 🙂
Solange es nicht so schön aufgearbeitet ist wie bei der SIT kann man als Admin nur wenig Erkenntnisse daraus ziehen als „die Einschläge kommen näher“. 😐