"Erpressersoftware"

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
mmoellinger
Beiträge: 91
Registriert: Mittwoch 31. August 2005, 20:30
18
Wohnort: Bayern

"Erpressersoftware"

Beitrag von mmoellinger »

Hallo,
Hat nicht unbedingt direkt mit Turbomed zu tun, aber da ich vom (neuen) Vertriebspartner das Angebot zum Check meiner IT-Infrastruktur bekommen. In der vorletzetn CT (10/2017) gab es zwei interessantante Artikel zum Thema "Software Restriction Policies" um damit das Einnisten, bzw. Ausführen von Verschlüsselungs- bzw. "fremder" Software generell zu verhindern.

https://www.heise.de/ct/artikel/Restric ... 90890.html
https://www.heise.de/ct/ausgabe/2017-10 ... 91950.html
https://www.heise.de/ct/artikel/SrpWatc ... 85673.html

CT liefert auch ein Programm (restrictor), das entsprechende Regeln direkt in die Registry schreibt. In einer virtuellen Maschine habe ich mal angefangen, damit rum zuspielen, da sich Turbomed aber nicht an die üblichen Installationspfade hält und diverse verschiedene Exe aufruft, ist die Anpassung relativ umfangreich (sinnvollerweise sollte man die Verzeichnisse im restrictor sperren und nur die Exefiles per Hashwert freigeben <-> bei jedem Update neu(?!?)). Der Ansatz erscheint mir, auch wenn im zugehörigen Forum (https://www.administrator.de/wissen/res ... 36506.html) über weiter bestehende Lücken diskutiert wird, zumindestens mal ein Weg, unsere System etwas mehr zu härten...
Gedankenanstoß für regnerische Tage.
Gruß
mölli
Benutzeravatar
Nobbie
Beiträge: 1647
Registriert: Samstag 27. Juli 2013, 11:42
10
Bedankt: 1 time

Re: "Erpressersoftware"

Beitrag von Nobbie »

Hallo,
interessanter Beitrag. Wie ich das eben nachgelesen habe, ist so was bei Win7pro und Server2012 bereits von MS bereigestellt. Wobei das eher etwas für IT- Experten zu sein scheint.
Gruß Nobbie
Gruß Nobbie

Ich werde keine frühe Turbomed - Downloadversion installieren
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: "Erpressersoftware"

Beitrag von nmndoc »

mmoellinger hat geschrieben:Hallo,
Hat nicht unbedingt direkt mit Turbomed zu tun, aber da ich vom (neuen) Vertriebspartner das Angebot zum Check meiner IT-Infrastruktur bekommen.
:-) bei CGM/TM hatte ich neulich - war es evtl. bei den Installationshinweisen (?) - einen ähnlichen Hinweis gesehen - so "Ihr TM-Partner bietet Ihnen einen Check Ihrer IT an ..." - evtl. gibts da gerade eine ... ähm ... Kooperation.
mmoellinger hat geschrieben: In der vorletzetn CT (10/2017) gab es zwei interessantante Artikel zum Thema "Software Restriction Policies" um damit das Einnisten, bzw. Ausführen von Verschlüsselungs- bzw. "fremder" Software generell zu verhindern.
Bin ja schon recht lange im Bereich IT-Security unterwegs ... Applikationskontrolle (also whitelist/blacklist für Anwendungen) gibt es eigentlich schon recht lange und *kann* die Sicherheit tatsächlich deutlich verbessern - vorausgesetzt sie wird richtig umgesetzt. Wie jede Lösung die relativ stark ins Systemeingreift kann sie natürlich auch zusätzliche Probleme und Aufwand bringen. Gerade der letzte Punkt ist etwas - wo sich die div. Lösungen und Ansätze unterscheiden - d.h. wie einfach kann ich mein System absichern, ohne dass das Ganze zum Fulltime-Job wird - gerade z.B. auch wenn nicht alle meine Systeme 100% identisch sind (zB die Installierte Software/Versionen).

