38
Ransomware bei CGM
Hallo,
CGM (Compugroup Medical) (Turbomed, Albis, Medistar, Kocobox ) ist offenbar von einem Ransomwareangriff betroffen.
Auf der Hompage heißt es: https://www.cgm.com/
Ob jetzt alle Praxen mit CGM Systemen ein Problem haben oder nicht - darüber kann man nur mutmaßen. Zumindest die Updates, die zum Quartalswechsel noch erforderlich sind, dürften sich verzögern.
Installationsstatistik der KBV https://www.kbv.de/html/6989.php
Vermutlich muss man das als Einstimmung auf die Feiertage und den Jahreswechsel sehen.
Grüße
lcer
CGM (Compugroup Medical) (Turbomed, Albis, Medistar, Kocobox ) ist offenbar von einem Ransomwareangriff betroffen.
Auf der Hompage heißt es: https://www.cgm.com/
Technische Störung — Update
Wir sind Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb und wird als sicher eingeschätzt, so dass unsere Kunden weiterarbeiten können. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat. Der Angriff hat die Verfügbarkeit einiger unserer internen Systeme wie E-Mail und Telefondienste beeinträchtigt. Dadurch ist die Verfügbarkeit unserer Dienste und Hotlines zurzeit reduziert, während wir unsere Systeme schrittweise wiederherstellen. Die Verfügbarkeit unserer Kundensysteme und die Integrität der Daten haben für uns weiterhin höchste Priorität. Wir überwachen weiterhin alle Systeme genau und arbeiten mit allen relevanten Behörden zusammen. Wir werden Sie über neue Entwicklungen auf dem Laufenden halten.
Zuletzt aktualisiert am 20. Dezember 2021 um 22:50 Uhr CET.Ob jetzt alle Praxen mit CGM Systemen ein Problem haben oder nicht - darüber kann man nur mutmaßen. Zumindest die Updates, die zum Quartalswechsel noch erforderlich sind, dürften sich verzögern.
Installationsstatistik der KBV https://www.kbv.de/html/6989.php
Vermutlich muss man das als Einstimmung auf die Feiertage und den Jahreswechsel sehen.
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1643572754
Url: https://administrator.de/contentid/1643572754
Printed on: April 26, 2024 at 02:04 o'clock
38 Comments
Latest comment
Die waren noch nie dafür berühmt, dass Sie auf Sicherheit setzen.
Lustig aber:
Was nun, die überwiegender Mehrheit ist sicher, oder es gibt keine Anzeichen? Oder gewöhnt man sich dank Corona mittlerweile schon an den Widerspruch einer Aussage in sich?
Zum Thema: Setzen die auf Java?
Lustig aber:
Wir sind Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb und wird als sicher eingeschätzt, so dass unsere Kunden weiterarbeiten können. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat.
Was nun, die überwiegender Mehrheit ist sicher, oder es gibt keine Anzeichen? Oder gewöhnt man sich dank Corona mittlerweile schon an den Widerspruch einer Aussage in sich?
Zum Thema: Setzen die auf Java?
Zitat von @Mystery-at-min:
Lustig aber:
Lustig aber:
Wir sind Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb und wird als sicher eingeschätzt, so dass unsere Kunden weiterarbeiten können. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat.
"eingeschätzt" -> Wie immer wird in der Kirche geglaubt, aber nicht in der IT
"keine Anzeichen" -> weil sich keine Praxis meldet, wenn es ein Problem gibt, oder doch nicht weiß, wo das eventuelle Problem herkommt, wenn eins existiert?
Was für ein Sauhaufen...
Zitat von @chgorges:
"eingeschätzt" -> Wie immer wird in der Kirche geglaubt, aber nicht in der IT
"keine Anzeichen" -> weil sich keine Praxis meldet, wenn es ein Problem gibt, oder doch nicht weiß, wo das eventuelle Problem herkommt, wenn eins existiert?
Was für ein Sauhaufen...
Zitat von @Mystery-at-min:
Lustig aber:
Lustig aber:
Wir sind Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb und wird als sicher eingeschätzt, so dass unsere Kunden weiterarbeiten können. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat.
"eingeschätzt" -> Wie immer wird in der Kirche geglaubt, aber nicht in der IT
"keine Anzeichen" -> weil sich keine Praxis meldet, wenn es ein Problem gibt, oder doch nicht weiß, wo das eventuelle Problem herkommt, wenn eins existiert?
Was für ein Sauhaufen...
zumal offenbar die auch die Hotline betroffen sein soll ....
Grüße
lcer
Ich arbeite für eine Firma, welche Vertriebspartner von CGM ist und kann das nur bestätigen.
Meldung einer unserer Vertrieblerin: "Hatte heute telefonischen Kontakt per Handy mit der CGM - mit der Teamleitung vom Z1 Secondlevel und mit unserer Ansprechpartnerin für die Auftragsabwicklung - Online-Updates, Fernwartungen, Zugriff auf Kundendaten, mail-Zugang ist alles nicht möglich.
