News, Tipps und Ticks aus der IT-Welt by CSLonz

Chronik eines Totalverlusts - wie ein Zahnarzt (beinahe) alles verlor

Geschrieben von Redaktion CSLonz | 01.05.2024 07:12:28

Unser Geschäftsführer Emanuel hatte im Februar einen Beitrag gemeinsam mit der Zeitschrift Zahnmedizinische Mitteilungen geschrieben. Dieser Artikel liegt sehr wahrscheinlich bei vielen Ärzten in der Republik auf dem Schreibtisch und ist im Kopf mit dem Vermerk "da müssen wir uns unbedingt melden" abgelegt. Wie der Zufall es will, hat Computersysteme Lonz kürzlich einen umfangreichen Artikel über "IT-Sicherheit in Zahnarztpraxen" veröffentlicht und sich zur Untermauerung der Thesen einiger Fälle gehackter Zahnarztpraxen bedient. 

Nun haben wir einen solchen Vorfall wieder einmal hautnah erlebt und begleitet, denn CS Lonz wurde als Ersthelfer zu einer gehackten Zahnarztpraxis gerufen. Wie konnte es so weit kommen?

Was soll schon schiefgehen, wenn man das Thema "IT-Sicherheit" auf die lange Bank schiebt und sich hoffnungsvoll auf seine bestehenden, vermeintlich bewährten Sicherungspraktiken verlässt? 

Was soll schon schiefgehen, wenn diese Praktiken von Anfang an unzureichend gewesen sind- und das in Zeiten enorm gestiegener Risiken durch Cyberangriffe, auch auf mittlere und kleine Unternehmen?

Eine Zahnarztpraxis musste nun leider  kürzlich am eigenen Leib erfahren, was alles schiefgehen kann.

Und wenn es schiefgeht, dann meist richtig. 

Eine Chronik:

15.04.2024 - 8:14 Uhr:
Irgendwo in NRW klickt ein Mitarbeiter einer Zahnarztpraxis auf einen Anhang einer E-Mail.
Eine Bewerbung - in Zeiten von Fachkräftemangel natürlich ein Segen - also schnell öffnen.
Doch die E-Mail öffnet sich nicht. Nun gut, ab in den Papierkorb damit. 

15.04.2024 - 9:10 Uhr:
Was der Mitarbeiter nicht weiß: mit seinem Klick auf den Anhang der E-Mail öffnet sich das Tor für einen Trojaner, der nun über das Wochenende seine Arbeit verrichtet und den noch von Freitag am PC steckenden Sicherungs-USB-Stick infiziert.

15.04.2024 - 9:50 Uhr:
Der Trojaner hat nun auch die restlichen Praxis-PCs infiziert und wartet auf die passende Gelegenheit, sämtliche Daten zu verschlüsseln.

15.04.2024 - 16:46 Uhr: 
Der Trojaner hat alle Infos, die er braucht und wartet nun ab, bis der nächste USB-Stick angeschlossen wird. Laut ausgelesener Backup-Software wird hier täglich eine Sicherung gemacht, es stehen keine Wochen- oder Monatssicherungen an. 

15.04.2024 - 21:20 Uhr: 
Der Montags-Stick wird verschlüsselt. 

16.04.2024 - 19.04.2024:
Alle erstellten Stick-Sicherungen sind verschlüsselt worden. Das Trojaner-Programm weiß mittlerweile, dass eine USB-Festplatte dauerhaft als zweite Sicherung am infizierten PC hängt. 

22.04.2024 - 8:02 Uhr:
Der erste verschlüsselte Trojaner wird wieder angesteckt. Damit weiß der Trojaner, dass nun keinerlei Backups mehr vorhanden sind - bis auf die Festplatte. 

22.04.2024 - 22:30 Uhr:
Der Trojaner beginnt damit, alle Daten auf dem Server zu verschlüsseln. Geschützt ist der PC mit G Data. Dieses Programm wird jedoch vor der Verschlüsselung einfach deinstalliert und der Schutz somit ausgehebelt. Im nächsten Schritt wird der Windows-Defender ausgeschaltet.
Die Verschlüsselung aller Praxis-Daten dauert dank der veralteten Technik knapp über 11 Stunden. Dies wird sich noch als Glücksfall erweisen.