Fazit: Eigentlich ein komplexes Thema (s.u.) - muss aber, wenn man es richtig angeht, nicht zu kompliziert sein und kann die Sicherheit deutlich verbessern.
Selbstverständlich ist es aber auch hier - wie bei jedem IT-Security-Thema es auch möglich, noch tiefer einzutauchen - und dann wird man feststellen, dass es hier auch Fälle/Situationen gibt, wo man mit. o.g. Lösung nicht oder nur mit deutlich mehr Aufwand glücklich wird. Aber u.U. wird man hier auch einfach mit diesem Restrisiko leben wollen/müssen und sich mit der erreichten 90%igen Verbesserung begnügen.

Falls Interesse an dem Thema besteht kann ich mich noch gerne dazu auslassen. Wäre aver evtl. unter "Computer > Allgemein" besser
Benutzeravatar
Nobbie
Beiträge: 1647
Registriert: Samstag 27. Juli 2013, 11:42
10
Bedankt: 1 time

Re: "Erpressersoftware"

Beitrag von Nobbie »

Hallo,
so wie ich das verstanden habe, fängt man sich doch die "Erpressersoftware" durch emails oder "suspekte" Downloads, ist das so richtig? Oder dringt sowas aktiv in Rechner z.B. über eine Sicherheitslücke?

Gruß Nobbie
Gruß Nobbie

Ich werde keine frühe Turbomed - Downloadversion installieren
McLeod
Beiträge: 412
Registriert: Samstag 25. Februar 2012, 15:04
12
Bedankt: 13 times

Re: "Erpressersoftware"

Beitrag von McLeod »

Nobbie hat geschrieben:Hallo,
so wie ich das verstanden habe, fängt man sich doch die "Erpressersoftware" durch emails oder "suspekte" Downloads, ist das so richtig? Oder dringt sowas aktiv in Rechner z.B. über eine Sicherheitslücke?
Bei der WannaCry-Geschichte war es eine Kombination aus beidem:
- initiale Infektion durch Anhang/Download
- danach Infektion weiterer Rechner im Netzwerk durch Sicherheitslücke im SMB-Protokoll, falls auf diesen nicht das seit März verfügbare enstprechende Sicherheitsupdate installiert war
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: "Erpressersoftware"

Beitrag von nmndoc »

übrigens gibt es o.g. Patch auf für Windows XP ...

Was die Infektion angeht: Scheibar (vorwiegend?) per Mail - aber das sagt ja nicht viel aus. Was auf dem Weg (Anhang) funktioniert, lässt sich auch oft anwenden, wenn ich zB nur einen Link in einer Mail habe. Oder z.B. über eingebettetes JavaScript in einer x-beliebigen (gehackten) Website. D.h. es macht auf jeden Fall sinn E-Mail-Anhänge restriktiv zu handhaben - man sollte sich aber nicht zu sehr drauf verlassen:
Bsp: Jemand schrieb neulich, dass er ein PDF bekommen hat, das beim Anzeigen dann Word gestartet hat (ggf. inkl. Macro).
turbotm
Beiträge: 480
Registriert: Montag 27. August 2012, 17:37
11
Hat sich bedankt: 2 times
Bedankt: 8 times

Re: "Erpressersoftware"

Beitrag von turbotm »

Ist nicht das beste und einfachste (und damit von mir zu verstehen und umzusetzen) Backup. Backup, Backup?
Gruß
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: "Erpressersoftware"

Beitrag von nmndoc »

turbotm hat geschrieben:Ist nicht das beste und einfachste (und damit von mir zu verstehen und umzusetzen) Backup. Backup, Backup?
Gruß
Sicher - und hier im Forum wurde schon hinreichend besprochen, worauf zu achten ist (z.B. Backup darf nicht im Zugriff des Trojaners sein).
Trotzdem kann (auch abhängig davon was/wie gesichert wird) der Aufwand, Arbeitsplätze und/oder Server frisch aufzusetzen auch nicht unerheblich sein.
Benutzeravatar
Nobbie
Beiträge: 1647
Registriert: Samstag 27. Juli 2013, 11:42
10
Bedankt: 1 time

