Im vergangenen Jahr hat sich einiges getan bei Greenbone: Wir haben unser Portfolio um virtuelle Maschinen ergänzt und sind neue Distributionspartnerschaften eingegangen, die uns unter anderem Nord-Amerika erschließen. In diesem Rahmen haben wir auch unsere Teams deutlich ausgebaut und suchen weiterhin nach Verstärkung. Aktuell bereiten wir den Start unserer ersten Cloud-basierten Managed Service Plattform vor. Unternehmen können unsere Technologie nun – je nach Bedarf und Anforderungen – einsetzen, als Service, als virtuelle und als physische Appliance. Unser Ziel, das wir dabei stets vor Augen haben: Angreifern immer einen Schritt voraus sein und Unternehmen aller Größen mithilfe eines effektiven Resilience & Vulnerability Managements (RVM) widerstandsfähig gegen Cyber-Attacken machen.

Der heutige Stand der Technik heißt für Unternehmen, dass sie resilient gegen Cyber-Attacken sein müssen, also auch im Falle eines erfolgreichen Angriffs betriebsfähig bleiben. Betriebsunterbrechungen und Cyber-Attacken gehören heute zu den größten Geschäftsrisiken, die ein Betrieb handhaben muss. Ein effektives Resilience & Vulnerability Management hilft da grundlegend. Um Unternehmen widerstandsfähig zu machen, bietet unsere Technologie die Einstufung der Gefahren aber auch des Aufwandes zu deren Beseitigung. Zum einen wird dabei das gesamte Netzwerk eines Unternehmens kontinuierlich auf Schwachstellen und mögliche Angriffspunkte gescannt, zum anderen werden die digitalen Risiken für kritische Geschäftsprozessen und den dazugehörigen Assets visualisiert. Durch die hochgradige Automatisierung und maximale Scan-Tiefe und -Breite etablieren wir nachhaltige Widerstandsfähigkeit.
Über den Vorteil sind sich die Unternehmen einig. Unterschiedliche Meinung herrscht jedoch darüber wie die Technologie in die eigene IT-Umgebung integriert wird. Mit Recht, denn jedes Unternehmen bringt eigene Kompetenzen und Präferenzen mit und muss Richtlinien, oft Branchen-abhängig, erfüllen.

Ergänzt durch die neuen Cloud-basierten Dienste und zusammen mit unseren bekannten physischen und virtuellen Appliances bieten wir flexible Lösungsarchitekturen für unsere Kunden, immer passend zu den jeweiligen Anforderungen.

Auch unsere Verantwortung für die Community und für die digitale Gesellschaft nehmen wir weiterhin war. Als Corporate Citizen werden wir auch in Zukunft die eigene Technologie als transparente, offene Lösung bereitstellen. Gerade die kritischen Infrastrukturen werden auch weiterhin ein wichtiger Fokus unserer Sicherheitsforschung sein. Wir haben mit unseren Sicherheitsberichten im letzten Jahr Hunderten von Gesundheitseinrichtungen geholfen und so Millionen von Patientendaten geschützt. Diesen Weg wollen wir weiter gehen, um für unsere Kunden die digitale Welt immer sicherer zu machen.

Enorme Nachfrage: Vulnerability Management als Service und als virtuelle Anwendung