Für den allergrößten Notfall, wenn es wirklich brennt, kann ich telefonisch eine Lizenz erfragen. Bitte im Moment nicht unbedingt Spontan-Aufträge erstellen, wo CGM Lizenzen benötigt werden - vorab erst Rücksprache mit mir - ich muss dann erst klären, auf was die CGM Zugriff hat."
Der technische Secondlevel ist telefonisch erreichbar und kann auch Fernwartungen durchführen, jedoch nur stark eingeschränkt, da diverse Tools nicht zur Verfügung stehen.
Meldung einer unserer Vertrieblerin: "Hatte heute telefonischen Kontakt per Handy mit der CGM - mit der Teamleitung vom Z1 Secondlevel und mit unserer Ansprechpartnerin für die Auftragsabwicklung - Online-Updates, Fernwartungen, Zugriff auf Kundendaten, mail-Zugang ist alles nicht möglich.
Für den allergrößten Notfall, wenn es wirklich brennt, kann ich telefonisch eine Lizenz erfragen. Bitte im Moment nicht unbedingt Spontan-Aufträge erstellen, wo CGM Lizenzen benötigt werden - vorab erst Rücksprache mit mir - ich muss dann erst klären, auf was die CGM Zugriff hat."
Der technische Secondlevel ist telefonisch erreichbar und kann auch Fernwartungen durchführen, jedoch nur stark eingeschränkt, da diverse Tools nicht zur Verfügung stehen.
Zum Thema: Setzen die auf Java?
Jo die setzen auf Java
und sind auch nur die Gesundheitsdaten der halben (mehr?) Republik. Nett, jetzt noch per Online-Update reinpushen und wir wissen bald, was es heisst, wenn im Medizinsektor wirklich nichts mehr geht.
Habe gerade die Meldung von Albis reinbekommen.
u.a.:
Etwas in der Art war nachlog4j ja zu erwarten. Als die Lücke gemeldet wurde war mein erster Gedanke: Java = CGM, Reaktionsfähigkeit != CGM
Auch zum Verständnis von Sicherheit bei CGM muss man nichts mehr sagen. "Höchst aktuell" hat man in PraxisArchiv Version 5.0 gerade die Funktion einer regelmäßigen Aufforderung zur Passwortänderung eingeführt. Mehr als ein Jahr, nachdem sogar dasverschnarchte gründliche BSI sein diesbezügliches Begehr endlich aufgegeben hatte.
Viele Grüße, commodity
P.S. Mein Mitgefühl gilt den Kollegen bei CGM, die das jetzt auf dem Gabentisch haben.
u.a.:
Derzeit haben wir keinerlei Anhaltspunkte dafür, dass sich der Angriff auf Kundensysteme ausgewirkt hat.
undDas für spätestens Dienstag, 21.12.2021 geplante Update CGM ALBIS 21.45.016, in dem die Anpassungen zur Behebung der Log4j-Sicherheitslücke enthalten sind, kann daher nicht wie geplant ausgeliefert werden.
Etwas in der Art war nachlog4j ja zu erwarten. Als die Lücke gemeldet wurde war mein erster Gedanke: Java = CGM, Reaktionsfähigkeit != CGM
Auch zum Verständnis von Sicherheit bei CGM muss man nichts mehr sagen. "Höchst aktuell" hat man in PraxisArchiv Version 5.0 gerade die Funktion einer regelmäßigen Aufforderung zur Passwortänderung eingeführt. Mehr als ein Jahr, nachdem sogar das
Viele Grüße, commodity
P.S. Mein Mitgefühl gilt den Kollegen bei CGM, die das jetzt auf dem Gabentisch haben.
Hallo,
In der Vergangenheit hatte CGM-Turbomed immer mal mit Problemen auf der Update-Download-Seite zu kämpfen (Performanceprobleme?) und teilweise wurde dann der Download über alternative Server/Systeme bereitgestellt. Für irgendein Subsystem war sogar mal ein Mietserver bei Strato zuständig. Soll heißen, CGM ist durchaus grundsätzlich in der Lage, für alternative Updatedownloads zu sorgen. Das Die Update-Verteilung ausgesetzt ist, läßt daher nichts Gutes erahnen. Mindestens dürfte es so sein, dass eine Kompromittierung der Entwicklungssysteme nicht auszuschließen ist.
Grüße
lcer
Zitat von @commodity:
Habe gerade die Meldung von Albis reinbekommen.
u.a.:
Habe gerade die Meldung von Albis reinbekommen.
u.a.:
Derzeit haben wir keinerlei Anhaltspunkte dafür, dass sich der Angriff auf Kundensysteme ausgewirkt hat.
undDas für spätestens Dienstag, 21.12.2021 geplante Update CGM ALBIS 21.45.016, in dem die Anpassungen zur Behebung der Log4j-Sicherheitslücke enthalten sind, kann daher nicht wie geplant ausgeliefert werden.
