Wenn man alle Apotheken in Deutschland zuverlässig informieren will, muss man trotz Digitalisierung immer noch das Faxgerät benutzen, lautet ein halb ernst gemeinter Scherz in der Apothekenbranche. Aktuell steckt darin eine ernste Gefahr. Auf der Sicherheitskonferenz Def Con 26 in Las Vegas wurde kürzlich eine Fax-Attacke (Faxploit) vorgestellt, die es in sich hat: Damit lassen sich in Apotheken sensible Patientendaten ausspähen – im Speicher des Netzwerkdruckers, aber auch im angekoppelten Computersystem.
Vorgestellt haben den fiktiven Hackerangriff über das Faxgerät Forscher der israelischen Sicherheitsfirma Check Point. Einschlägige Computermedien verbreiten seitdem Warnungen. Laut IT-Spezialist Marc-Andre Schneider geht es um Sicherheitslücken in Multifunktionsgeräten mit Faxfunktion. Nur Faxgeräte ohne Netzwerkintegration sind nicht betroffen. Die meisten Mutilfunktionsgeräte sind dagegen ins Netzwerk eingebunden und erfüllen die Funktionen als Drucker, Scanner, Kopiergerät sowie Fax in einem. Um diese Funktionen ordnungsgemäß auszuführen, sind diese in die örtliche IT-Infrastruktur integriert.
Normalerweise sind diese Geräte durch entsprechende Sicherheitspatches sowie die Firewallfunktion des Routers gut vor Angriffen von außerhalb geschützt. Bei der in Las Vegas vorgestellten Sicherheitslücke läuft der Angriff jedoch über die Telefonleitung mittels eines Faxes, in das ein Schadcode integriert ist. Der sogenannte Faxploit ermöglicht es, die im Netzwerk vorhandenen Computer anzusteuern. Der Multifunktionsdrucker steht dann unter der Kontrolle der Datendiebe – und verteilt Schadsoftware an andere Netzwerkgeräte.
„Da die im Netzwerk befindlichen Computer das Multifunktionsgerät natürlich nicht als Bedrohung identifizieren, dürften auch bekannte Sicherheitssoftwarelösungen an dieser Stelle versagen, so dass es ohne große Probleme möglich ist, sensible Kunden-/Patientendaten zu erbeuten und diese dann per ferngesteuertem Fax an ein Fax des Angreifers zu senden“, beschreibt Schneider die Gefahr. Möglich sei auch, dass gefaxte Rezepte aus dem Dokumentenspeicher des Gerätes ausgelesen und an den Angreifer gesendet werden können. Der Angriff auf Multifunktionsdrucker sei für Hacker „erschreckend einfach“ durchzuführen: „Unternehmen mit sensiblen Daten sollten dringend handeln.“
Check Point demonstrierte die Sicherheitslücke in Las Vegas vor allem auf HP-Geräten. Da alle Drucker aber ein einheitliches Faxprotokoll verwenden, ist die Wahrscheinlichkeit hoch, dass auch andere Geräte und sogar Online-fax2email-Lösungen betroffen sind. Schneider empfiehlt, sich mit den Herstellern von Multifunktionsgeräte in Verbindung zu setzen und zu fragen, ob die Geräte gegen die Angriffsmethoden mit den Identifikationsnummern CVE-2018-5924 und CVE-2018-5925 geschützt sind.
Der Angriff auf die Multifunktionsgeräte ist laut Experten deshalb besonders einfach, weil überholte Technologien, die nicht mehr im täglichen Gebrauch oder nur noch in bestimmten Branchen anzutreffen sind, nicht mehr im Fokus der Aufmerksamkeit stehen und weniger gut mit Sicherheitslösungen versorgt werden. Da der Angriff über die Telefonleitung erfolgt statt über den Router, war die Aufmerksamkeit in diesem Bereich besonders gering. In der Praxis ist zwar noch kein solcher Angriff bekannt geworden, allerdings ist nicht unwahrscheinlich, dass er gar nicht erkannt würde. Denn vermutlich würde diese Attacke nachts erfolgen.
Gewarnt wird aktuell auch vor einer neuen Variante sogenannter Erpresser-Emails: Diese Mail beinhaltet einen Teil der Mobilfunknummer der potenziellen Opfer und diese taucht bereits in der Betreffzeile auf. Im Text der Nachricht finden sich aktuelle Passwörter. Die Cyberkriminellen behaupten, dass sie das Smartphone mittels Schadsoftware infiziert haben. Bilder aus dem Smartphone und Kontakte von den sozialen Medien sollen sich die Angreifer angeblich heruntergeladen haben. Die Betroffenen sollen dafür bezahlen, dass die Daten nicht missbraucht werden. Vermutlich stammen die Daten aus einem Hackerangriff und werden im Darknet zum Kauf angeboten.
APOTHEKE ADHOC Debatte