Seit vielen Wochen befinden wir uns schon in der Beta-Testphase für unsere neue Greenbone Managed Service Platform. Mit ihr stellen wir Kunden unsere bewährte Vulnerability-Management-Lösung ab April auch als Cloud-Service zur Verfügung, den sie gegen eine monatliche Gebühr nutzen können. Nicht zuletzt kleinere Betriebe wie etwa lokale Arztpraxen können so auch ohne Inhouse-Expertise einfach und schnell ihre Netzwerke schützen. Für globale Konzerne sind Managed Services eine interessante Option, um neue Standorte ohne großen Aufwand mit einem effektiven Schwachstellenmanagement auszustatten. Für die Entwicklung haben wir eigens ein zusätzliches Experten-Team gewinnen können, das mit viel Umsicht konfiguriert und – wie immer – ein besonderes Augenmerk auf einen sicheren Datenaustausch legt.
Seit Mitte 2019 sind unsere virtuellen Midrange-Appliances des Greenbone Security Manager verfügbar. Wir haben dadurch den Umsatzanteil virtueller Lösungen 2019 gegenüber 2018 beinahe verzehnfacht. Die größte Kontrolle über die Sicherheitsdaten hat man zwar weiterhin mit den physischen Appliances, jedoch ist das Vertrauen in Virtualisierungs-Lösungen mit deren fortgeschrittenen Entwicklung deutlich gewachsen. „Diese architekturübergreifende Flexibilität hilft unseren Kunden, gezielt und effizient die eigenen Anforderungen an eine Resilience & Vulnerability Management Lösung erfüllen zu können“, so Dr. Jan-Oliver Wagner, CEO Greenbone Networks.

Neue Distributoren unterstützen Wachstum international

Dass der Schritt hin zu Virtual Appliances logisch und richtig war, zeigt uns das enorme Kundeninteresse. Mit unseren virtuellen Maschinen haben wir sozusagen offene Türen eingerannt – die Nachfrage ist riesig. Um ihr gerecht zu werden, haben wir 2019 eine strategische Partnerschaft mit dem Value-Added Distributor (VAD) ADN geschlossen. Sie ergänzt unsere langjährige Zusammenarbeit mit Exclusive Networks, die als Distributoren auf physische Systeme spezialisiert sind. Im DACH-Raum sind wir jetzt also mit starken Distributionspartner sowohl für unsere physischen als auch unsere virtuellen Systeme aufgestellt.
Daneben expandieren wir auch immer weiter in den englischsprachigen Raum. Über unsere neu gewonnen Distributor InfoSec Industries mit Sitz in Florida habe wir einen Partner, der insbesondere den nordamerikanischen Markt adressiert aber auch Mittel- und Südamerika unterstützt.

Neue Kollegen und ein größeres Headquarter

Aufgrund der anhaltend hohen Nachfrage mussten wir natürlich auch personell nachlegen. So haben wir das Greenbone-Team im vergangenen Jahr um 21 neue Kollegen erweitert. Das kam vor allem der Entwicklung und unserem Professional Service zu gute. Mit Elmar Geese als Chief Operating Officer (COO) haben wir einen fähigen Kopf mit starkem unternehmerischen Background für uns gewonnen, der uns in den Bereichen Strategie, Prozessoptimierung und Controlling unterstützt.
Um das stark gewachsene Team auch räumlich unterzubringen, haben wir unser Osnabrücker Headquarter nochmal deutlich vergrößert.

Fazit: Cyber-Sicherheit der Kunden im Fokus und mehr Kunden im Fokus

Cyber-Angriffe können fatale Auswirkungen haben. Unser Anliegen ist es, Unternehmen aller Größen – von der lokalen Arztpraxis bis zum internationalen Konzern – ein effektives Schwachstellen-Management zur Verfügung zu stellen, das sich ohne viel Aufwand in Betrieb nehmen lässt. Die enorme internationale Nachfrage nach unseren virtuellen Maschinen und das – schon jetzt große – Interesse an unserer neuen Managed-Service-Plattform zeigt, dass wir auf dem richtigen Weg sind. Auch in Zukunft werden wir alles daran setzen, Angreifern immer eine Nasenlänge voraus zu sein.

Osnabrück, 27. Februar 2020 – Greenbone, Lösungsanbieter zur Schwachstellenanalyse von IT-Netzwerken, verstärkt mit Elmar Geese als Chief Operating Officer (COO) das Management. Geese ist seit Anfang 2020 bei Greenbone tätig und kümmert sich seitdem vor allem um Strategie, Prozessoptimierung und Controlling. Die Position wurde neu geschaffen, um das anhaltend starke Wachstum von Greenbone auch auf Management-Ebene weiter zu unterstützen.