In der Vergangenheit hatte CGM-Turbomed immer mal mit Problemen auf der Update-Download-Seite zu kämpfen (Performanceprobleme?) und teilweise wurde dann der Download über alternative Server/Systeme bereitgestellt. Für irgendein Subsystem war sogar mal ein Mietserver bei Strato zuständig. Soll heißen, CGM ist durchaus grundsätzlich in der Lage, für alternative Updatedownloads zu sorgen. Das Die Update-Verteilung ausgesetzt ist, läßt daher nichts Gutes erahnen. Mindestens dürfte es so sein, dass eine Kompromittierung der Entwicklungssysteme nicht auszuschließen ist.
Grüße
lcer
... jetzt auch bei Heise: https://www.heise.de/news/Ransomware-Angriff-auf-Compugroup-Medical-6301 ...
@Mystery-at-min
Ich weiss nicht, ob die CGM überhaupt eine PVS im Wölkchen betreibt ... die Medatixx hatte (resp. hat immer noch) das gleiche Problem vor ein paar Wochen.
@E.T.imVOIPtelefonieren
Bei den Zahnis weiss ich das nicht, bei den Vertragsärzten läuft in jeder PVS Java mit Log4j, da das Teil Bestandteil des KV-Abrechnungsmoduls ist und dieses von der KBV stammt ...
sind auch nur die Gesundheitsdaten der halben (mehr?) Republik
Ich weiss nicht, ob die CGM überhaupt eine PVS im Wölkchen betreibt ... die Medatixx hatte (resp. hat immer noch) das gleiche Problem vor ein paar Wochen.
@E.T.imVOIPtelefonieren
Jo die setzen auf Java
Bei den Zahnis weiss ich das nicht, bei den Vertragsärzten läuft in jeder PVS Java mit Log4j, da das Teil Bestandteil des KV-Abrechnungsmoduls ist und dieses von der KBV stammt ...
Hallo,
Bei CGM Turbomed jedenfalls gibt es einige Add-Ons die ständig oder häufig laufen und java nutzen. Soweit ich das beurteilen kann, hat CGM nach der Übernahme von Turbomed, Medistar & co. unabhängig von der originalen Programmiersprache einheitliche Zusatzprogramme in Java entwickelt, die bei allen vertriebenen Marken/Produkten gleichermaßen eingesetzt werden. Zum Schluss kam CGM KIM hinzu ...
Grüße
lcer
Zitat von @keine-ahnung:
@Mystery-at-min
Ich weiss nicht, ob die CGM überhaupt eine PVS im Wölkchen betreibt ... die Medatixx hatte (resp. hat immer noch) das gleiche Problem vor ein paar Wochen.
@E.T.imVOIPtelefonieren
Bei den Zahnis weiss ich das nicht, bei den Vertragsärzten läuft in jeder PVS Java mit Log4j, da das Teil Bestandteil des KV-Abrechnungsmoduls ist und dieses von der KBV stammt ...
Das Prüfmodul alleine dürfte nicht das große Problem sein. Das wird nur selten ausgeführt, läuft nicht als Dienst. Man bräuchte schon eine zusätzliche Sicherheitslücke, um das manuell ausführen zu können. Lustig würd das trotzdem, momentan scheint es eine Vorschrift zu sein, dass die Prüfmodule der letzten 4 Quartale auf dem Praxisserver vorgehalten werden sollen.@Mystery-at-min
sind auch nur die Gesundheitsdaten der halben (mehr?) Republik
Ich weiss nicht, ob die CGM überhaupt eine PVS im Wölkchen betreibt ... die Medatixx hatte (resp. hat immer noch) das gleiche Problem vor ein paar Wochen.
@E.T.imVOIPtelefonieren
Jo die setzen auf Java
Bei den Zahnis weiss ich das nicht, bei den Vertragsärzten läuft in jeder PVS Java mit Log4j, da das Teil Bestandteil des KV-Abrechnungsmoduls ist und dieses von der KBV stammt ...
Bei CGM Turbomed jedenfalls gibt es einige Add-Ons die ständig oder häufig laufen und java nutzen. Soweit ich das beurteilen kann, hat CGM nach der Übernahme von Turbomed, Medistar & co. unabhängig von der originalen Programmiersprache einheitliche Zusatzprogramme in Java entwickelt, die bei allen vertriebenen Marken/Produkten gleichermaßen eingesetzt werden. Zum Schluss kam CGM KIM hinzu ...
Grüße
lcer
Ich hatte bei einer Bewerbung dort auch SolarWinds gesehen. Aber da hatten sie wohl Glück.
OMG..
Muss gerade kotzen... Betreue eine Praxis mit Albis und CGM bekommt es NICHT hin, dass man OHNE lokale Adminrechte arbeitet.
Muss gerade kotzen... Betreue eine Praxis mit Albis und CGM bekommt es NICHT hin, dass man OHNE lokale Adminrechte arbeitet.
Zitat von @cardisch:
OMG..
Muss gerade kotzen... Betreue eine Praxis mit Albis und CGM bekommt es NICHT hin, dass man OHNE lokale Adminrechte arbeitet.
OMG..
Muss gerade kotzen... Betreue eine Praxis mit Albis und CGM bekommt es NICHT hin, dass man OHNE lokale Adminrechte arbeitet.
Doch, aber man muss einiges beachten.
Doch, aber man muss einiges beachten.
