lcer00
Goto Top

Ransomware bei CGM

Hallo,

CGM (Compugroup Medical) (Turbomed, Albis, Medistar, Kocobox ) ist offenbar von einem Ransomwareangriff betroffen.

Auf der Hompage heißt es: https://www.cgm.com/
Technische Störung — Update
Wir sind Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb und wird als sicher eingeschätzt, so dass unsere Kunden weiterarbeiten können. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat. Der Angriff hat die Verfügbarkeit einiger unserer internen Systeme wie E-Mail und Telefondienste beeinträchtigt. Dadurch ist die Verfügbarkeit unserer Dienste und Hotlines zurzeit reduziert, während wir unsere Systeme schrittweise wiederherstellen. Die Verfügbarkeit unserer Kundensysteme und die Integrität der Daten haben für uns weiterhin höchste Priorität. Wir überwachen weiterhin alle Systeme genau und arbeiten mit allen relevanten Behörden zusammen. Wir werden Sie über neue Entwicklungen auf dem Laufenden halten.

Zuletzt aktualisiert am 20. Dezember 2021 um 22:50 Uhr CET.

Ob jetzt alle Praxen mit CGM Systemen ein Problem haben oder nicht - darüber kann man nur mutmaßen. Zumindest die Updates, die zum Quartalswechsel noch erforderlich sind, dürften sich verzögern.

Installationsstatistik der KBV https://www.kbv.de/html/6989.php

Vermutlich muss man das als Einstimmung auf die Feiertage und den Jahreswechsel sehen.

Grüße

lcer

Content-ID: 1643572754

Url: https://administrator.de/knowledge/ransomware-bei-cgm-1643572754.html

Ausgedruckt am: 26.12.2024 um 10:12 Uhr

Mystery-at-min
Mystery-at-min 21.12.2021 um 10:11:32 Uhr
Goto Top
Die waren noch nie dafür berühmt, dass Sie auf Sicherheit setzen.

Lustig aber:

Wir sind Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb und wird als sicher eingeschätzt, so dass unsere Kunden weiterarbeiten können. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat.

Was nun, die überwiegender Mehrheit ist sicher, oder es gibt keine Anzeichen? Oder gewöhnt man sich dank Corona mittlerweile schon an den Widerspruch einer Aussage in sich? face-big-smile

Zum Thema: Setzen die auf Java?
chgorges
chgorges 21.12.2021 um 10:16:49 Uhr
Goto Top
Zitat von @Mystery-at-min:
Lustig aber:

Wir sind Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb und wird als sicher eingeschätzt, so dass unsere Kunden weiterarbeiten können. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat.

"eingeschätzt" -> Wie immer wird in der Kirche geglaubt, aber nicht in der IT
"keine Anzeichen" -> weil sich keine Praxis meldet, wenn es ein Problem gibt, oder doch nicht weiß, wo das eventuelle Problem herkommt, wenn eins existiert?

Was für ein Sauhaufen...
lcer00
lcer00 21.12.2021 um 10:38:22 Uhr
Goto Top
Zitat von @chgorges:

Zitat von @Mystery-at-min:
Lustig aber:

Wir sind Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb und wird als sicher eingeschätzt, so dass unsere Kunden weiterarbeiten können. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat.

"eingeschätzt" -> Wie immer wird in der Kirche geglaubt, aber nicht in der IT
"keine Anzeichen" -> weil sich keine Praxis meldet, wenn es ein Problem gibt, oder doch nicht weiß, wo das eventuelle Problem herkommt, wenn eins existiert?

Was für ein Sauhaufen...

zumal offenbar die auch die Hotline betroffen sein soll ....

face-smile

Grüße

lcer
E.T.imVOIPtelefonieren
E.T.imVOIPtelefonieren 21.12.2021 um 11:21:19 Uhr
Goto Top
Ich arbeite für eine Firma, welche Vertriebspartner von CGM ist und kann das nur bestätigen.

Meldung einer unserer Vertrieblerin: "Hatte heute telefonischen Kontakt per Handy mit der CGM - mit der Teamleitung vom Z1 Secondlevel und mit unserer Ansprechpartnerin für die Auftragsabwicklung - Online-Updates, Fernwartungen, Zugriff auf Kundendaten, mail-Zugang ist alles nicht möglich.
Für den allergrößten Notfall, wenn es wirklich brennt, kann ich telefonisch eine Lizenz erfragen. Bitte im Moment nicht unbedingt Spontan-Aufträge erstellen, wo CGM Lizenzen benötigt werden - vorab erst Rücksprache mit mir - ich muss dann erst klären, auf was die CGM Zugriff hat."

