Liebe Nutzer,
die Telekom hatte uns die ISDN-Technik abgekündigt und deshalb wurde am Donnerstag, den 18.7. ein neuer LANCOM Router installiert. Bis Freitag lief alles problemlos. Am Sonntagnachmittag wollte ich noch etwas übertragen, es war 1 Woche Urlaub geplant, aber da kam ich nicht in die Programme. Am Montagmorgen wurde die uns betreuende IT-Firma davon unterrichtet und sie stellten einen Trojaner fest, der unsere gesamten Daten verschlüsselt hat. Der Urlaub war dahin und ich bin wieder zurück gefahren. Nach Lösegeldzahlung in Bitcoins wurde uns alles zum Glück wieder entschlüsselt und wir konnten wieder arbeiten. Hier möchte ich mich nochmals bei der Mitarbeiterin der DATEV in Köln, die uns den Tipp gab, dem Kollegen, der im Januar betroffen war, und seinem DATEV-Systempartner ganz herzlich bedanken, die uns sehr weitergeholfen haben.
Aber, die Datenübertragung an die DATEV ging mal, dann ging sie wieder nicht. Das 1. Mal konnte der IT-Spezialist die Datenübertragung wieder herstellen, beim 2. Mal wollte er auf den Router schauen. Ein Passwort haben wir vergeblich gesucht und deshalb die Hotline der Telekom angerufen. Eine schnelle Hilfe war nicht möglich, da keine Weiterverbindung an den Techniker möglich ist!!!! Das war am Mittwochnachmittag. Am Donnerstag hat immer noch niemand zurück gerufen und deshalb hat der IT-Spezialist unter Angabe der vergebenen Ticketnummer selbst dort angerufen. Da er über Fernwartung aufgeschaltet war, konnte er sehen, was der Telekomtechniker gemacht hat. Ich erkläre dies nun mal mit meinen Worten, da ich ja keine Spezialistin bin: Mit Entsetzen stellte er fest, dass auf dem LANCOM-Router ein Port (ich denke, dass dies so heißt) offen war, von dem jeder von außen Zugriff auf unseren Server haben kann. Dadurch waren quasi Tür und Tor geöffnet.
Die Telekom kann konfigurieren, Updates aufspielen, what ever, ohne das man es merkt. Und somit auch Lücken schließen, ohne dass Sie es mitbekommen.
Für uns alle war es unerklärlich wie ein Trojaner auf unseren Server kommen konnte.
Wem das alles bekannt vorkommt und wer bisher immer noch rätselt, wie er/sie oder Kollegen infiziert wurde, der/dem wäre wir sehr dankbar, wenn sie/er sich melden würde. Wir wollen unsere Kosten an die Telekom weiterberechnen und wenn es nicht anders geht, dann würden wir auch eine Sammelklage anstreben, da wir nicht auf dem uns entstandenen Schaden sitzen bleiben möchten. In einem Gespräch mit einer Anwaltskanzlei, sagte mir der Mitarbeiter, dass ihm dies bekannt vorkomme und sie wohl solch einen Fall schon vorliegen haben. Ich denke also, dass wir nicht die einzig Betroffenen sind.
Viele Grüße an die Community
Gudrun Merk
Hallo
seit wann ist die Telekom für Router verantwortlich. Verklagen Sie Ihren Itler.
Telekom richtet gerade aus diesem Grund keine
Router ein. Um die Firewall muss man sich selbst
kümmern.
... die Telekom hatte uns die ISDN-Technik abgekündigt und deshalb wurde am Donnerstag, den 18.7. ein neuer LANCOM Router installiert.
Hallo Frau Merk,
ich kann mir ehrlich gesagt auch nicht vorstellen, dass die Telekom die Verantwortung für eine evtl. fehlerhafte Routerkonfigurationen oder für Malware-Angriffe übernimmt.
Die Umstellung von Ihrem ISDN-Anschluss auf VoIP bedeutet ja nur, dass ihr alter Router und/oder ihre Telefonanlage ersetzt werden mussten. Aber die Telekom hält sich aus weiteren Aktionen (z,B. Netzwerkkonfigurationen) nach meiner Erfahrung heraus.
Es würde mich doch sehr wundern, wenn Sie der Telekom einen Fehler nachweisen könnten, der zu einem Schadenersatz durch die Telekom führt.
Selbst wenn tatsächlich Fehler gemacht wurden, müssten Sie alles erstmal beweisen können.
Malware (z.B. Verschlüsselungstrojaner, Ransomware etc) kann auf verschiedenen Wegen Ihr System befallen. Das häufigste Einfallstor ist der eMail-Verkehr.