Na, nach meinem Stand nicht wirklich. Kann man machen, für jedes Update muss aber ein Rechtewechsel statt finden. Und hinterher zurück. Wo ist das praktikabel? In der Ein-/d/-Butze vielleicht, mit technikaffinem Arzt.Ich bearbeite den Software-Partner in Berlin seit mehr als 10 Jahren, dass das umzusetzen ist. Widerspricht ja (mittlerweile) sowohl der DSGVO als auch der IT-SRL. Letzter Mitteilungsstand 04/21:
Derzeit wird für die Aktualisierung und Installation am lokalen Client Administrationsrechte benötigt....
Für den laufenden Betrieb von ALBIS sind diese nicht notwendig.
Diesen Satz höre ich sinngemäß seit ich die Software kenne:Für den laufenden Betrieb von ALBIS sind diese nicht notwendig.
Wir beabsichtigen ... - Vermeidung Eingabe von lokalen Admin-Rechten - ... in ALBIS anzupassen.
Vor DSGVO / nach DSGVO, vor IT-SRL / nach IT-SRL. Was juckt es die CGM? Insofern vielleicht gar nicht so schlecht, dass sie sich mal mit dem Thema Sicherheit beschäftigen müssen. Vielleicht müssen sie gar ein Audit machen...Wenn Sicherheit keine Rolle spielt (und der katastrophale Support auch nicht) kann man mit dem Programm meist aber recht ordentlich arbeiten.
Viele Grüße, commodity
Hi..
Speziell an mystery und commodity.
Wie sind denn eure Erfahrungen? Bei mir ist es so, dass JEDES Update locker 50 mal Administratorberechtigungen pro Update haben wollte. Und selbst dann war regelmäßig die Aussage:
Update ist nicht durchgelaufen, bitte noch einmal von vorne.
Wir haben zu dritt (!!) jedes mal ca 2-3 Stunden an dem Shit gesessen.
Vertriebler war natürlich vor Umstellung sicher, dass das alles OHNE lokale Adminrechte läuft. (Wechsel von Turbomed zu Albiswin).
Selbst auf zigfache Nachfrage (Probleme bestanden zu diesem Zeitpunkt locker 6 Monate) hieß es immer "Nein, man braucht keine Adminrechte".
Habe dann einer Schulungsmitarbeiterin die Pistole auf die Brust gesetzt, die bestätigte dann, dass das ohne nicht sauber updatebar ist.,
Wollte mal einen Test mit runas testen, vielleicht wird es Zeit.
Aber wenn ihr Tipps habt... Gerne her damit
Gruß,
Carsten
Speziell an mystery und commodity.
Wie sind denn eure Erfahrungen? Bei mir ist es so, dass JEDES Update locker 50 mal Administratorberechtigungen pro Update haben wollte. Und selbst dann war regelmäßig die Aussage:
Update ist nicht durchgelaufen, bitte noch einmal von vorne.
Wir haben zu dritt (!!) jedes mal ca 2-3 Stunden an dem Shit gesessen.
Vertriebler war natürlich vor Umstellung sicher, dass das alles OHNE lokale Adminrechte läuft. (Wechsel von Turbomed zu Albiswin).
Selbst auf zigfache Nachfrage (Probleme bestanden zu diesem Zeitpunkt locker 6 Monate) hieß es immer "Nein, man braucht keine Adminrechte".
Habe dann einer Schulungsmitarbeiterin die Pistole auf die Brust gesetzt, die bestätigte dann, dass das ohne nicht sauber updatebar ist.,
Wollte mal einen Test mit runas testen, vielleicht wird es Zeit.
Aber wenn ihr Tipps habt... Gerne her damit
Gruß,
Carsten
Zitat von @cardisch:
Vertriebler war natürlich vor Umstellung sicher, dass das alles OHNE lokale Adminrechte ...
Haha, gibt es tatsächlich noch schlimmere Dienstleister als hier in Berlin Vertriebler war natürlich vor Umstellung sicher, dass das alles OHNE lokale Adminrechte ...
Bei mir ist es so, dass JEDES Update locker 50 mal Administratorberechtigungen pro Update
Na, so darfst Du es auch nicht machen. Da wird man ja wahnsinnig. Vorher dem User Adminrechte geben, dann sollte* es relativ störungsfrei durchlaufen. Hinterher wieder wegnehmen.(* Ich mache die Updates aber nicht. Das machen die Praxen selbst, ergo: Adminrechte forever!)
Viele Grüße, commodity
Moin,
Wir haben am vergangenen Wochenende anfangen unsere Applikationen von denen zu aktualisieren und bis Mittwoch Abend abschließen wollen. Damit vor den Feiertage und Jahrenswechsel alle ruhig schlafen können. Daraus wird bzw. wurde nichts. Im Gegenteil... aus Sicherheitsgründen die VPN-Tunnels von CGM zu uns sofort deaktivert, bereits aktualisierte Server ausgeschaltet bzw. laufende Updates abgebrochen und die Datensicherung wiederhergestellt.
