Fragen? Antworten! Siehe auch: Alternativlos
Laut Bericht des NRW-Justizministers starb eine Patientin, die wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus nach Wuppertal gebracht werden musste.Das ist zu 100% Verantwortung der Uniklinik. Ransomware müsst ihr euch wie Schimmel an der Wand vorstellen. Wenn im Operationssaal Schimmel an der Wand ist, dann ist nicht der Schimmel der Täter, sondern der Zuständige, der das soweit runterkommen ließ, dass sich da Schimmel bilden konnte.
Grotesk, wie sie das jetzt auf die Ransomware zu schieben versuchen! Und nicht nur auf die Ransomware, auf jeden der nicht bei drei auf den Bäumen ist!
Die Sicherheitslücke, die die Hacker ausnutzten, habe sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware befunden, teilt die Uniklinik mit.Wenn ihr da den Bullshit zur Seite baggert, bleibt als Aussage übrig, dass WIR NICHT SCHULD SIND, denn die Software war MARKTÜBLICH, d.h. die anderen sind alle genau so scheiße aufgestellt wie wir.
Ich weiß ja nicht, wie es euch geht, aber in meiner Welt entschuldigt das gar nichts.
Aber wartet, geht noch weiter.
In dem Zeitfenster, das die Softwarefirma zum Schließen der Lücke benötigte, seien sie Täter in die Systeme eingedrungen.Wenn ihr hier den Bullshit beiseite baggert, bleibt die Lüge übrig, dass der Zulieferer für das Updaten von Software halt Zeit brauchte. Nein, brauchte er nicht. Das kann man alles komplett wegautomatisieren. Seit Jahren. Hätte die Uniklinik machen können, HAT SIE ABER NICHT. Daher: Was sie uns hier eigentlich sagen wollen, ist dass es nicht ihre Schuld ist, sondern der Zulieferer war zu langsam.
Die würden gerade ihre eigene Mutter beschuldigen, wenn es irgendwie ginge, um sich selbst aus der Schusslinie zu bringen. Ich fände es gut, wenn da mal ein paar Leute ihren Job verlieren. Wie wäre es, wenn ihr mal ein paar überflüssige Verwaltungsjobs wegmacht und mit dem Geld euren Keller entschimmelt?
Aber der größte Hammer an der Story ist in meinen Augen das hier:
die Täter hätten nach Kontakt zur Polizei die Erpressung zurückgezogenOh ach so?
Die IT-Experten haben mittlerweile den Zugang zu den Daten wiederherstellen können.Ja, äh, was für eine Ausrede bleibt euch denn dann noch, liebe Uniklinik?!
Könnt ihr mir nochmal erklären, wieso jetzt irgendjemand anderes als ihr für den Tod dieser Patientin die Verantwortung tragt?
Sagt mal, … gibt es da nicht persönliche Haftung für die Vorstände bei solchen Sachen? Mir war irgendwie so.
Update: Ein Vögelchen zwitschert mir gerade, dass das die Citrix-Lücke vom letzten Jahr war, über die die Ransomware reinkam. Ja, Shitrix. Das sollte strafrechtliche Konsequenzen haben, wenn jemandes Krankenhaus über ein halbes Jahr nach Bekanntwerden der Lücke und Verfügbarkeit von Patches über die Lücke angegriffen wird. Ab in den Knast mit den Zuständigen.
Update: Das BSI sagt auch, dass es Shitrix war.
Ein Sprecher der ZAC bestätigte, dass die Hacker eine Sicherheitslücke in einer Software genutzt hätten, die bei vielen Unternehmen genutzt werde. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich um ein Programm der Firma "Citrix". Eine seit Januar bekannte Schwachstelle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt.
Dann erzählen sie was von Fällen, bei denen Leute gehackt wurden, bevor Citrix Patches fertig hatte. Ich bin ja auch ein Freund davon, Citrix öffentlich mit Scheiße zu bewerfen für ihr Verhalten bei der Lücke, aber in diesem Fall kam die Ransomware offensichtlich deutlich viel später als es Patches gab. MONATE später. Ein fucking halbes Jahr später.
Ja aber Fefe, was wenn die Ransomware-Leute über eine Backdoor reinkamen, die sie sich installiert haben, bevor es einen Patch gab? Mal abgesehen davon, dass da mehr Konjunktiv als in einer CDU-Rede über ihre Visionen für die Zukunft ist: NA DANN HÄTTE MAN VIELLEICHT MAL NACH BACKDOORS GUCKEN MÜSSEN? Wenn man sich nicht sicher ist, vielleicht ein paar zentrale Infrastrukturkomponenten neu aufsetzen? Das ist alles kein Hexenwerk. Aber bei der Methode "Kopf in den Sand" hat man halt unbefriedigende Ergebnisse.
Update: ACH NEE, die Uniklinik hat ein Statement veröffentlicht. Ich fasse mal zusammen: Sie sagen, sie haben alle Patches noch am selben Tag installiert, und das danach von zwei externen Firmen prüfen lassen, ob die Lücke jetzt auch wirklich zu ist.
Dann wundere ich mich über die vorherige Aussage derselben Leute, dass die mit der Wartung beauftragte Firma noch nicht dazu gekommen war, das zu patchen. Was stimmt denn jetzt? War das jetzt gepatcht oder nicht? Und wenn es gepatcht war, wie sind die dann reingekommen?
Lasst mich mal kurz wild spekulieren. Sie haben irgendwelche Workarounds ausgerollt, die nicht gereicht haben (sich später als unzureichend herausstellende Workarounds gab es wirklich und dafür trifft die Schuld zu 100% Citrix). Dann haben sie turnusmäßig einen Pentest machen lassen. Da geht es häufig nicht um Security sondern um Compliance. Der Kunde will im Wesentlichen eine Checkbox vom Pentester angekreuzt haben, dass alles OK ist. Entsprechend gibt es da einige Marktteilnehmer, die dann auch nicht so genau hingucken, denn wenn man was findet, macht das ja dem Kunden bloß Ärger, den keiner gebrauchen kann. Ich spekuliere weiter: Dem Pentester haben sie dann auch nicht gesagt, wonach er gucken soll, und vielleicht sogar noch, dass sie ja bei Citrix den Workaround eingespielt haben. Das hätte bei einigen Pentest-Anbietern gereicht, und schon fällt das hinten runter. Oder so.
Könnte so gewesen sein. Würde die Faktenlage erklären. Und dann könnte den Pentester eine Teilschuld treffen. Insiderinformationen habe ich in dieser Angelegenheit keine, insofern werden wir das wohl nie ausfinden. Wenn es tatsächlich stimmt, dass die noch am selben Tag alle Patches eingespielt haben, dann stellt sich zwar immer noch die Frage, wieso sie keine Backdoors gesucht und gefunden haben, aber dann wäre meinem Gerechtigkeitsgefühl nach Citrix in der Haftung. Wird natürlich alles nie passieren. Weil wir uns alle in einem großen Müllhaufen aus überkomplexen Frickelsystemen bewegen, deren Kontrolle uns längst entglitten ist. Mehr als Best Practices geht da in der Praxis nicht, und wenn die tatsächlich Patches noch am selben Tag einspielen, dann sind sie (so schmerzhaft das ist!) dem Rest der Industrie an der Stelle sogar weit voraus. Übliche Einspiellatenzen sind eher so im Monatsbereich.