Der technische Secondlevel ist telefonisch erreichbar und kann auch Fernwartungen durchführen, jedoch nur stark eingeschränkt, da diverse Tools nicht zur Verfügung stehen.
E.T.imVOIPtelefonieren
E.T.imVOIPtelefonieren 21.12.2021 um 11:21:47 Uhr
Goto Top
Zum Thema: Setzen die auf Java?

Jo die setzen auf Java face-smile
Mystery-at-min
Mystery-at-min 21.12.2021 um 11:37:06 Uhr
Goto Top
Zitat von @E.T.imVOIPtelefonieren:

Zum Thema: Setzen die auf Java?

Jo die setzen auf Java face-smile

und sind auch nur die Gesundheitsdaten der halben (mehr?) Republik. Nett, jetzt noch per Online-Update reinpushen und wir wissen bald, was es heisst, wenn im Medizinsektor wirklich nichts mehr geht.
commodity
commodity 21.12.2021 aktualisiert um 13:00:40 Uhr
Goto Top
Habe gerade die Meldung von Albis reinbekommen.
u.a.:
Derzeit haben wir keinerlei Anhaltspunkte dafür, dass sich der Angriff auf Kundensysteme ausgewirkt hat.
und
Das für spätestens Dienstag, 21.12.2021 geplante Update CGM ALBIS 21.45.016, in dem die Anpassungen zur Behebung der Log4j-Sicherheitslücke enthalten sind, kann daher nicht wie geplant ausgeliefert werden.

Etwas in der Art war nachlog4j ja zu erwarten. Als die Lücke gemeldet wurde war mein erster Gedanke: Java = CGM, Reaktionsfähigkeit != CGM

Auch zum Verständnis von Sicherheit bei CGM muss man nichts mehr sagen. "Höchst aktuell" hat man in PraxisArchiv Version 5.0 gerade die Funktion einer regelmäßigen Aufforderung zur Passwortänderung eingeführt. Mehr als ein Jahr, nachdem sogar das verschnarchte gründliche BSI sein diesbezügliches Begehr endlich aufgegeben hatte.

Viele Grüße, commodity

P.S. Mein Mitgefühl gilt den Kollegen bei CGM, die das jetzt auf dem Gabentisch haben.
lcer00
lcer00 21.12.2021 um 13:14:38 Uhr
Goto Top
Hallo,
Zitat von @commodity:

Habe gerade die Meldung von Albis reinbekommen.
u.a.:
Derzeit haben wir keinerlei Anhaltspunkte dafür, dass sich der Angriff auf Kundensysteme ausgewirkt hat.
und
Das für spätestens Dienstag, 21.12.2021 geplante Update CGM ALBIS 21.45.016, in dem die Anpassungen zur Behebung der Log4j-Sicherheitslücke enthalten sind, kann daher nicht wie geplant ausgeliefert werden.

In der Vergangenheit hatte CGM-Turbomed immer mal mit Problemen auf der Update-Download-Seite zu kämpfen (Performanceprobleme?) und teilweise wurde dann der Download über alternative Server/Systeme bereitgestellt. Für irgendein Subsystem war sogar mal ein Mietserver bei Strato zuständig. Soll heißen, CGM ist durchaus grundsätzlich in der Lage, für alternative Updatedownloads zu sorgen. Das Die Update-Verteilung ausgesetzt ist, läßt daher nichts Gutes erahnen. Mindestens dürfte es so sein, dass eine Kompromittierung der Entwicklungssysteme nicht auszuschließen ist.

Grüße

lcer
lcer00
lcer00 21.12.2021 um 13:15:19 Uhr
Goto Top
keine-ahnung
keine-ahnung 21.12.2021 um 14:00:13 Uhr
Goto Top
@Mystery-at-min

sind auch nur die Gesundheitsdaten der halben (mehr?) Republik

Ich weiss nicht, ob die CGM überhaupt eine PVS im Wölkchen betreibt ... die Medatixx hatte (resp. hat immer noch) das gleiche Problem vor ein paar Wochen.