Elmar Geese ist seit Anfang 2020 Teil des Management-Teams von Greenbone. Der Schwerpunkt seiner Tätigkeit liegt auf Strategie, Prozessoptimierung und Controlling. In seinem Schaffen will er den Mehrwert der Greenbone-Produkte für die Kunden noch wirksamer werden lassen. „Greenbone hat mit seinen Lösungen für intelligentes Schwachstellen-Management das Potenzial, sich von einem europäischen Marktführer zum internationalen Player zu entwickeln“, so Geese. „Die Sicherheit von Informationssystemen ist für Unternehmen und unsere moderne Gesellschaft elementar. Das zeigen die vielen Sicherheitsvorfälle, von denen wir mittlerweile täglich erfahren. Greenbone leistet einen entscheidenden Beitrag, unsere Welt sicherer zu machen. Ich freue mich darauf, mich hier entscheidend einbringen zu dürfen.“

Jan-Oliver Wagner, Greenbone Gründer und CEO, ergänzt: „Greenbone wächst kontinuierlich. Aktuell arbeiten wir daran, unsere Schwachstellen-Management-Lösung auch als Managed Service zur Verfügung zu stellen. Davon profitieren vor allem Unternehmen, die Inhouse nicht die personellen oder zeitlichen Kapazitäten für eine umfassende Schwachstellen-Analyse mit Hardware-Modulen haben. Mit Elmar Geese haben wir einen fähigen Kopf mit starkem unternehmerischen Background für uns gewonnen, der uns im Management unterstützt. Wir freuen uns sehr auf die Zusammenarbeit und sind zuversichtlich, dass wir mit ihm an Bord die Aufgaben, die ein schnelles Unternehmenswachstum mit sich bringt, mit Leichtigkeit bewältigen.“

Elmar Geese blickt auf eine langjährige Management-Erfahrung zurück. Er ist seit mehr als drei Jahrzehnten als Gründer, Manager und Berater im Bereich Informationstechnologie tätig. Zuletzt war er als CIO beim Berliner Gesundheits-Startup machtfit für deren SaaS-Plattform für betriebliches Gesundheitsmanagement verantwortlich. Dort hat er als Leiter der Produktentwicklung und -betriebs dazu beigetragen, Kunden wie die Bayer AG, die Deutsche Bahn, Lufthansa, Edeka und Lanxess dauerhaft für das Unternehmen zu gewinnen

Vier Monate nachdem der Bayerische Rundfunk und die US-Investigativplattform ProPublica über unsere Analyse zu ungeschützten PACS-Systemen berichtet haben, lohnt es sich, ein Resümee zu ziehen.

 

X-rax from 19th century, source WikiCommons

X-rax from 19th century, source WikiCommons

Old school: FAX

Dieser Blogpost ist kein neuer Bericht an sich  – trotzdem fokussiert er auf fast unbekannte Aspekte dieses Datenlecks und auf bemerkenswerte Dinge, die seit dem 17. September 2019 passiert sind.

In den letzten Tagen haben wir an über 40 Organisationen Faxe mit weiteren Responsible Disclosures geschickt (Fax habe ich schon Jahre nicht mehr genutzt), was hoffentlich hilft etwa 10 Millionen Studien und 460 Milllion Radiologie-Bilder vor ungesichertem Zugriff zu schützen.

Ein nicht ganz so kurzer Rückblick

Im Frühjahr 2019, während der Recherche für eine anderes Thema, fanden wir den ersten ungeschützten Bildarchiv-Server. Wir hatten nicht speziell danach gesucht, und daher – neben einer Information an die betroffene Organisation (diese hat sehr schnell gehandelt und das System vom Netz genommen) – notierten wir den Begriff PACS buchstäblich auf ein Post-it und hängten es an die Ideen-Pinnwand.