Mir tun meine Kollegen aus dem betroffenen Applikation Team leid. Sobald der Regelbetrieb bei CGM wiederhergestellt ist, die Updates validiert und freigeben sind, müssen die Aktualisierungen umgehend nachgeholt werden. Wenn's richtig doof läuft an den Feiertragen.
Gruß,
Dani
Ob jetzt alle Praxen mit CGM Systemen ein Problem haben oder nicht - darüber kann man nur mutmaßen. Zumindest die Updates, die zum Quartalswechsel noch erforderlich sind, dürften sich verzögern.
Praxen sind das Eine. Das andere sind Krankenhäuser.Wir haben am vergangenen Wochenende anfangen unsere Applikationen von denen zu aktualisieren und bis Mittwoch Abend abschließen wollen. Damit vor den Feiertage und Jahrenswechsel alle ruhig schlafen können. Daraus wird bzw. wurde nichts. Im Gegenteil... aus Sicherheitsgründen die VPN-Tunnels von CGM zu uns sofort deaktivert, bereits aktualisierte Server ausgeschaltet bzw. laufende Updates abgebrochen und die Datensicherung wiederhergestellt.
Mir tun meine Kollegen aus dem betroffenen Applikation Team leid. Sobald der Regelbetrieb bei CGM wiederhergestellt ist, die Updates validiert und freigeben sind, müssen die Aktualisierungen umgehend nachgeholt werden. Wenn's richtig doof läuft an den Feiertragen.
Vermutlich muss man das als Einstimmung auf die Feiertage und den Jahreswechsel sehen.
wie man es nimmt... Ist ja nicht so, dass bereits Log4Shell enormen Mehraufwand verursacht hat und auch in den nächsten Wochen viele auf Trapp halten wird. (In)direkt davon betroffen sind natürlich auch Anwendungen von CGM.Gruß,
Dani
Zitat von @Dani:
ja, im Krankenhaus potenziert sich das dann mal. Großer Käse.Wenn's richtig doof läuft an den Feiertragen.
Da wäre ich entspannt. Wer hat denn noch keine Erfahrung mit den organisatorischen Defiziten bei CGM? Ich kann mir nicht vorstellen, dass ein so organisiserter Betrieb binnen weniger Tage eine Ransomware-Attacke wegputzt. Das würde auch eher Zweifel nähren.Hoffen wir das Beste, dass nichts auf die User, egal ob Praxis oder Krankenhaus übertragen wird und wir uns nicht im neuen Jahr mit dem selben Thema befassen dürfen.
Viele Grüße, commodity
Moin,
Gruß,
Dani
Wer hat denn noch keine Erfahrung mit den organisatorischen Defiziten bei CGM?
Ich, da es nicht in unser Aufgabengebiet fällt.ch kann mir nicht vorstellen, dass ein so organisiserter Betrieb binnen weniger Tage eine Ransomware-Attacke wegputzt.
Viele Server und Applikationen (E-Mail, Download, VPN, etc.) sind nach Auskunft der Kollegen wohl wieder online. Auf der oben verlinkten Seite hat es zwar ein Update gegeben, aber informativ ist anders.Hoffen wir das Beste, dass nichts auf die User, egal ob Praxis oder Krankenhaus übertragen wird und wir uns nicht im neuen Jahr mit dem selben Thema befassen dürfen.
Ich glaube da kommt noch was hinterher. So kurz den Feiertagen gehts um Schadenbegrenzung/Workarounds. Viele Unternehmen diese Woche schon im Urlaub-/Notbetriebs-Modus.Gruß,
Dani
Hallo,
mal ein Link zu einem Artikel aus einem Apothekenportal. Ein Experte schätzt die Lage ein
https://www.apotheke-adhoc.de/nachrichten/detail/apothekenpraxis/cgm-nic ...
Grüße
lcer
mal ein Link zu einem Artikel aus einem Apothekenportal. Ein Experte schätzt die Lage ein
https://www.apotheke-adhoc.de/nachrichten/detail/apothekenpraxis/cgm-nic ...
Grüße
lcer
Zitat von @lcer00:
Hallo,
mal ein Link zu einem Artikel aus einem Apothekenportal. Ein Experte schätzt die Lage ein
https://www.apotheke-adhoc.de/nachrichten/detail/apothekenpraxis/cgm-nic ...
Grüße
lcer
Hallo,
mal ein Link zu einem Artikel aus einem Apothekenportal. Ein Experte schätzt die Lage ein
https://www.apotheke-adhoc.de/nachrichten/detail/apothekenpraxis/cgm-nic ...
Grüße
lcer
Am Ende sagt er auch nicht mehr, als wir oben. Der Artikel ist also im Prinzip ein Platzfüller.
Jo, ist halt "apotheke-adhoc" und nicht das SANS. Informiert das nicht IT-affine Volk. Ist doch ok.
Viele Grüße, commodity
Viele Grüße, commodity
@Dani
Spassvogel ... die Ransomwaregeschichte bei der Medatixx lief am 03. November (sic!) - der Downloadbereich ist auch heute noch nicht wieder zugänglich ...
müssen die Aktualisierungen umgehend nachgeholt werden. Wenn's richtig doof läuft an den Feiertragen
Spassvogel ... die Ransomwaregeschichte bei der Medatixx lief am 03. November (sic!) - der Downloadbereich ist auch heute noch nicht wieder zugänglich ...