Rechtsanwälte schätzen die Chancen eines Gerichtsverfahrens naturgemäß anders ein.
Hier kann man aber schnell den finanziellen Schaden deutlich vergrößern.
VG
Michael Vogtsburger
Sie haben zweifellos eine häßliche Erfahrung gemacht, die Sie persönlich sehr mitnimmt,
daher werden Ihnen die Antworten von uns Unbetroffenen vielleicht "hart" vorkommen.
Aber ihre Schilderung zeigt sowohl, dass sie selbst fachlich nicht "in der Materie" stecken
(was verständlich ist), sondern bei diesem GAU auch nicht optimal beraten / informiert wurden.
Sie sollten die Sache weder einfach "abhaken", noch auf "Nebenschauplätze" eskalieren.
Versuchen Sie den Vorfall als "Erfahrungswert" zu sehen, und im Hinblick darauf, zukünftig besser vorbereitet zu sein, zu analysieren.
Ein Malware-Angriff ist seltenst ein individueller Hackerangriff, sondern der Versuch einer massenhaften, automatisierten Kompromitierung durch mehr oder weniger bekannte Schwachstellen.
Gerade wegen des Massenauftretens, sind i.d.R. binnen sehr kurzer Zeit sowohl aktualisierte Erkennungsmuster für Virenscanner verfügbar, als auch Hintergrundinformationen aus der Schadsoftware-Analyse.
Allein anhand des Namens der Ransomware-Variante von der Sie betroffen waren,
können Sie sich leicht über Auftreten / Verbreitung, aber auch Funktionsweise - auch den "Penetrationsweg", Notfall- und Vorsorgemaßnahmen informieren.
PS:
Was den rein finanziellen Schaden angeht, sollten Sie ihre Versicherungspolicen prüfen.
Bei uns hat seinerzeit bei Datenverlust durch einen Server-Crash, die in der Büroversicherung enthaltene Elektrogeräte-Versicherung zu einer anteiligen Schadenstragung geführt.
Ich meine, dass eine Klausel bezüglich der u.U. erheblichen Kosten der Ersatz-/ Wiederbeschaffung, Rekonstruktion von zerstörten Akten (alias Daten ?) zum Standard gehört.
Am Montagmorgen wurde die uns betreuende IT-Firma davon unterrichtet und sie stellten einen Trojaner fest, der unsere gesamten Daten verschlüsselt hat.
Das ist ja seit langem nichts Neues und hat mit dem Routertausch bzw. der Abkündigung der ISDN Technik nichts zu tun. Das hätte Ihnen auch via ISDN Technik passieren können.
Fragt sich eher, wer war es und was wurde getan? Klassisch tarnen sich solche Trojaner in einer angeblichen E-Mail und der Trojaner muss zumindest 1x aktiv ausgeführt werden, z.B. à la Office Makro: Klicken Sie hier für mehr Details.
Nach Lösegeldzahlung in Bitcoins wurde uns alles zum Glück wieder entschlüsselt und wir konnten wieder arbeiten.
Hatten Sie denn tatsächlich kein Backup aller relevanten Daten zumindest vom Vortag? Das Zahlen des Lösegelds empfiehlt wirklich niemand; auch nicht das BSI, da man nie sicher sein kann, dass die Daten entschlüsselt werden und Sie mit der Zahlung die Aktivitäten der Unbekannten weiter unterstützen. Wenn es nur geht, Anzeige erstatten und Backup einspielen.
Für uns alle war es unerklärlich wie ein Trojaner auf unseren Server kommen konnte.
Siehe oben. Dass dieser via offenem Port der Telekom kommt, ist mir bisher unbekannt. Das hat damit zunächst nichts zu tun. Die alten Speedports hatten auch einen Port dazu, dass die Telekom z.B. neue Firmware aufspielen kann. Dieser wurde tatsächlich angegriffen und legte viele Router lahm - verschlüsselt wurden jedoch keine Daten.
Wir wollen unsere Kosten an die Telekom weiterberechnen und wenn es nicht anders geht, dann würden wir auch eine Sammelklage anstreben, da wir nicht auf dem uns entstandenen Schaden sitzen bleiben möchten.
Viel Glück. Ich glaube kaum, dass es da eine Chance gibt, da es nicht am Port liegt, sondern wirklich an einem Ihrer Mitarbeiter. Fragen Sie dort wirklich nach und machen Sie klar, dass es keine Konsequenzen für den Mitarbeiter hat. Ggf. weiß es einer bereits, dass ihm etwas komisch vorkam, sagt nun aber nichts, weil er Angst vor einer Kündigung wegen Stillstand der Kanzlei hat.