Die initiale Analyse-Arbeit begann schließlich im August 2019. Wir wollten uns einen Überblick über PACS-Systeme verschaffen, die aktuell mit dem Internet verknüpft, öffentlich zugänglich und damit ungeschützt sind. Von dem Ausmaß des Datenlecks waren wir völlig überrascht – ein gigantisches Problem, das schnelle Beseitigung verlangte. Um dafür die erforderliche Aufmerksamkeit zu schaffen, mussten wir weltweit Behörden und Medien involvieren. Ohne die Mitarbeit weiterer engagierter Akteure hätten wir unmöglich so viele Systeme aus dem öffentlichen Internet entfernen können – und es gibt noch einiges zu tun, wie auch der TechCrunch Report zeigt.

Wir schulden den Unterstützern rund um den Globus unseren Dank: den Behörden aus Deutschland, Frankreich, Großbritannien, Malaysia, der Schweiz, den USA, und einer Reihe weiterer Länder; den Nachrichten-Portalen und Magazinen (online wie offline), die das Problem und die Lösungswege öffentlich gemacht haben; den betroffenen Kliniken und Radiologie-Einrichtungen für ihre Kooperationsbereitschaft. Wir haben mit vielen InfoSec-Spezialisten gesprochen und sie alle verdienen unseren Respekt und unseren Dank.

Die anderen kleinen Geschichten, einige noch nicht erzählt…

Warum mussten wir handeln? Die reine Quantität des Datenlecks bei PACS-Servern war erschreckend genug. Aber ziehen wir in Betracht, welcher Missbrauch mit diesen Informationen betrieben werden könnte, dann erhält das Problem eine neue Dimension. Denn durch den Zugriff auf „historische“ medizinische Daten lassen sich beispielsweise von betroffenen Personen Profile erstellen.

Zur Illustration betrachten wir Systeme, die Daten aus mehreren Jahrzehnten speichern, also sehr weit zurückgehen. Das “jüngste” ausgewählte Archiv enthält Daten, die bis in den Dezember 2007 reichen. Das folgende Bild veranschaulicht die Daten und damit verbundenen Zeitspannen, die wir auf diesen Systemen gefunden haben.

(hier klicken für ein hochaufgelöstes Bild, die Nutzung ist freigegeben unter Angabe des Copyrights).

Beispiele für Geschichten aus den Archiven sind:

  • Bei einer Person, die sich im März 1987 zuerst untersuchen ließ, folgten noch 55 weitere radiologische Untersuchungen. Die letzte war im Dezember 2019.
  • Eine andere Person hatte in 22 Jahren mehr als 130 radiologische Untersuchungen in der gleichen Klinik.
  • Der älteste Datensatz stammt vom 3. Januar 1980, die Untersuchung fand um 21:31 Ortszeit statt.

Mit diesen Informationen wäre medizinischer Identitätsdiebstahl möglich – mit allen negativen Konsequenzen wie Manipulation oder Erpressung. Zudem schlummern zahlreiche weitere Datenschutz-Verletzungen in diesen Archiven:

  • Ein PACS-System enthält die üblichen Daten wie Name, Geburtstag, Untersuchungsdatum – und einige Datensätze, die bis ins Jahr 2007 zurückreichen, stammen aus Gefängnissen. Also: wenn jemand eine Haftstrafe verbüßt hat, sich danach jedoch gesetzeskonform verhält, gibt es keinen generellen Grund, dieser Person den Datenschutz zu verweigern.
  • Archive, die Daten über lange Zeiträume sammeln und vorhalten, verraten familiäre Zusammenhänge. Es lässt sich eine Art Familienstammbaum erstellen, verbunden mit der Möglichkeit diese Informationen über Social Engineering auszunutzen. Ein System eines lokalen Medizinzentrums enthält über 400 Einträge mit demselben Familiennamen über einen Zeitraum von 19 Jahren.

Sollte die Vergangenheit uninteressant sein, schauen wir in die Zukunft. Ein System enthält Datum und Uhrzeit von künftigen Terminen, auch hier mit vollem Namen und Geburtsdatum. Da diese Einrichtung eher regional arbeitet, lässt sich die Adresse, Telefonnummer, der Arbeitgeber und andere Informationen einer Person leicht herausfinden. Wie? Der Dank gebührt Facebook, Instagram und Co.! Ein bewussterer Umgang mit Social Media wäre jedem von uns anzuraten.