Zitat von @commodity:
Jo, ist halt "apotheke-adhoc" und nicht das SANS. Informiert das nicht IT-affine Volk. Ist doch ok.
Viele Grüße, commodity
Jo, ist halt "apotheke-adhoc" und nicht das SANS. Informiert das nicht IT-affine Volk. Ist doch ok.
Viele Grüße, commodity
Nein, ich halte es in jedem Fall für gefährlich, wenn man für jede Nischenmeldung "den Experten" zitiert. Mit der Aussage "nichts genaues weiss man nicht" hätte man auch ein Grundschulkind zitieren können.
Informationen zu aktuellen Lage — Update 29. Dezember 2021 um 14:30 Uhr CET
Nach einem kriminellen so genannten Ransomware-Angriff vor den Feiertagen sind wir mit der Behebung der Störungen erheblich fortgeschritten.
Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb. Wir erhöhen weiterhin die Verfügbarkeit unseres Kundensupports. Unsere Backup-Infrastruktur läuft erfolgreich.
Unsere Teams haben intensiv gearbeitet und haben wesentliche Komponenten, die von dem Angriff betroffen waren, wiederhergestellt. Damit folgen wir weiterhin unseren Plänen zur Business Continuity. Wir planen, Updates für all unsere Produkte pünktlich auszuliefern.
Die Integrität der Daten und die Verfügbarkeit unserer Kundensysteme haben für uns höchste Priorität. Wir überwachen weiterhin alle Systeme genau und arbeiten auf das Engste mit allen relevanten öffentlichen Stellen zusammen, welche von Anfang an vollständig über den Angriff informiert sind. Wir haben Strafanzeige erstattet. Wie in solchen Fällen üblich, können wir nicht ausschließen, dass Daten kompromittiert wurden.
Wir entschuldigen uns für alle durch diese Attacke entstandenen Unannehmlichkeiten.
Wir sind zuversichtlich, dass wir stärker aus dieser Situation hervorgehen und freuen uns auf die Zusammenarbeit 2022.
Nach einem kriminellen so genannten Ransomware-Angriff vor den Feiertagen sind wir mit der Behebung der Störungen erheblich fortgeschritten.
Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb. Wir erhöhen weiterhin die Verfügbarkeit unseres Kundensupports. Unsere Backup-Infrastruktur läuft erfolgreich.
Unsere Teams haben intensiv gearbeitet und haben wesentliche Komponenten, die von dem Angriff betroffen waren, wiederhergestellt. Damit folgen wir weiterhin unseren Plänen zur Business Continuity. Wir planen, Updates für all unsere Produkte pünktlich auszuliefern.
Die Integrität der Daten und die Verfügbarkeit unserer Kundensysteme haben für uns höchste Priorität. Wir überwachen weiterhin alle Systeme genau und arbeiten auf das Engste mit allen relevanten öffentlichen Stellen zusammen, welche von Anfang an vollständig über den Angriff informiert sind. Wir haben Strafanzeige erstattet. Wie in solchen Fällen üblich, können wir nicht ausschließen, dass Daten kompromittiert wurden.
Wir entschuldigen uns für alle durch diese Attacke entstandenen Unannehmlichkeiten.
Wir sind zuversichtlich, dass wir stärker aus dieser Situation hervorgehen und freuen uns auf die Zusammenarbeit 2022.
Aktuelles Mailing an die CGM Kunden!
Sehr geehrte Frau Dr. X,
wir sind zu Beginn der letzten Woche Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Nach diesem kriminellen Angriff sind wir mit der Behebung der Störungen weit fortgeschritten und stellen sukzessive die Betriebsfähigkeit basierend auf unseren Planungen wieder her.
Um Ihre Daten bestmöglich zu schützen, fordern wir Sie dringend auf, Zugangspasswörter zum Netzwerk (WLAN, LAN, Praxisnetzwerk, Router, etc.) für Ihre Zahnarztpraxis aus Sicherheitsgründen umgehend zu ändern. Detaillierte Anleitungen zur Änderung der Passwörter und weitere Sicherheitsmaßnahmen finden Sie unter www.cgm.com/anleitungen. Diese Informationen werden regelmäßig aktualisiert.
Hierbei empfehlen wir Ihnen die Nutzung sicherer Passwörter. Bitte orientieren Sie sich bei der Erstellung eines neun Passwortes an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik. Diese haben wir Ihnen nachfolgend verlinkt.
Empfehlungen des BSI: „Sichere Passwörter erstellen“
Bitte kontaktieren Sie bei weiteren Fragen zur Passwortänderung Ihren IT-Administrator bzw. -Dienstleister vor Ort.
Die Integrität der Daten und die Verfügbarkeit unserer Kundensysteme haben für uns höchste Priorität. Wir überwachen weiterhin alle Systeme genau und arbeiten mit allen relevanten Behörden zusammen.
