Dringende Warnung an jede Arztpraxis

Moderator: Forum Moderatoren

Antworten
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Dringende Warnung an jede Arztpraxis

Beitrag von EXEWERKER »

Der Teslacrypt 3 und der Locky Virus sind gerade ganz wild unterwegs. Es kommt auf bis zu 5000 Neuinfektionen / Stunde in Deutschland. Übrigens sind auch Mac- und Linuxsysteme potentiell betroffen, obwohl sich hier der Schaden in Grenzen hält, weil der Marktanteil sehr gering ist. Lesen Sie hier gern unseren Newsletter, den wir gestern an 400 Praxen und Kunden verschickt haben. Auch das Problem mit den mobilen Kartenlesern dürfte vielleicht interessant sein.
http://newsletter.ewerk.com/t/t-D1DBE22E197BA377
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Dringende Warnung an jede Arztpraxis

Beitrag von nmndoc »

McAfee hat ein Dokument veröffentlicht, in dem die Einstellungen beschrieben werden, mit denen sich die Aktivitäten von Tesla/Locky blockieren lassen. D.h. das eigentliche Aktivwerden, sowie ggf. die Verschlüsselung der Dateien.
Bei Bedarf, kann ich die Information gerne nachliefern – sollte man grundsätzlich selbst machen können – ggf. Hilfestellung möglich. Alternativ können auch Diejenigen, die McAfee über CGM/TM bezogen haben, sich von der Hotline helfen lassen.

Noch ein Hinweis: Verschiedentlich werden ja nun diverse gut gemeinte Ratschläge gegeben, was man (nicht) tun sollte, um sich zu schützen. Die meisten davon halte ich für entweder (im konkreten Fall) für sinnlos/wirkungslos oder nicht praktikabel (womit wir dann wieder bei sinnlos wären).

Beispiel: „Nicht auf Anhänge in E-Mails von nicht vertrauenswürdigen Absendern klicken (oder am besten: gleich gar keine E-Mail verwenden)“.
Größtenteils sinnlos, da
a) die Infektionen auch über Websites erfolgen können und
b) die meisten Anwender eben denken werden, dass die E-Mail irgendwie plausibel ist. Oft kommt sie (scheinbar) ja gerade von einem bekannten Absender. Und wie üblich wird man vermutlich gerade dann in Eile sein, mit den Gedanken wo anders, und sich nicht in Ruhe mit dem Für und Wider der E-Mail befassen.

Hier Tipps, die einfach umzusetzen sind und helfen, ggf. den Schaden in Grenzen zu halten:
  1. Nicht mit Administrator-Berechtigungen arbeiten (d.h. nicht Gruppe „Administratoren“, aber auch nicht „Hauptbenutzer“ o.ä. ). Leider ist TM ja hier nicht gerade das beste Beispiel – auch einige TM-Partner raten ja ganz gern zu Admin-Rechten und am besten Virenscanner aus, dami „TM problemlos funktioniert) (aber tatsächlich läuft es – bis auf das Update auch ohne Admin-Rechte).
    Selbstverständlich benötigen Admin-Benutzer dann auch ein vernünftiges Kennwort. Zusammen verhindert das, dass sich ein Schädling beliebig einnisten kann, und im Fall von Locky, Tesla + co, dass die Schattenkopien einfach gelöscht werden, das setzt natürlich auch voraus, dass
    1. 1.1 Schattenkopien aktiv sind (wer nicht weiß was das ist: google oder fragen)
  2. AKTUELLE Datensicherung! Das Medium sollte eben auch möglichst nicht permanent (externe Festplatte, NAS) mit dem System/den Systemen verbunden sein, sondern nur während der Sicherung. Man könnte hier zwar über entsprechende Berechtigungen das Gleiche erzielen, aber evtl. wird das dann für manche Umgebungen zu komplex. Wechsellaufwerke wie RDX + co sind da eigentlich einfach zu handhaben.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Dringende Warnung an jede Arztpraxis

Beitrag von EXEWERKER »

Man kann natürlich nun diverse neue Interpretationen der Sicherheitsmaßnahmen veröffentlichen.