Sprechen Sie das Thema bitte offen in Ihrer Kanzlei an und stecken Sie weniger Energie in eine Klage. Denn: Auch nach der Klage, und selbst wenn erfolgreich, kann Ihnen das immer wieder passieren. Dann haben Sie nichts gewonnen. Sensibilisieren Sie Ihre Mitarbeiter und lassen Ihren Dienstleister ggf. entsprechende Maßnahmen treffen: min. tagesaktuelles, funktionsfähig Backup; Konfiguration des Outlooks (Sperren von ZIP Anhängen, etc.), lieber "langsamer" arbeiten als ein "Firefinger", da es nur 1x falschen Klick braucht, entsprechend zu konfigurierende Firewall, Einspielen aller Windows Updates und Einspielen aller sonstigen Updates für Programme und andere Hardware (Router, Switch, NAS, ..), ...
Informieren Sie sich über das Thema Verschlüsselungstrojaner. Das ist ein Ernst zu nehmendes Thema, denn auch gnaze Städte in den USA oder deutsche Krankenhäuser hat es schon erwischt. Kurze Stichworte aus der Vergangenheit sind #EternalBlue #WannaCry
seit wann ist die Telekom für Router verantwortlich. Verklagen Sie Ihren Itler. Telekom richtet gerade aus diesem Grund keine Router ein.
Leider falsch. Beim Wechsel von ISDN auf All-IP und dem Einsatz eines LANCOM Routers konfiguriert die Telekom den LANCOM Router, damit dieser wieder Internet und ISDN bereitstellt, als wäre der wechsel nicht gewesen. Allerdings ist die Firewall der LANCOMs nicht z.B. mit einer Sophos zu vergleichen und ähnelt eher stärker denen der bekannten Speedport Router.
Das Passwort für den LANCOM konnte ich bisher immer selbst festlegen.
Hallo,
wir haben in unserem 2. Büro vor ca. 1 Monat zwangsweise den Telefonanschluss ebenfalls auf VOIP umgestellt (Telekom hat den bestehenden ISDN-Vertrag gekündigt).
Vom LANCOM-Router hat die Telekom ganz klar die Finger weg gelassen. Unser IT-ler hat das erledigt. Allerdings erreichte uns letzte Woche ein Brief auf Papier der Telekom, man hätte auf unsrem Router eine Lücke bzw. Konfiguration festgestellt, die Cyber-Angriffe zulasse. Näheres würden wir in einer Mail in unserem Telekom-Email-Konto finden. Am Montag ist unser IT-ler ohnehin im Büro, dann werden wir uns das mal näher ansehen.
Es mag schon sein, dass die Telekom das übernimmt, wenn man mit dem Wechsel auch einen neuen Router bei der Telekom bestellt. Allerdings werden die Telekom-Techniker vermutlich nur Standardeinstellungen vornehmen.
Ob das dann im Sinne der Kanzlei ist???
Wird ein vorhandener Router aber weiter genutzt, rührt ihn die Telekom nicht an.
So hart es jetzt auch klingt, die Schuld bei Telekom zu suchen ist nach meiner Meinung falsch. Wenn der Router von der Telekom bezogen wurde, sind wahrscheinlich nur Standardeinstellungen vorgenommen worden. Oder wurde ein spezieller Service vereinbart? Dieser ist optional und kostenpflichtig. Router sollten über ein Systemhaus installiert / konfiguriert werden. Neue Router beinhalten die Werkseinstellung. Das heißt, dass erst die Firmware upgedatet werden muss und dann folgen die Standard- und Feineinstellungen (Firewall, Zugriff vom LAN, WAN usw.)
Die Zahlung von Lösegeld ist absolut verkehrt. Wo ist das Backup? Und wer garantiert das sich der Trojaner nicht nur schlafend stellt und sich in ein paar Wochen/Monate wieder aktiviert?
Bevor Sie eine Klage anstreben, sollten Sie die Zeit lieber für Aufklärung in der Kanzlei investieren.
Die Wahrscheinlichkeit, dass ein Anhang / Link geöffnet wurde ist höher als vielleicht ein offener Port.
Es gibt zwar keine 100% Sicherheit, ab er wo war der Virenschutz und wie ist der eingehende Mailverkehr gesichert?
Vielleicht sollte die Kanzlei-Compliance verfeinert werden. Das größte Risiko sitzt oft vor dem System. Deshalb mein Rat, klären Sie Ihre Mitarbeiter über mögliche Risiken auf.
Verzeihen Sie mir die ehrlichen Worte, aber die Telekom wird hier unschuldig sein.