Einige interessante Reaktionen …

Die Warnungen vor Missbrauch sind berechtigt: so erreichte uns eine Nachricht eines Anbieters von Künstlicher Intelligenz in der Medizin. Der Anwalt des Unternehmens erbat unverblümt den Zugriff auf die Patientendaten. Auf unsere Standardantwort, dass wir dem EU-Datenschutz unterliegen und diesen vollständig beachten, kam zurück: „In den USA ist das ja anders”. Wahrscheinlich ist es besser, diesen Teil der Geschichte auf sich beruhen zu lassen.

Ebenso fragten einige Rechtsanwaltskanzleien an, ob wir Material für ihre Sammelklagen, gerade in den USA, beisteuern könnten. Wir haben keine Informationen zur Verfügung gestellt.

Apropos rechtliche Aspekte: Als wir über 140 individuelle Responsible Disclosures verschickten, hatten wir damit gerechnet, eine Reihe von Unterlassungserklärungen zu erhalten. Es kam keine einzige. Die Unternehmen, die nach Erhalt der Disclosure mit uns Kontakt aufnahmen, haben alle positiv reagiert. Ihr Ziel – und unseres – war und ist die Situation zu verbessern und nicht „den Boten zu erschießen”. An dieser Stelle möchten wir einen Dank an Troy Hunt aussprechen. Seine Arbeit rund um Responsible Disclosures half uns sehr.

Nach der Veröffentlichung unserer ersten Analyse haben manche Interessenvertreter aus der Gesundheitsbranche trotzig reagiert: „Nein, das kann nicht sein. Die gefundenen Systeme werden wahrscheinlich in der Tiermedizin oder in der universitären Forschung genutzt. Aber unsere Krankenhäuser und Ärzte nehmen den Datenschutz sehr ernst.” Tatsächlich haben wir 72 PACS-Systeme gefunden, die von Tierärzten benutzt werden. Diese wurden jedoch nicht in unserer Analyse verwendet. Es ist sehr wahrscheinlich, dass auch diese Systeme eine große Menge an persönlichen Informationen enthalten – aber das wäre eine andere Geschichte. Außerdem mussten wir genau auf Abkürzungen achten, denn VET und PET haben zwei Bedeutungen. Veterinär und Veteran, bzw. Pet (Tier) oder die Bezeichnung PET-CT.

Als abschließende (aber nicht ernst gemeinte) Anmerkung in diesem Abschnitt: eine Twitter-Nachricht fragte, ob wir Bilder von „bone spurs“ in den Daten gefunden haben. Nein, aber wir haben auch nicht gesucht.

Was als nächstes…

Wir werden den Zustand der ungeschützten PACS-Systeme auf der Welt weiter beobachten. Selbstverständlich werden wir auch die zuständigen Datenschutz- und Justizbehörden bei der Behebung und Beseitigung dieses globalen Datenlecks weiter unterstützen. Es sind immer noch mehr als 400 ungeschützte PACS-Systeme mit dem Internet verbunden, mit mehr als 27 Millionen Untersuchungen wodurch etwa 9 Millionen Menschen betroffen sind.

Für uns ist dies ein wichtiges Beispiel dafür, dass Informationssicherheit und Datenschutz nicht nur mit ausgeklügelten APTs, aufwändigem Social Engineering oder mit BlackHats und deren magischem Programmcode zu tun hat. Vielmehr geht es um die tägliche Beachtung der Basics. Deswegen haben wir diese Analyse so einfach wie möglich gehalten: kein speziell entwickelter Progammcode, keine Automatisierung, keine Scripte. Jeder wäre in der Lage gewesen, es uns gleich zu tun. Das ist das wahrlich Beängstigende bei diesem Datenleck.

Das Komplexe möglichst einfach zu beschreiben, damit auch die vielen Menschen ohne IT-Sicherheits-Expertenwissen das Problem verstehen können. Das wird unsere Richtschnur für unsere weitere Arbeit in Kritischen Infrastrukturen sein.