Gerade McAfee glänzt durch PERMANENTES NICHTAUFFINDEN von Skriptviren, zumal auch empfohlen wurde den Skriptscan abzustellen.
nnmdoc schrieb: Beispiel: „Nicht auf Anhänge in E-Mails von nicht vertrauenswürdigen Absendern klicken (oder am besten: gleich gar keine E-Mail verwenden)“.
Größtenteils sinnlos, da
a) die Infektionen auch über Websites erfolgen können und
b) die meisten Anwender eben denken werden, dass die E-Mail irgendwie plausibel ist. Oft kommt sie (scheinbar) ja gerade von einem bekannten Absender. Und wie üblich wird man vermutlich gerade dann in Eile sein, mit den Gedanken wo anders, und sich nicht in Ruhe mit dem Für und Wider der E-Mail befassen.
Wenn mann keine Mail an Praxiscomputern verwendet, wie soll man da versehentlich plausible Mails öffnen? Unlogisch.
Der Teslacryptvirus wird fast ausschließlich per Mailanhang verteilt, natürlich gibt es weitere Gefahren. Aber warum relativieren Sie Schutzmaßnahmen als sinnlos?
Mal abgesehen davon, dass ich die von Ihnen genannten Maßnahmen bereits auflistete, keine Adminrechte zu haben ist auf jeden Fall richtig. Allerdings ist ja die größte Gefahr die Verschlüsselung aller Dokumente. Dies erreicht Teslacrypt auch mit Benutzerrechten.
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Dringende Warnung an jede Arztpraxis

Beitrag von nmndoc »

Ich dachte mir schon, dass Sie das wieder persönlich nehmen – deshalb wollte ich Sie hier auch nicht „outen“. Es spielt aber letztlich auch wirklich keine Rolle woher die Tipps stammen, da diese fast wörtlich immer wieder zu finden sind (siehe zb Heise).

Es hilft dem Anwender letztlich nicht viel, wenn man auf der einen Seite Panik wegen einer konkreten Malware macht, aber auch der anderen Seite größtenteils nur allgemeine/wage Tipps gibt, die dann im konkreten Fall doch nichts helfen.
  • „Aktuelle Sicherheitsupdates“ -> hilft mir aber nicht, wenn gar keine Sicherheitslücke ausgenutzt wird.
  • „verwenden Sie eine Firewall“ -> noch allgemeiner geht‘s kaum. Wie genau schützt die in diesem Fall? Bzw. was müsste man machen, um einen Schutz zu erzielen?
  • „gefährliche Websites wenn möglich sperren“ -> und wenn „nicht möglich“ surfe ich auf den „Gefährlichen“ einfach weiter? Moment – welches sind denn die Gefährlichen? Gibt’s da ein Hinweisschild?
  • Usw.
EWERKER hat geschrieben:Gerade McAfee glänzt durch PERMANENTES NICHTAUFFINDEN von Skriptviren, zumal auch empfohlen wurde den Skriptscan abzustellen.
Ich erinnere mich noch daran, dass McAfee (u.a. hier) ausdrücklich für TM empfohlen wurde.

Es spielt bei den Schutzmaßnahmen auch keine Rolle, ob der initiale (Script-)Schädling gefunden wird, oder nicht. Entscheidend ist, dass er keinen oder möglichst geringen Schaden anrichtet.
Der Punkt ist weniger, ob der Anhang etc. sofort erkannt wird, entscheidend ist, dass die eigentliche Ausbreitung und die schädlichen Aktionen verhindert werden.
Klar, dazu müsste man sich evtl. mit dem Produkt befassen. „setup.exe, weiter, ok“ wird da nicht genügen.

EWERKER hat geschrieben:
nnmdoc schrieb: Beispiel: „Nicht auf Anhänge in E-Mails von nicht vertrauenswürdigen Absendern klicken (oder am besten: gleich gar keine E-Mail verwenden)“.
Größtenteils sinnlos, da
a) die Infektionen auch über Websites erfolgen können und
b) die meisten Anwender eben denken werden, dass die E-Mail irgendwie plausibel ist. Oft kommt sie (scheinbar) ja gerade von einem bekannten Absender. Und wie üblich wird man vermutlich gerade dann in Eile sein, mit den Gedanken wo anders, und sich nicht in Ruhe mit dem Für und Wider der E-Mail befassen.