Re: "Erpressersoftware"

Beitrag von Nobbie »

Hallo,
wir rufen emails über eine VM ab auf der Linux läuft. Speichern der mails ist verboden, nur drucken und ggf. dann scannen ist erlaubt. Ich denke das bietet einigen Schutz.
Gruß Nobbie
Gruß Nobbie

Ich werde keine frühe Turbomed - Downloadversion installieren
Kasimir
PowerUser
Beiträge: 1618
Registriert: Mittwoch 11. Mai 2005, 20:23
18
Wohnort: Land Brandenburg
Hat sich bedankt: 3 times
Bedankt: 23 times

Re: "Erpressersoftware"

Beitrag von Kasimir »

Mein Praxisnetz ist gar nicht mit dem Internet verbunden - und das werde ich auch in nächster Zukunft nicht ändern.
Viele Grüße
Kasimir
Benutzeravatar
RAMöller
Beiträge: 1311
Registriert: Montag 4. Januar 2010, 20:42
14
Hat sich bedankt: 3 times
Bedankt: 13 times

Re: "Erpressersoftware"

Beitrag von RAMöller »

Kasimir hat geschrieben:Mein Praxisnetz ist gar nicht mit dem Internet verbunden - und das werde ich auch in nächster Zukunft nicht ändern.
Keine CD's, keine Sicherheits-Updates? Keine Labor Dfü? Alle usb Anschlüsse abgeschaltet? Virusschutz ohne Updates?
Geht das heute überhaupt noch?
Es muss nur 1 Person das Iphone am USB Anschluss laden....
Kasimir
PowerUser
Beiträge: 1618
Registriert: Mittwoch 11. Mai 2005, 20:23
18
Wohnort: Land Brandenburg
Hat sich bedankt: 3 times
Bedankt: 23 times

Re: "Erpressersoftware"

Beitrag von Kasimir »

Ja, Keine CD's. Handys werden nur an der Steckdose geladen, E-Mails nur zu Haus abgerufen. Die Abrechnung und die DMP-Übermittlung wird ebenfalls nicht von der Praxis aus übertragen.
Na ja, wir sind nur eine kleine Praxis, familiengeführt, keine familienfremden Mitarbeiter.
Viele Grüße
Kasimir
Benutzeravatar
RAMöller
Beiträge: 1311
Registriert: Montag 4. Januar 2010, 20:42
14
Hat sich bedankt: 3 times
Bedankt: 13 times

Re: "Erpressersoftware"

Beitrag von RAMöller »

Kasimir hat geschrieben:Ja, Keine CD's. Handys werden nur an der Steckdose geladen, E-Mails nur zu Haus abgerufen. Die Abrechnung und die DMP-Übermittlung wird ebenfalls nicht von der Praxis aus übertragen..
Dann bleibt noch der PC-System selber als Risikofaktor. Die Software/Treiber müssen bei Neukauf von irgendwo her bezogen werden.
Ohne Sicherheitsupdates des Betriebssystemes kann man eigentlich nichts installieren b.z.w müsste ein neuer PC erstmal in Quarantäne.
Wie lange wartet ein Trojaner bis zum Angriff?
Kasimir
PowerUser
Beiträge: 1618
Registriert: Mittwoch 11. Mai 2005, 20:23
18
Wohnort: Land Brandenburg
Hat sich bedankt: 3 times
Bedankt: 23 times

Re: "Erpressersoftware"

Beitrag von Kasimir »

Die PC's samt Treiber usw. habe ich vom TM-Vertragspartner (aus Potsdam), mit dessen Service und Kompetenz ich seit vielen Jahre sehr zufrieden bin. Da vertraue ich auch darauf, dass ich schadsoftwarefreie Produkte bekomme.
Und ein Konnektor, wie er uns angedroht wird, kommt mir, so lange es zu verantworten ist, auch nicht in die Praxis. :D
Viele Grüße
Kasimir
Benutzeravatar
RAMöller
Beiträge: 1311
Registriert: Montag 4. Januar 2010, 20:42
14
Hat sich bedankt: 3 times
Bedankt: 13 times