@E.T.imVOIPtelefonieren

Jo die setzen auf Java

Bei den Zahnis weiss ich das nicht, bei den Vertragsärzten läuft in jeder PVS Java mit Log4j, da das Teil Bestandteil des KV-Abrechnungsmoduls ist und dieses von der KBV stammt ... face-smile
lcer00
lcer00 21.12.2021 um 14:23:13 Uhr
Goto Top
Hallo,
Zitat von @keine-ahnung:

@Mystery-at-min

sind auch nur die Gesundheitsdaten der halben (mehr?) Republik

Ich weiss nicht, ob die CGM überhaupt eine PVS im Wölkchen betreibt ... die Medatixx hatte (resp. hat immer noch) das gleiche Problem vor ein paar Wochen.

@E.T.imVOIPtelefonieren

Jo die setzen auf Java

Bei den Zahnis weiss ich das nicht, bei den Vertragsärzten läuft in jeder PVS Java mit Log4j, da das Teil Bestandteil des KV-Abrechnungsmoduls ist und dieses von der KBV stammt ... face-smile
Das Prüfmodul alleine dürfte nicht das große Problem sein. Das wird nur selten ausgeführt, läuft nicht als Dienst. Man bräuchte schon eine zusätzliche Sicherheitslücke, um das manuell ausführen zu können. Lustig würd das trotzdem, momentan scheint es eine Vorschrift zu sein, dass die Prüfmodule der letzten 4 Quartale auf dem Praxisserver vorgehalten werden sollen.

Bei CGM Turbomed jedenfalls gibt es einige Add-Ons die ständig oder häufig laufen und java nutzen. Soweit ich das beurteilen kann, hat CGM nach der Übernahme von Turbomed, Medistar & co. unabhängig von der originalen Programmiersprache einheitliche Zusatzprogramme in Java entwickelt, die bei allen vertriebenen Marken/Produkten gleichermaßen eingesetzt werden. Zum Schluss kam CGM KIM hinzu ...

Grüße

lcer
haichen
haichen 21.12.2021 um 15:24:41 Uhr
Goto Top
Ich hatte bei einer Bewerbung dort auch SolarWinds gesehen. Aber da hatten sie wohl Glück.
cardisch
cardisch 21.12.2021 um 15:55:29 Uhr
Goto Top
OMG..
Muss gerade kotzen... Betreue eine Praxis mit Albis und CGM bekommt es NICHT hin, dass man OHNE lokale Adminrechte arbeitet.
Mystery-at-min
Mystery-at-min 21.12.2021 um 18:26:22 Uhr
Goto Top
Zitat von @cardisch:

OMG..
Muss gerade kotzen... Betreue eine Praxis mit Albis und CGM bekommt es NICHT hin, dass man OHNE lokale Adminrechte arbeitet.

Doch, aber man muss einiges beachten.
commodity
commodity 21.12.2021 aktualisiert um 19:28:51 Uhr
Goto Top
Doch, aber man muss einiges beachten.
Na, nach meinem Stand nicht wirklich. Kann man machen, für jedes Update muss aber ein Rechtewechsel statt finden. Und hinterher zurück. Wo ist das praktikabel? In der Ein-/d/-Butze vielleicht, mit technikaffinem Arzt.

Ich bearbeite den Software-Partner in Berlin seit mehr als 10 Jahren, dass das umzusetzen ist. Widerspricht ja (mittlerweile) sowohl der DSGVO als auch der IT-SRL. Letzter Mitteilungsstand 04/21:
Derzeit wird für die Aktualisierung und Installation am lokalen Client Administrationsrechte benötigt....
Für den laufenden Betrieb von ALBIS sind diese nicht notwendig.
Diesen Satz höre ich sinngemäß seit ich die Software kenne:
Wir beabsichtigen ... - Vermeidung Eingabe von lokalen Admin-Rechten - ... in ALBIS anzupassen.
Vor DSGVO / nach DSGVO, vor IT-SRL / nach IT-SRL. Was juckt es die CGM? Insofern vielleicht gar nicht so schlecht, dass sie sich mal mit dem Thema Sicherheit beschäftigen müssen. Vielleicht müssen sie gar ein Audit machen...

Wenn Sicherheit keine Rolle spielt (und der katastrophale Support auch nicht) kann man mit dem Programm meist aber recht ordentlich arbeiten.