23.04.2024 - 08:03 Uhr: 
Die Praxis ruft beim Hersteller der Praxis-Software an, und teilt mit, dass das Programm nicht lädt. Ein Techniker geht dem am frühen Mittag nach und bemerkt, dass das Programm überhaupt nicht mehr installiert ist. Zu diesem Zeitpunkt hätte der Mitarbeiter bereits ahnen können oder müssen, dass hier etwas grundsätzlich nicht stimmt. Eine geeignete Maßnahme wäre hier gewesen, den PC sofort vom Netzwerk zu isolieren und stromlos zu machen, um das Abziehen von Daten zu verhindern und den Prozess der Verschlüsselung zu unterbrechen. So viel Geistesgegenwart war in diesem Fall leider nicht gegeben. Und so wird die externe Festplatte weiter verschlüsselt...

23.04.2024 - 11:55 Uhr:
Die dauerhaft am PC angesteckte USB-Festplatte beginnt mit der Verschlüsselung. 

23.04.2024 - 13:02 Uhr:
Der Angriff auf die Praxis dauert nun hinter den Kulissen bereits etwas mehr als eine Woche an.
Die beiden Praxisinhaber entscheiden, dass unsere Firma ComputerSysteme Lonz angerufen werden soll - sie erinnerten sich an den Artikel in der ZM.
Wir raten noch während des Telefonates: sofort sämtliche Stecker ziehen und so die Geräte vom Stromnetzwerk trennen! Dann reden wir weiter.

Der Rest der Geschichte ist schnell erzählt.

Der Arzt baut die PCs ab, setzt sich ins Auto und fährt in Richtung Landau.
Unser Geschäftsführer Emanuel fährt ihm entgegen.
Sie treffen sich zur Übergabe der Technik.

Emanuel fährt zurück in die Firma, erstellt sich 1:1-Kopien aller Festplatten und lädt diese in unser Rechenzentrum für Cryptographie und ins Malware-Testcenter hoch.

Ergebnis: Ransomware-Trojaner. 

Der Server lief so lange, dass dort keinerlei Daten gerettet werden können, dies zeigt sich nach  ca. 11 Stunden rechnen.
Die gute Nachricht: Das drei Woche alte Backup auf der externen Festplatte ist nur zu 85% verschlüsselt - Netzstecker ziehen hat geholfen!

Es gelingt mittels sehr teurer Software, die Ransomwareverschlüsselung auf dem Acronis Backup-File zu decrypten (entschlüsseln) und nach mehr als 40 Stunden Rechenzeit ist klar:

Wir können zumindest auf den Stand Anfang April zurückkehren. Mit dem Programm und sehr viel Know-how unseres Geschäftsführers und zweier Kollegen aus Nürnberg, wurde dann tatsächlich sogar noch das Donnerstags-Backup entschlüsselt - das bedeutet: kein Datenverlust.
Erleichterung stellt sich langsam ein.

Nach vier Tagen und 100 Arbeitsstunden mit vier Mitarbeitern im Rettungseinsatz wird klar:

Jemand hat hier mächtig Glück gehabt, dass er nicht 20 Jahre Patientendaten verloren hat. Heute bekommt die Praxis einen neu eingerichteten Server nebst zweier Arbeitsstationen, die nun getrennt vom Server arbeiten. 

Und die Moral von der Geschicht?
An IT-Sicherheit spart man nicht.

Oder, wie wir immer wieder sagen:

IT Sicherheit kostet Geld.
Doch keine IT-Sicherheit kostet mehr Geld.

Die Kosten für den Hack belaufen sich auf einen ordentlichen fünfstelligen Betrag, für den man viele Jahre hätte Kunde bei einem auf IT-Sicherheit spezialisierten Unternehmen sein können.