Re: "Erpressersoftware"

Beitrag von RAMöller »

Kasimir hat geschrieben: Und ein Konnektor, wie er uns angedroht wird, kommt mir, so lange es zu verantworten ist, auch nicht in die Praxis. :D
Wenn mich nicht alles täuscht wird die Infrastruktur von CGM vorbereitet und mitgestaltet

Ob wir wirklich davonkommen hamte ich für sehr unwahrscheinlich

Mein Tipp: CGM Aktien kaufen :-)

http://e-health-com.de/details-news/kei ... 94fa0e606/
Kasimir
PowerUser
Beiträge: 1618
Registriert: Mittwoch 11. Mai 2005, 20:23
18
Wohnort: Land Brandenburg
Hat sich bedankt: 3 times
Bedankt: 23 times

Re: "Erpressersoftware"

Beitrag von Kasimir »

Ich werbe dann mit "konnektorfreier und nicht hackbarer Praxis", bei der das Karteneinlesen noch so schnell geht wie früher.
Viele Grüße
Kasimir
Benutzeravatar
RAMöller
Beiträge: 1311
Registriert: Montag 4. Januar 2010, 20:42
14
Hat sich bedankt: 3 times
Bedankt: 13 times

Re: "Erpressersoftware"

Beitrag von RAMöller »

Kasimir hat geschrieben:Ich werbe dann mit "konnektorfreier und nicht hackbarer Praxis", bei der das Karteneinlesen noch so schnell geht wie früher.
Mal sehen welche wirtschaftlichen Druckmittel als Daumenschrauben eingesetzt werden. Scheinbar off-topic (Thema Erpressersoftware), und dann wieder nicht, angesichts des Zwangs zum freiwilligen Anschlusses.
Benutzeravatar
Nobbie
Beiträge: 1647
Registriert: Samstag 27. Juli 2013, 11:42
10
Bedankt: 1 time

Re: "Erpressersoftware"

Beitrag von Nobbie »

Also in unserer Praxis (Unfallchirurgie) ist eine Internetanbindung zwingend notwendig, z.B. wegen des Versenden der BG-Berichte über DaleUV. Auch der Labordatenabruf benötigt Internet. Ich halte das auch für die Updates für erfoderlich und zwingend notwendig. Das Betriebssystem nicht auf dem aktuellen Stand zu halten, halte ich für gefährlich. Der Zugriff auf das Internet ist bei uns nur vom Büro aus möglich (außer für MS-Updates). Die Übrigen PC´s haben keinen Browser, auch der Aufruf über TM ist gelöscht. Bei entsprechender Sorgfalt sollte m.E. nach nichts passieren. Und emails rufen wir wie gesagt über eine VM mit LINUX ab.
Seit Jahren sind wir ohne Viren und Maleware (laut Virenscanner und der üblichen Antimaleware-Software).

Gruß Nobbie
Gruß Nobbie

Ich werde keine frühe Turbomed - Downloadversion installieren
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: "Erpressersoftware"

Beitrag von danspie »

Auch ich sehe eine Praxis-EDV ohne Internet-Zugang als Rückzugsgefecht an, wir vor 15 Jahren eine Praxis ohne EDV. Aber es ist auch klar, dass es Geld kostet, die EDV abzusichern. Aus meiner Sicht kommt selbst ein EDV-affiner Kollege kaum an externer Hilfestellung bei diesem Thema vorbei.
Wir haben einen Proxy, der sehr restriktiv eingestellt ist, so dass nur handverlesene Server kontaktiert werden können. Updates werden über einen Update-Server verteilt. Gerade auch die ganzen Geräte, die heutzutage ständig Verbindungen ins Internet aufzubauen versuchen - das geht gar nicht! Software wie Browser müssen ebenfalls besser gesichert werden (Stichwort Java) - hier einfach mit einigen Klicks herunterladen birgt erhebliche Risken - die Einstellungen kosten aber erhebliche Resourcen an Zeit/Geld.
Nebenbemerkung: derzeit diskutieren wir praxisintern wegen dem in Bayern eingeführten Tele-Arzt. Die dafür offenen Ports und die Rechte einer externen Firma am Proxy vorbei auf das Innerste unseres Praxisnetztes ohne Kontrolle durch den Proxy machen uns erhebliche Bauchschmerzen - nur als wichtiges Detail zur Forcierung des Telearztes!
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: "Erpressersoftware"