Viele Grüße, commodity
cardisch
cardisch 21.12.2021 um 19:37:02 Uhr
Goto Top
Hi..
Speziell an mystery und commodity.
Wie sind denn eure Erfahrungen? Bei mir ist es so, dass JEDES Update locker 50 mal Administratorberechtigungen pro Update haben wollte. Und selbst dann war regelmäßig die Aussage:
Update ist nicht durchgelaufen, bitte noch einmal von vorne.
Wir haben zu dritt (!!) jedes mal ca 2-3 Stunden an dem Shit gesessen.
Vertriebler war natürlich vor Umstellung sicher, dass das alles OHNE lokale Adminrechte läuft. (Wechsel von Turbomed zu Albiswin).
Selbst auf zigfache Nachfrage (Probleme bestanden zu diesem Zeitpunkt locker 6 Monate) hieß es immer "Nein, man braucht keine Adminrechte".
Habe dann einer Schulungsmitarbeiterin die Pistole auf die Brust gesetzt, die bestätigte dann, dass das ohne nicht sauber updatebar ist.,
Wollte mal einen Test mit runas testen, vielleicht wird es Zeit.
Aber wenn ihr Tipps habt... Gerne her damit face-wink

Gruß,

Carsten
commodity
commodity 21.12.2021 um 23:36:13 Uhr
Goto Top
Zitat von @cardisch:
Vertriebler war natürlich vor Umstellung sicher, dass das alles OHNE lokale Adminrechte ...
Haha, gibt es tatsächlich noch schlimmere Dienstleister als hier in Berlin face-wink
Bei mir ist es so, dass JEDES Update locker 50 mal Administratorberechtigungen pro Update
Na, so darfst Du es auch nicht machen. Da wird man ja wahnsinnig. Vorher dem User Adminrechte geben, dann sollte* es relativ störungsfrei durchlaufen. Hinterher wieder wegnehmen.
(* Ich mache die Updates aber nicht. Das machen die Praxen selbst, ergo: Adminrechte forever!)

Viele Grüße, commodity
Dani
Dani 22.12.2021 um 00:43:21 Uhr
Goto Top
Moin,
Ob jetzt alle Praxen mit CGM Systemen ein Problem haben oder nicht - darüber kann man nur mutmaßen. Zumindest die Updates, die zum Quartalswechsel noch erforderlich sind, dürften sich verzögern.
Praxen sind das Eine. Das andere sind Krankenhäuser.

Wir haben am vergangenen Wochenende anfangen unsere Applikationen von denen zu aktualisieren und bis Mittwoch Abend abschließen wollen. Damit vor den Feiertage und Jahrenswechsel alle ruhig schlafen können. Daraus wird bzw. wurde nichts. Im Gegenteil... aus Sicherheitsgründen die VPN-Tunnels von CGM zu uns sofort deaktivert, bereits aktualisierte Server ausgeschaltet bzw. laufende Updates abgebrochen und die Datensicherung wiederhergestellt.

Mir tun meine Kollegen aus dem betroffenen Applikation Team leid. Sobald der Regelbetrieb bei CGM wiederhergestellt ist, die Updates validiert und freigeben sind, müssen die Aktualisierungen umgehend nachgeholt werden. Wenn's richtig doof läuft an den Feiertragen. face-sad

Vermutlich muss man das als Einstimmung auf die Feiertage und den Jahreswechsel sehen.
wie man es nimmt... Ist ja nicht so, dass bereits Log4Shell enormen Mehraufwand verursacht hat und auch in den nächsten Wochen viele auf Trapp halten wird. (In)direkt davon betroffen sind natürlich auch Anwendungen von CGM.


Gruß,
Dani
commodity
commodity 22.12.2021 um 08:18:11 Uhr
Goto Top
Zitat von @Dani:
ja, im Krankenhaus potenziert sich das dann mal. Großer Käse.
Wenn's richtig doof läuft an den Feiertragen.
Da wäre ich entspannt. Wer hat denn noch keine Erfahrung mit den organisatorischen Defiziten bei CGM? Ich kann mir nicht vorstellen, dass ein so organisiserter Betrieb binnen weniger Tage eine Ransomware-Attacke wegputzt. Das würde auch eher Zweifel nähren.

Hoffen wir das Beste, dass nichts auf die User, egal ob Praxis oder Krankenhaus übertragen wird und wir uns nicht im neuen Jahr mit dem selben Thema befassen dürfen.