VG
A. Nala
Allerdings erreichte uns letzte Woche ein Brief auf Papier der Telekom, man hätte auf unsrem Router eine Lücke bzw. Konfiguration festgestellt, die Cyber-Angriffe zulasse. Näheres würden wir in einer Mail in unserem Telekom-Email-Konto finden.
Nur seltsam, dass ich dazu nichts in der Presse finde? Solch ein Angriff fand 2017 zuletzt statt. Da es ja Millionen betrifft, hätte ich schon längst dazu was im Internet aus 2019 finden müssen. Oder bin ich blind?
Nicht, dass das genauso eine böse Phisingmail ist .
Ob das dann im Sinne der Kanzlei ist???
Nicht jede Kanzlei hat das Geld für eine gute Firewall und dazu muss diese ebenfalls gewartet werden, um den Angriffen stand zu halten und: keine Technik kann uns vor solchen Gefahren schützen. Außer unser Kopf und Verstand, der den letzten Klick verhindert.
Wird ein vorhandener Router aber weiter genutzt, rührt ihn die Telekom nicht an.
Richtig. Dann hatte ich aber den Fall, dass der Kunde unterschreiben musste, wenn es VoIP Probleme gibt, die Telekom raus aus dem Boot ist, da es keine von der Telekom getestete Hardware ist.
keine Technik kann uns vor solchen Gefahren schützen. Außer unser Kopf und Verstand, der den letzten Klick verhindert.
L:\ mit Schreibrechten für alle anstelle des Zugriffs über einen Datenbankserver macht es einem solchen Angriff natürlich dann nochmal besonders einfach...
Die Zahlung von Lösegeld ist absolut verkehrt.
Hallo Frau Nala,
niemand zahlt gerne Lösegeld, aber wenn es evtl. um die Existenz geht, schluckt man lieber zähneknirschend die Kröte.
Selbst wenn man nicht sicher sein kann, dass die Entschlüsselung tatsächlich funktioniert, ist es immerhin eine Möglichkeit, mit einem blauen Auge davon zu kommen.
... und es klappt ja sogar oft, weil ja auch die Erpresser ihr dreckiges Geschäft weiter betreiben wollen.
VG
Michael Vogtsburger
Nachtrag:
Ich habe in meinem Netzwerk inzwischen auch per Registry-Eintrag den eMail-Empfang von original "Microsoft Office"-Dateien (Word, Excel u.a) blockiert, weil dies eines der beliebtesten Einfallstore für Malware ist.
Es gab inzwischen schon einige eMails mit Anhängen im Word- und Excel-Format, die zurückgewiesen wurden.
Obwohl man evtl. die Absender kennt, kann in jeder harmlos aussehenden Datei ein Schadprogramm (Script, Makro etc stecken)
Analogie:
Wenn in Ihre Wohnung eingebrochen wird, können Sie auch nicht Ihren Elektriker oder Ihren Fensterbauer dafür verantwortlich machen, dass die Alarmanlage die Einbrecher nicht abgehalten hat oder dass die Fenster nicht einbruchsicher waren.
Hallo Herr Vogtsburger,
eine Kanzlei sollte über ein aktuelles Backup verfügen und nicht dieses 'dreckiges Geschäft' unterstützen.
Eine Kanzlei ohne Backup kann ich mir irgendwie nicht vorstellen. Deshalb stellt sich nicht die Frage nach der Existenz.
VG
A. Nala
Wenn Sie 'nur' ein Daten-Backup, also z.B. 20 oder 50 oder 100 Gigabyte an Daten gesichert haben, dann ist das leider nicht ausreichend, um ein verschlüsseltes System wiederherzustellen.
Idealerweise bräuchten Sie täglich mindestens 1 komplettes 1:1-Image des gesamten Systems (des Fileservers) und möglichst noch der Arbeitsplätze. Ich behaupte, dass das vermutlich keine Kanzlei hat.
Ich habe mal konkret einen verschlüsselten Mandanten-PC gesehen.
Da ist tatsächlich alles Mögliche verschlüsselt, nicht nur die eigenen Daten, sondern auch z.B. sämtliche Bilder, Textdateien, Batch-Dateien und andere wichtige Dateien des Windows-Betriebssystems.
Außer den Anweisungen zum Bezahlen des Lösegeldes funktioniert dann nichts mehr !
Eine Kanzlei ohne Backup kann ich mir irgendwie nicht vorstellen. Deshalb stellt sich nicht die Frage nach der Existenz.
Sorry, aber diese verharmlosende Vorstellung von einem Ransomware-Angriff ist naiv.