Wenn mann keine Mail an Praxiscomputern verwendet, wie soll man da versehentlich plausible Mails öffnen? Unlogisch.
Nicht unlogisch, sondern praxisbezogen. Viele müssen/wollen an geschäftlichen Computern nämlich auch geschäftliche E-Mails bearbeiten. Natürlich könnte man jetzt wieder in das Thema Insellösung etc einsteigen – aber die meisten Anwender wollen möglichst reibungslos arbeiten und so wie sie es gewohnt sind. Auch wird wohl kaum Jemand mal eben auf die Schnelle grundlegende Änderungen an der Umgebung oder dem Workflow durchführen.
EWERKER hat geschrieben: Der Teslacryptvirus wird fast ausschließlich per Mailanhang verteilt, natürlich gibt es weitere Gefahren. Aber warum relativieren Sie Schutzmaßnahmen als sinnlos?
Mal abgesehen davon, dass ich die von Ihnen genannten Maßnahmen bereits auflistete, keine Adminrechte zu haben ist auf jeden Fall richtig. Allerdings ist ja die größte Gefahr die Verschlüsselung aller Dokumente. Dies erreicht Teslacrypt auch mit Benutzerrechten.
[/quote]

Erstens geht es hier (auch) um Locky und ganz allgemein um Ransomware, die dann Dateien verschlüsselt.

Zweitens geht es bei den Admin-Rechten nicht darum, die Verschlüsselung zu verhindern (natürlich genügen da die Benutzerrechte), sondern, das Löschen der Schattenkopien zu verhindern.

Drittens ist es schlicht falsch, dass „die größte Gefahr die Verschlüsselung aller Dokumente“ ist, sondern, dass Sie diese nicht (ohne entsprechenden ggf finanziellen Aufwand) wiederherstellen können. Es ist kein großes Problem, wenn Dateien verschlüsselt wurden, wenn Sie diese einfach aus den Schattenkopien oder Backup wiederherstellen können. Das Zauberwort heißt Schadensminimierung.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Dringende Warnung an jede Arztpraxis

Beitrag von EXEWERKER »

Ich nehme das nicht persönlich, sondern ich finde ihre Ausführungen schlichtweg falsch und irreführend.

Aber ich habe keine Zeit und Lust jedesmal ihre sicherlich gut gemeinten Ratschläge zu widerlegen.

Ich werde hier auch nicht aktiv den Richtlinien der BÄK und des BSI widersprechen, deren Beachtung eine hohe Bedeutung beim Erhalt eines Versicherungsschutzes für verloren gegangene Daten etc. haben.

https://www.bsi-fuer-buerger.de/BSIFB/D ... mware.html
http://www.bundesaerztekammer.de/richtl ... tenschutz/

Lesen einfach mal selbst nach, ob es eine Option ist auf PC, die Personendaten speichern oder verarbeiten, E-Mails zu lesen oder deren Anhänge zu öffnen. Sie handeln also grob fahrlässig.
Sie empfehlen quasi, sich den Schädling potentiell auf den PC zu holen, dann aber den Schaden zu begrenzen, wobei die Dokumente der Patienten als eher unwichtig eingestuft werden. Weil man ja Schattenkopien hat, vielleicht. Toller Ratschlag.
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Dringende Warnung an jede Arztpraxis

Beitrag von nmndoc »

Statt auf konkrete Punkte einzugehen, ziehen Sie sich lieber auf "ich weiß dass ich recht hab“ zurück. Scheinbar haben Sie nicht nur keine Zeit und Lust, sachlich Argumente auszutauschen, sondern auch nicht, das wirklich zu lesen (und zu verstehen) was ich geschrieben habe. Letzteres ist auch Ihr gutes Recht, wäre aber zumindest hilfreich, bevor man es dann ablehnt oder kommentiert.

Ich zitiere Sie mal einfach selbst:
EWERKER hat geschrieben: „Der Teslacrypt 3 und der Locky Virus sind gerade ganz wild unterwegs“ bzw „In den vergangenen Tagen sind verschiedene Krankenhäuser in Nordrhein-Westfalen Ziel von massiven Cyberangriffen geworden.“ […] Hier kommen dann die o.g. Tipps […]Trotz aller technischer Schutzmaßnahmen gibt es jedoch keinen 100 prozentigen Schutz vor Angriffen durch kriminelle Schadsoftware.
Womit wir ja dann wohl wieder bei der Schadensbegrenzung wären.