Viele Grüße, commodity
Dani
Dani 22.12.2021 aktualisiert um 22:57:55 Uhr
Goto Top
Moin,
Wer hat denn noch keine Erfahrung mit den organisatorischen Defiziten bei CGM?
Ich, da es nicht in unser Aufgabengebiet fällt.

ch kann mir nicht vorstellen, dass ein so organisiserter Betrieb binnen weniger Tage eine Ransomware-Attacke wegputzt.
Viele Server und Applikationen (E-Mail, Download, VPN, etc.) sind nach Auskunft der Kollegen wohl wieder online. Auf der oben verlinkten Seite hat es zwar ein Update gegeben, aber informativ ist anders.

Hoffen wir das Beste, dass nichts auf die User, egal ob Praxis oder Krankenhaus übertragen wird und wir uns nicht im neuen Jahr mit dem selben Thema befassen dürfen.
Ich glaube da kommt noch was hinterher. So kurz den Feiertagen gehts um Schadenbegrenzung/Workarounds. Viele Unternehmen diese Woche schon im Urlaub-/Notbetriebs-Modus.


Gruß,
Dani
lcer00
lcer00 23.12.2021 um 08:42:04 Uhr
Goto Top
Hallo,

mal ein Link zu einem Artikel aus einem Apothekenportal. Ein Experte schätzt die Lage ein face-smile
https://www.apotheke-adhoc.de/nachrichten/detail/apothekenpraxis/cgm-nic ...

Grüße

lcer
Mystery-at-min
Mystery-at-min 23.12.2021 um 10:13:01 Uhr
Goto Top
Zitat von @lcer00:

Hallo,

mal ein Link zu einem Artikel aus einem Apothekenportal. Ein Experte schätzt die Lage ein face-smile
https://www.apotheke-adhoc.de/nachrichten/detail/apothekenpraxis/cgm-nic ...

Grüße

lcer

Am Ende sagt er auch nicht mehr, als wir oben. Der Artikel ist also im Prinzip ein Platzfüller.
commodity
commodity 23.12.2021 um 17:03:32 Uhr
Goto Top
Jo, ist halt "apotheke-adhoc" und nicht das SANS. Informiert das nicht IT-affine Volk. Ist doch ok.

Viele Grüße, commodity
keine-ahnung
keine-ahnung 24.12.2021 um 10:37:29 Uhr
Goto Top
@Dani

müssen die Aktualisierungen umgehend nachgeholt werden. Wenn's richtig doof läuft an den Feiertragen

Spassvogel ... die Ransomwaregeschichte bei der Medatixx lief am 03. November (sic!) - der Downloadbereich ist auch heute noch nicht wieder zugänglich ...
Mystery-at-min
Mystery-at-min 24.12.2021 um 11:36:01 Uhr
Goto Top
Zitat von @commodity:

Jo, ist halt "apotheke-adhoc" und nicht das SANS. Informiert das nicht IT-affine Volk. Ist doch ok.

Viele Grüße, commodity

Nein, ich halte es in jedem Fall für gefährlich, wenn man für jede Nischenmeldung "den Experten" zitiert. Mit der Aussage "nichts genaues weiss man nicht" hätte man auch ein Grundschulkind zitieren können.
E.T.imVOIPtelefonieren
E.T.imVOIPtelefonieren 30.12.2021 um 09:25:34 Uhr
Goto Top
Informationen zu aktuellen Lage — Update 29. Dezember 2021 um 14:30 Uhr CET
Nach einem kriminellen so genannten Ransomware-Angriff vor den Feiertagen sind wir mit der Behebung der Störungen erheblich fortgeschritten.

Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb. Wir erhöhen weiterhin die Verfügbarkeit unseres Kundensupports. Unsere Backup-Infrastruktur läuft erfolgreich.

Unsere Teams haben intensiv gearbeitet und haben wesentliche Komponenten, die von dem Angriff betroffen waren, wiederhergestellt. Damit folgen wir weiterhin unseren Plänen zur Business Continuity. Wir planen, Updates für all unsere Produkte pünktlich auszuliefern.

Die Integrität der Daten und die Verfügbarkeit unserer Kundensysteme haben für uns höchste Priorität. Wir überwachen weiterhin alle Systeme genau und arbeiten auf das Engste mit allen relevanten öffentlichen Stellen zusammen, welche von Anfang an vollständig über den Angriff informiert sind. Wir haben Strafanzeige erstattet. Wie in solchen Fällen üblich, können wir nicht ausschließen, dass Daten kompromittiert wurden.

Wir entschuldigen uns für alle durch diese Attacke entstandenen Unannehmlichkeiten.