Man muss davon ausgehen, dass man zur Wiederherstellung eines befallenen Systems 'bei Adam und Eva', also bei einem völlig neu formatierten System anfangen muss.
..... und erst dann sieht man, ob man wirklich alles gesichert hatte, wenigstens bis gestern oder vorgestern.
.... und wenn ich die Chance habe, mir für umgerechnet z.B. 500 Euro Lösegeld z.B. 100 oder 200 Stunden Wiederherstellungs-Arbeit zu ersparen, dann nutze ich wahrscheinlich diese Chance, natürlich mit Wut im Bauch
VG
Michael Vogtsburger
Sofern nicht ausreichend für eigene Datensicherungen gesorgt wurde und auch nicht die vielseitigen Angebote der DATEV diesbezüglich in Anspruch genommen wurden (Datensicherung-Online, Speichern von Vorläufen Rewe im RZ und Sichern der Lohndaten), würde ich auch den Aspekt der Teilschuld betrachten um die Chancen gegen die Telekom abzuwägen.
Aus der Erfahrung heraus liegt die eigene Verantwortung für die Datensicherheit deutlich über der Verantwortung eines Dienstleisters, der (nur) Infrastruktur anbietet. Welche Rolle hierbei ggf. der IT´ler spielt, (was war seine Rolle zu Datensicherungsaspekten vor der Erpressung) sollte auch nicht außer Acht gelassen werden.
Frage: Die Daten wurden ja (glücklicherweise) auch wieder entschlüsselt. Ist es sicher, aus Datensicherheitsaspekten sowie aus der beruflichen Verschwiegenheit, dass die Erpresser nicht weiterhin Möglichkeiten haben, auf die Daten zuzugreifen bzw. jederzeit einen neuen Angriff zu starten? Es könnte sich ja ganz einfach ein weiterer Trojaner auf dem System befinden, der durch die Erpresser wieder aktiviert werden könnte, frei nach dem Motto: "Wer einmal zahlt......"
Allerdings erreichte uns letzte Woche ein Brief auf Papier der Telekom, man hätte auf unsrem Router eine Lücke bzw. Konfiguration festgestellt, die Cyber-Angriffe zulasse. Näheres würden wir in einer Mail in unserem Telekom-Email-Konto finden.
Nur seltsam, dass ich dazu nichts in der Presse finde?
Nicht, dass das genauso eine böse Phisingmail ist .
Die Briefe gibt es tatsächlich, allerdings reicht dafür schon aus das der Anschluss auf Port 25 reagiert,
Sie sprechen sicher vom Sperren des Ports Nr 25 (SMTP) in den eMail-Einstellungen von Outlook, oder ?
edit: .. sagen wir lieber: das Vermeiden bzw. Wechseln des Port Nr. 25 in den eMail-Einstellungen
Auskunft der Telekom: Es handelt sich um den Port "Telnet 23".
Dieser Port wird wohl auch für Fernwartung benutzt??
Dieser Port wird wohl auch für Fernwartung benutzt??
Jein. Telnet ist unverschlüsselt ( auch die Übertragung der Anmeldedaten).
Der Provider verwendet zum Zugriff auf die Konfiguration aber eher das TR-69 Protokoll, welches hierfür vorgesehen ist.
Nein, weder noch.
Es geht darum das der ROUTER eingehende Verbindungen auf Port 25 zulässt. Dies ist typischerweise der Fall wenn im lokalen Netzwerk ein Mailserver steht.
Die Telekom sieht nur das der Port offen ist und prüft natürlich nicht welche Sicherheitssysteme den Port 25 weiterhin auf dem Weg zum Mailserver absichern.
Ein Outlook macht höchstens AUSGEHENDE Verbindungen auf Port 25.
Danke für die Richtigstellung.
.. aber auch der Versand von Spam-Mails von einem befallenen System aus und über eine eigene Anwendung (Mini-Mailserver, an Outlook vorbei) ist sehr beliebt zur Weiterverbreitung von Malware und zum direkten Senden von Informationen an andere Mailserver.
Für ALLIP erhält man von der Telekom nochmalerweise einen eigenen Internetzugang. Über diesen sollte eigentlich kein Mailverkehr laufen.
Für ALLIP erhält man von der Telekom nochmalerweise einen eigenen Internetzugang. Über diesen sollte eigentlich kein Mailverkehr laufen.
... also sollte man die pop/imap/smtp-Server-Adressen der Telekom nicht verwenden ?
.... oder stehe ich auf gerade dem (Rezzo) Schlauch ?
Nicht auf dem Router für den VOIP-Zugang.