Ich empfehle selbstverständlich auch nicht, irgendwelche Schutzmaßnahmen ausdrücklich nicht zu treffen, sondern weise darauf hin, welche im von Ihnen angesprochenen Fall (Tesla, Locky) mehr oder eben auch weniger/nicht helfen. Insofern sind auch die verlinkten Dokumente am Thema Ihres eigenen Beitrags vorbei.
Und wenn Sie davon ausgehen, dass Ihre Kunden eine Insellösung ohne Zugriff auf Patientendaten betreiben – wozu dann die Warnung?

Schön zu sehen auch wie praxisnah das BSI-Dokument gestaltet ist: Da wird doch ernsthaft empfohlen, das Lösegeld nicht zu bezahlen und statt dessen Anzeige zu erstatten (also die Daten abzuschreiben). Super Tipp wenn ggf. die Existenz dranhängt. Ist eben wie oben – theoretisch eine vorbildliche Idee – im konkreten Fall dann aber ggf. ungeeignet.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Dringende Warnung an jede Arztpraxis

Beitrag von EXEWERKER »

Schadenbegrenzung ist aber die letzte Ebene, weil es keinen 100% Schutz gibt. Präventivmaßnahmen sind eben nicht
wirkungslos
oder
sinnlos
.

Aber ich habe keine Zeit und Lust jedesmal ihre sicherlich gut gemeinten Ratschläge zu widerlegen. Noch immer nicht.

Es ist wie in Ihren anderen Posts. Sie wollen einfach nur das letzte Wort haben und auch irgend etwas schreiben. Hätten Sie den Post einfach so stehen lassen, wären wir genauso schlau und hätten etwas Lebenszeit eingespart.
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Dringende Warnung an jede Arztpraxis

Beitrag von nmndoc »

nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Dringende Warnung an jede Arztpraxis

Beitrag von nmndoc »

so schnell kann's gehen...

heise security schreibt am 22.06.16:
Bislang sah es so aus, als würde TeslaCrypt vor allem via E-Mail verteilt. [...] So konzentrierten sich viele zu ihrem Schutz auf den Mail-Eingang. Das könnte fatale Folgen haben; denn mittlerweile kann man sich den Erpressungs-Trojaner auch beim Surfen einfangen.

http://www.heise.de/security/meldung/In ... 14184.html
moose
Beiträge: 559
Registriert: Sonntag 29. November 2009, 19:42
14
Bedankt: 1 time

Re: Dringende Warnung an jede Arztpraxis

Beitrag von moose »

Das ist doch wirklich ganz schlimm, wo soll das denn noch enden.
Ich sags nur ungern, aber wer so was macht: Todesstrafe. Heimlicher Angriff ist unsportlich - Todesstarfe.
wiwi1304
Beiträge: 41
Registriert: Dienstag 3. Juli 2012, 14:21
11

Re: Dringende Warnung an jede Arztpraxis

Beitrag von wiwi1304 »

Hallo,

Artikel aus der Süddeutschen Zeitung vom 22.02.2016

Virus Locky legt Arztcomputer lahm

Schaden ca. 10.000 €

http://www.sueddeutsche.de/muenchen/sta ... -1.2875027


Grüße, wiwi
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Dringende Warnung an jede Arztpraxis

Beitrag von nmndoc »

wiwi1304 hat geschrieben:Hallo,

Artikel aus der Süddeutschen Zeitung vom 22.02.2016

Virus Locky legt Arztcomputer lahm

Schaden ca. 10.000 €

http://www.sueddeutsche.de/muenchen/sta ... -1.2875027


Grüße, wiwi
Danke für den Artikel ... nach spätestens den ersten beiden Sätzen weiß man zwar, dass er inhaltlich nichts taugt, aber immerhin hat er zu meiner Erheiterung beigetragen:
„regelrecht zerlegt“, „Cyber-Opfer“, „Cyber-Experten“ (der Autor war wohl auch einer).
Oder auch gut „…man verfüge [über] Spam-Filter mit Quarantäne“ – wow – und da sage noch einer im Gesundheitswesen arbeite man nicht mit modernster Technik ;-)

Wenn schon Jemand mit „Cyber…“ anfängt weiß man meist, dass da wenig Sinnvolles zu erwarten ist.
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 23 Gäste