Wir sind zuversichtlich, dass wir stärker aus dieser Situation hervorgehen und freuen uns auf die Zusammenarbeit 2022.
E.T.imVOIPtelefonieren
E.T.imVOIPtelefonieren 30.12.2021 um 16:41:00 Uhr
Goto Top
Aktuelles Mailing an die CGM Kunden!

Sehr geehrte Frau Dr. X,

wir sind zu Beginn der letzten Woche Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Nach diesem kriminellen Angriff sind wir mit der Behebung der Störungen weit fortgeschritten und stellen sukzessive die Betriebsfähigkeit basierend auf unseren Planungen wieder her.

Um Ihre Daten bestmöglich zu schützen, fordern wir Sie dringend auf, Zugangspasswörter zum Netzwerk (WLAN, LAN, Praxisnetzwerk, Router, etc.) für Ihre Zahnarztpraxis aus Sicherheitsgründen umgehend zu ändern. Detaillierte Anleitungen zur Änderung der Passwörter und weitere Sicherheitsmaßnahmen finden Sie unter www.cgm.com/anleitungen. Diese Informationen werden regelmäßig aktualisiert.

Hierbei empfehlen wir Ihnen die Nutzung sicherer Passwörter. Bitte orientieren Sie sich bei der Erstellung eines neun Passwortes an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik. Diese haben wir Ihnen nachfolgend verlinkt.


Empfehlungen des BSI: „Sichere Passwörter erstellen“


Bitte kontaktieren Sie bei weiteren Fragen zur Passwortänderung Ihren IT-Administrator bzw. -Dienstleister vor Ort.
Die Integrität der Daten und die Verfügbarkeit unserer Kundensysteme haben für uns höchste Priorität. Wir überwachen weiterhin alle Systeme genau und arbeiten mit allen relevanten Behörden zusammen.

Ihr Team der CGM Dentalsysteme
lcer00
lcer00 30.12.2021 um 18:49:25 Uhr
Goto Top
Hallo,

kam auch per Fax bei uns. Gruselig. Welche Sicherheitsrisiken bestehen für meinen Router, wenn die Ransomware nur CGMs Telefon betraf und erfolgreich bekämpft wurde?

Grüße

lcer
commodity
commodity 31.12.2021 um 12:41:12 Uhr
Goto Top
Interessant, Danke. Habe ich bislang noch nicht bekommen. Kann ich mich ja schon auf Anrufe nach Neujahr einstellen face-wink

Welche Sicherheitsrisiken bestehen für meinen Router
ich denke, keine. Oder es wird etwas Relevantes verschwiegen. Werden wir bald merken.

Aber CGM weiß ja, wie ihre Servicepartner die Systeme einrichten. Es gibt für so ziemlich alles Standardpasswörter/-Schemata, die Praxisübergreifend verwendet werden (macht den Support eben leichter) und für die es vielleicht im zentralen Datenbestand Listen/Empfehlungen gab. D.h. diese (ohnehin untauglichen) Passwörter sind nun (endgültig) kompromittiert.

Spannend in dem Zusammenhang ist vielleicht, dass bei den Servicepartnern ja oft auch die (Reserve-)Masterpasswörter der TI-Konnektoren liegen, die ebenfalls sehr wahrscheinlich einheitlich sind. Jedenfalls wollte ein CGM-Dienstleister mir dieses partout nicht rausrücken als eine Praxis ihr spezifisches mal nicht gefunden hatte... Da die Servicepartner aber nicht direkt gehackt wurden, hier auch nicht so relevant, es sei denn, auch diese beruhen auf zentralen Schemata.

Viele Grüße, commodity
GramPositiv
GramPositiv 31.12.2021 um 14:46:31 Uhr
Goto Top
Zitat von @lcer00:
Das Die Update-Verteilung ausgesetzt ist, läßt daher nichts Gutes erahnen. Mindestens dürfte es so sein, dass eine Kompromittierung der Entwicklungssysteme nicht auszuschließen ist.