Beitrag von nmndoc »

danspie hat geschrieben:Auch ich sehe eine Praxis-EDV ohne Internet-Zugang als Rückzugsgefecht an, wir vor 15 Jahren eine Praxis ohne EDV. Aber es ist auch klar, dass es Geld kostet, die EDV abzusichern. Aus meiner Sicht kommt selbst ein EDV-affiner Kollege kaum an externer Hilfestellung bei diesem Thema vorbei.
Wir haben einen Proxy, der sehr restriktiv eingestellt ist, so dass nur handverlesene Server kontaktiert werden können. Updates werden über einen Update-Server verteilt. Gerade auch die ganzen Geräte, die heutzutage ständig Verbindungen ins Internet aufzubauen versuchen - das geht gar nicht! Software wie Browser müssen ebenfalls besser gesichert werden (Stichwort Java) - hier einfach mit einigen Klicks herunterladen birgt erhebliche Risken - die Einstellungen kosten aber erhebliche Resourcen an Zeit/Geld.
Nebenbemerkung: derzeit diskutieren wir praxisintern wegen dem in Bayern eingeführten Tele-Arzt. Die dafür offenen Ports und die Rechte einer externen Firma am Proxy vorbei auf das Innerste unseres Praxisnetztes ohne Kontrolle durch den Proxy machen uns erhebliche Bauchschmerzen - nur als wichtiges Detail zur Forcierung des Telearztes!
Praxis komplett ohne Internet wird vermutl. künftig wenn überhaupt, nur noch in Ausnahnefällen möglich sein, da das Bestreben von Seiten KV/Politik/Wirtschaft (genau in dieser Kombination) in die Gegenteilige Richtung zielt.
Die Frage ist eher, ob man Alles an o.g. Stellen aus der Hand gibt ("neben Sie unser Full-Service-rundum-sorglos-Paket") und dafür auch keinen Einblick mehr hat, oder versucht (ggf. mit externer Hilfe) so weit wie Möglich noch alles unter eigener Kontrolle zu halten.

Zu o.g. Beispiel: klingt ja schon mal gut. DNS geht aber vermutl. direkt raus? Restriktiver Proxy kann evtl. ein Problem sein, wenn Content-Netzwerke + co verwendet werden - also zB Turbomed oder Anbieter xy Content über Akamai , cloudflare etc anbietet.
Je nach Lösung kann man auch Dinge wie z.B. Web (http/https) erlaubt, wenn Windows Update, aber z.B. nicht Facebook games etc. regeln - d.h. also z.B. auch das an sich erlaubte "Surfen" auf Ebenene des Inhalts regeln.
Java im Browser fällt ohnehin bald weg bzw. ist schon - JavaScript sehe ich mit als Hauptproblem, da man es oft nicht pauschal weglassen kann/will (Flash zB kann man i.d. Regel weglassen / sollte es).

Tele-Arzt: Hab jetzt nicht nachgelesen was/wie genau die Lösung macht. Reine Software (die ggf. auf jeden Client muss) oder eine Box im Netz? Letztere könnte man z.B. per Firewall in eine eigene Zone (zB DMZ) verbannen, so dass z.B. zwar die nötige Kommunikation "intern/LAN > Box" und "Box > Internet" möglich ist, aber nicht "Internet > Box > LAN".
Antworten

Wer ist online?

Mitglieder in diesem Forum: Frankolas, Google [Bot] und 45 Gäste