Ihr Team der CGM Dentalsysteme
Sehr geehrte Frau Dr. X,
wir sind zu Beginn der letzten Woche Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Nach diesem kriminellen Angriff sind wir mit der Behebung der Störungen weit fortgeschritten und stellen sukzessive die Betriebsfähigkeit basierend auf unseren Planungen wieder her.
Um Ihre Daten bestmöglich zu schützen, fordern wir Sie dringend auf, Zugangspasswörter zum Netzwerk (WLAN, LAN, Praxisnetzwerk, Router, etc.) für Ihre Zahnarztpraxis aus Sicherheitsgründen umgehend zu ändern. Detaillierte Anleitungen zur Änderung der Passwörter und weitere Sicherheitsmaßnahmen finden Sie unter www.cgm.com/anleitungen. Diese Informationen werden regelmäßig aktualisiert.
Hierbei empfehlen wir Ihnen die Nutzung sicherer Passwörter. Bitte orientieren Sie sich bei der Erstellung eines neun Passwortes an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik. Diese haben wir Ihnen nachfolgend verlinkt.
Empfehlungen des BSI: „Sichere Passwörter erstellen“
Bitte kontaktieren Sie bei weiteren Fragen zur Passwortänderung Ihren IT-Administrator bzw. -Dienstleister vor Ort.
Die Integrität der Daten und die Verfügbarkeit unserer Kundensysteme haben für uns höchste Priorität. Wir überwachen weiterhin alle Systeme genau und arbeiten mit allen relevanten Behörden zusammen.
Ihr Team der CGM Dentalsysteme
Hallo,
kam auch per Fax bei uns. Gruselig. Welche Sicherheitsrisiken bestehen für meinen Router, wenn die Ransomware nur CGMs Telefon betraf und erfolgreich bekämpft wurde?
Grüße
lcer
kam auch per Fax bei uns. Gruselig. Welche Sicherheitsrisiken bestehen für meinen Router, wenn die Ransomware nur CGMs Telefon betraf und erfolgreich bekämpft wurde?
Grüße
lcer
Interessant, Danke. Habe ich bislang noch nicht bekommen. Kann ich mich ja schon auf Anrufe nach Neujahr einstellen
Aber CGM weiß ja, wie ihre Servicepartner die Systeme einrichten. Es gibt für so ziemlich alles Standardpasswörter/-Schemata, die Praxisübergreifend verwendet werden (macht den Support eben leichter) und für die es vielleicht im zentralen Datenbestand Listen/Empfehlungen gab. D.h. diese (ohnehin untauglichen) Passwörter sind nun (endgültig) kompromittiert.
Spannend in dem Zusammenhang ist vielleicht, dass bei den Servicepartnern ja oft auch die (Reserve-)Masterpasswörter der TI-Konnektoren liegen, die ebenfalls sehr wahrscheinlich einheitlich sind. Jedenfalls wollte ein CGM-Dienstleister mir dieses partout nicht rausrücken als eine Praxis ihr spezifisches mal nicht gefunden hatte... Da die Servicepartner aber nicht direkt gehackt wurden, hier auch nicht so relevant, es sei denn, auch diese beruhen auf zentralen Schemata.
Viele Grüße, commodity
Welche Sicherheitsrisiken bestehen für meinen Router
ich denke, keine. Oder es wird etwas Relevantes verschwiegen. Werden wir bald merken.Aber CGM weiß ja, wie ihre Servicepartner die Systeme einrichten. Es gibt für so ziemlich alles Standardpasswörter/-Schemata, die Praxisübergreifend verwendet werden (macht den Support eben leichter) und für die es vielleicht im zentralen Datenbestand Listen/Empfehlungen gab. D.h. diese (ohnehin untauglichen) Passwörter sind nun (endgültig) kompromittiert.
Spannend in dem Zusammenhang ist vielleicht, dass bei den Servicepartnern ja oft auch die (Reserve-)Masterpasswörter der TI-Konnektoren liegen, die ebenfalls sehr wahrscheinlich einheitlich sind. Jedenfalls wollte ein CGM-Dienstleister mir dieses partout nicht rausrücken als eine Praxis ihr spezifisches mal nicht gefunden hatte... Da die Servicepartner aber nicht direkt gehackt wurden, hier auch nicht so relevant, es sei denn, auch diese beruhen auf zentralen Schemata.
Viele Grüße, commodity
Zitat von @lcer00:
Das Die Update-Verteilung ausgesetzt ist, läßt daher nichts Gutes erahnen. Mindestens dürfte es so sein, dass eine Kompromittierung der Entwicklungssysteme nicht auszuschließen ist.
Grüße
lcer
Das Die Update-Verteilung ausgesetzt ist, läßt daher nichts Gutes erahnen. Mindestens dürfte es so sein, dass eine Kompromittierung der Entwicklungssysteme nicht auszuschließen ist.