Grüße

lcer



Das bereitet mir ja großes Kopfweh. Keiner kann derzeit garantieren, dass CGM nicht unwissentlich kompromittierte Updates ausgeliefert hat und sich irgendwer grad entspannt in meinen Systemen umschaut und demnächst mal drauf los verschlüsselt. Aus Sicht der Angreifer wäre es einfach nur logisch, nicht nur ein Lösegeld vom "Marktführer" zu erpressen, sondern parallel einen Lieferkettenangriff auf alle Kunden zu fahren...
chgorges
chgorges 01.01.2022 um 18:24:18 Uhr
Goto Top
Die Updateserver von Medistar und Movistar sind btw. immer noch down...
keine-ahnung
keine-ahnung 01.01.2022 um 19:19:45 Uhr
Goto Top
@GramPositiv

und sich irgendwer grad entspannt in meinen Systemen umschaut

Soll ich mich wieder diskonnektieren? Aber im Ernst, dass passt vom zeitlichen Ablauf nicht. Bei der medatixx war das ja nicht anders, die waren auch recht aufgeregt die Passwörter betreffend. Auf meine Nachfrage per iMehl haben die noch nicht geantwortet, telefonisch ist der support im Wesentlichen nicht mehr zu erreichen. Aber woher sollen die meine Passwörter kennen? Die medatixx hat sogar empfohlen, die OS-PW zu ändern. Ich habe den Drösel seingelassen.

@commodity

dass bei den Servicepartnern ja oft auch die (Reserve-)Masterpasswörter der TI-Konnektoren liegen

Ich habe gerade mal auf meinen Secunet-Konnektor geschaut - da ist nur ein user angelegt, also icke. Gibt es da einen bypass, von dem ich nichts weiss?

LG, Thomas
commodity
commodity 03.01.2022 um 11:48:46 Uhr
Goto Top
Zitat von @keine-ahnung:
Ich habe gerade mal auf meinen Secunet-Konnektor geschaut - da ist nur ein user angelegt, also icke. Gibt es da einen bypass, von dem ich nichts weiss?

Gesundes Neues!
Nein, wenn kein weiterer User im Konnektor steht, ist da auch keiner. Secunet klingt aber auch nicht nach CGM. Hier in Berlin kenne ich Praxen (TurboMed und Albis), die einen zweiten Admin-User eingerichtet haben, deren PW nur der Servicepartner hat.

Viele Grüße, commodity
GramPositiv
GramPositiv 03.01.2022 aktualisiert um 17:40:27 Uhr
Goto Top
Zitat von @commodity: die einen zweiten Admin-User eingerichtet haben, deren PW nur der Servicepartner hat.


Ist bei den KoCoBoxen hier auch so, da haben diese Konten sogar Super-Admin-Status. Denen habe ich vorerst ein paar Rechte entzogen...

Weiß zufälligerweise schon jemand, welche Ransomware bei CGM "ausgerollt" wurde?
commodity
commodity 03.01.2022 aktualisiert um 23:31:55 Uhr
Goto Top
Zitat von @GramPositiv:
Ist bei den KoCoBoxen hier auch so, da haben diese Konten sogar Super-Admin-Status. Denen habe ich vorerst ein paar Rechte entzogen...
Das ist ihr "Rettungszugang" falls der Anwender seinen verbaselt.
Weiß zufälligerweise schon jemand, welche Ransomware bei CGM "ausgerollt" wurde?
Kollege Born ist wie immer bestens informiert. Dort heißt es: "Lockbit"
https://www.borncity.com/blog/2021/12/20/cyberangriffe-auf-compugroup-me ...

Viele Grüße, commodity
GramPositiv
GramPositiv 06.01.2022 um 12:50:05 Uhr
Goto Top
Ach Gott, den Artikel hatte ich sogar schon gelesen aber da wars für mein Hirn schon etwas zu spät in der Nacht...

Danke!
lcer00
lcer00 13.05.2022 um 11:15:40 Uhr
Goto Top
Hallo,

kleines Update: https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/cgm-cyber-atta ...

... davon 3 Millionen Euro für "Externe Aufwendungen" - klingt, als wäre es da recht brenzlig gewesen face-smile


Grüße

lcer
commodity
commodity 13.05.2022 um 18:44:22 Uhr
Goto Top
"Um solche Sicherheitslücken zu vermeiden, werden sowohl in der Softwareentwicklung als auch -pflege hohe Anforderungen an das Qualitätsmanagement gestellt.“

face-big-smile Man lacht ja gern!
Das Qualitätsmanagement bei CGM funktioniert in der Entwicklung vorzüglich..., wie wir derzeit mal wieder jeden Tag beim Modul eAU erleben...

Translate: Wir stellen gaaanz "hohe Anforderungen", erfüllen sie aber natürlich nicht.

Viele Grüße, commodity