Grüße
lcer
Das bereitet mir ja großes Kopfweh. Keiner kann derzeit garantieren, dass CGM nicht unwissentlich kompromittierte Updates ausgeliefert hat und sich irgendwer grad entspannt in meinen Systemen umschaut und demnächst mal drauf los verschlüsselt. Aus Sicht der Angreifer wäre es einfach nur logisch, nicht nur ein Lösegeld vom "Marktführer" zu erpressen, sondern parallel einen Lieferkettenangriff auf alle Kunden zu fahren...
Die Updateserver von Medistar und Movistar sind btw. immer noch down...
@GramPositiv
Soll ich mich wieder diskonnektieren? Aber im Ernst, dass passt vom zeitlichen Ablauf nicht. Bei der medatixx war das ja nicht anders, die waren auch recht aufgeregt die Passwörter betreffend. Auf meine Nachfrage per iMehl haben die noch nicht geantwortet, telefonisch ist der support im Wesentlichen nicht mehr zu erreichen. Aber woher sollen die meine Passwörter kennen? Die medatixx hat sogar empfohlen, die OS-PW zu ändern. Ich habe den Drösel seingelassen.
@commodity
Ich habe gerade mal auf meinen Secunet-Konnektor geschaut - da ist nur ein user angelegt, also icke. Gibt es da einen bypass, von dem ich nichts weiss?
LG, Thomas
und sich irgendwer grad entspannt in meinen Systemen umschaut
Soll ich mich wieder diskonnektieren? Aber im Ernst, dass passt vom zeitlichen Ablauf nicht. Bei der medatixx war das ja nicht anders, die waren auch recht aufgeregt die Passwörter betreffend. Auf meine Nachfrage per iMehl haben die noch nicht geantwortet, telefonisch ist der support im Wesentlichen nicht mehr zu erreichen. Aber woher sollen die meine Passwörter kennen? Die medatixx hat sogar empfohlen, die OS-PW zu ändern. Ich habe den Drösel seingelassen.
@commodity
dass bei den Servicepartnern ja oft auch die (Reserve-)Masterpasswörter der TI-Konnektoren liegen
Ich habe gerade mal auf meinen Secunet-Konnektor geschaut - da ist nur ein user angelegt, also icke. Gibt es da einen bypass, von dem ich nichts weiss?
LG, Thomas
Zitat von @keine-ahnung:
Ich habe gerade mal auf meinen Secunet-Konnektor geschaut - da ist nur ein user angelegt, also icke. Gibt es da einen bypass, von dem ich nichts weiss?
Ich habe gerade mal auf meinen Secunet-Konnektor geschaut - da ist nur ein user angelegt, also icke. Gibt es da einen bypass, von dem ich nichts weiss?
Gesundes Neues!
Nein, wenn kein weiterer User im Konnektor steht, ist da auch keiner. Secunet klingt aber auch nicht nach CGM. Hier in Berlin kenne ich Praxen (TurboMed und Albis), die einen zweiten Admin-User eingerichtet haben, deren PW nur der Servicepartner hat.
Viele Grüße, commodity
Zitat von @commodity: die einen zweiten Admin-User eingerichtet haben, deren PW nur der Servicepartner hat.
Ist bei den KoCoBoxen hier auch so, da haben diese Konten sogar Super-Admin-Status. Denen habe ich vorerst ein paar Rechte entzogen...
Weiß zufälligerweise schon jemand, welche Ransomware bei CGM "ausgerollt" wurde?
Zitat von @GramPositiv:
Ist bei den KoCoBoxen hier auch so, da haben diese Konten sogar Super-Admin-Status. Denen habe ich vorerst ein paar Rechte entzogen...
Das ist ihr "Rettungszugang" falls der Anwender seinen verbaselt.Ist bei den KoCoBoxen hier auch so, da haben diese Konten sogar Super-Admin-Status. Denen habe ich vorerst ein paar Rechte entzogen...
Weiß zufälligerweise schon jemand, welche Ransomware bei CGM "ausgerollt" wurde?
Kollege Born ist wie immer bestens informiert. Dort heißt es: "Lockbit"https://www.borncity.com/blog/2021/12/20/cyberangriffe-auf-compugroup-me ...
Viele Grüße, commodity
Ach Gott, den Artikel hatte ich sogar schon gelesen aber da wars für mein Hirn schon etwas zu spät in der Nacht...
Danke!
Danke!
Hallo,
kleines Update: https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/cgm-cyber-atta ...
... davon 3 Millionen Euro für "Externe Aufwendungen" - klingt, als wäre es da recht brenzlig gewesen
Grüße
lcer
kleines Update: https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/cgm-cyber-atta ...
... davon 3 Millionen Euro für "Externe Aufwendungen" - klingt, als wäre es da recht brenzlig gewesen
Grüße
lcer
"Um solche Sicherheitslücken zu vermeiden, werden sowohl in der Softwareentwicklung als auch -pflege hohe Anforderungen an das Qualitätsmanagement gestellt.“
Man lacht ja gern!Das Qualitätsmanagement bei CGM funktioniert in der Entwicklung vorzüglich..., wie wir derzeit mal wieder jeden Tag beim Modul eAU erleben...
Translate: Wir stellen gaaanz "hohe Anforderungen", erfüllen sie aber natürlich nicht.
Viele Grüße, commodity
