Zum Inhalt springen
Video
Viele Server immer noch ungeschützt
Aus Tagesschau vom 02.02.2020.
abspielen. Laufzeit 2 Minuten 33 Sekunden.

Citrix-Sicherheitslücke Schweizer Server bleiben ungeschützt

Auch Wochen nach Auftauchen der Schwachstelle sind dutzende Systeme verwundbar – oft sind es schlichtweg Versäumnisse.

Beispielsweise die beschauliche Gemeinde Russikon im Kanton Zürich. Am Mittwochabend noch war ihr Citrix-Server sperrangelweit offen für Angreifer – eine Woche nach Veröffentlichung des offiziellen Sicherheitsupdates, mehrere Wochen nach öffentlicher Warnung der Behörden.

Was die unbehobene Schwachstelle bewirken kann, zeigte vorletzte Woche das Beispiel der deutschen Stadt Potsdam. Gemäss Berichten sei die Schwachstelle dort gezielt ausgenutzt worden. Lange waren Online-Dienste für die Bevölkerung nicht erreichbar gewesen, immer noch seien nicht alle Systeme wieder hochgefahren. Auch Brandenburg war Ziel von Angriffen und ging teilweise vom Netz.

Worum geht es bei der Citrix-Sicherheitslücke?

Box aufklappen Box zuklappen

Die Software, die Citrix anbietet, erlaubt es, von aussen auf eine geschützte IT-Infrastruktur zuzugreifen. Das erleichtert beispielsweise Mitarbeiterinnen und Mitarbeitern, von unterwegs auf den Systemen der eigenen Firma zu arbeiten. Seit Mitte Dezember ist nun eine Schwachstelle in Servern, die diese Funktionalität bereitstellen, bekannt. Bereits damals war eine Übergangslösung zur Schliessung der Lücke vom Hersteller veröffentlicht worden. Seit über einer Woche ist die definitive Lösung, der sogenannte «Patch», verfügbar.

Die amerikanische Zertifizierungsstelle NIST hat den Fehler in der Software mit einer sehr hohen Gefährlichkeit von 9.8 aus 10 bewertet – und gibt dem Fehler das Attribut «kritisch». In der Tat erlaubt die Schwachstelle, willkürlichen Code auf den angegriffenen Systemen auszuführen. Denkbar sind demnach Datendiebstähle, unerwünschte Verschlüsselung von Daten oder das Einnisten über längere Zeit, um beispielsweise ein Unternehmen auszuspionieren.

Auf Blogs liest man mittlerweile auch von perfiden Methoden. Hacker würden angegriffene Systeme gleich selber patchen – aber heimlich eine Hintertüre installieren. So hätten andere Angreifer keinen Zugriff mehr, und die Eigentümer der Server könnten glauben, der Server sei nun geschützt. Die Hacker hätten aber nach wie vor einen direkten Zugriff, den sie womöglich erst in Wochen oder Monaten unbemerkt nutzen könnten.

In Russikon wähnt man sich bis zur Kontaktaufnahme durch SRF in Sicherheit. Der IT-Dienstleister der Gemeinde habe bereits vor Tagen bestätigt, dass die Schwachstelle geschlossen sei. Nachdem SRF am Mittwochabend auf das Gegenteil hingewiesen hat, setzte die Gemeinde den IT-Dienstleister darüber in Kenntnis. Am Freitagmittag wurde die Lücke schliesslich behoben, wie SRF nachvollziehen konnte.

Video
Hannes Lubich, IT-Sicherheitsexperte, über die Gefahr der Lücke
Aus News-Clip vom 01.02.2020.
abspielen. Laufzeit 14 Sekunden.

«IT-Dienstleister hat es versäumt»

Ähnlich tönt es bei Arud, dem grössten suchtmedizinischem Zentrum der Schweiz. Pressesprecherin Julia Kind gibt unumwunden zu: «Dank Ihrer E-Mail haben wir erfahren, dass die Installation [des Patches] seitens unseres externen IT-Dienstleisters versäumt worden war.» Der Patch sei nun eingespielt worden.

«Zudem wurde eine Cyber-Sicherheits-Firma damit beauftragt, potenzielle Datenlecks und mögliche entstandene Schäden zu evaluieren», so Kind. Diese habe keine Datenabflüsse feststellen können. Aber: «Der Fall wird Konsequenzen haben.» Künftig sollen Leistungen von externen Anbietern besser überwacht werden.

Auch die Stadt Luzern verwendet Citrix. Ein Server ist am Mittwochabend vermeintlich immer noch verwundbar. Zuerst geht man auf den konkreten Hinweis nicht ein, SRF legt am Donnerstag einen Beleg nach. In der Nacht auf Freitag sind externe Spezialisten damit beschäftigt, die Verwundbarkeit des Servers erneut zu testen. Am Freitagmorgen gibt man, nach erneuter Kontaktaufnahme durch SRF, Entwarnung: Man nehme die Angelegenheit sehr ernst, habe den Server nochmals intensiven Tests unterzogen. «Dabei traten keine Schwachstellen zutage.» Diese seien seit dem 14. Januar geschlossen.

Informatikprofessor: «Lieber einmal abschalten»

Hannes Lubich, emeritierter Informatikprofessor und IT-Sicherheitsexperte, überzeugt das nicht. «Das wäre mir zu wenig. Ich würde alle Citrix-Systeme in höchste Alarmbereitschaft versetzen und im Zweifelsfall mindestens über das Wochenende abschalten.» Er kann zudem nicht verstehen, wieso die Stadt nicht früher reagiert und den vermeintlich offenen Server nicht selber entdeckt hat. Der Hersteller habe schon vor Wochen klar kommuniziert, wie man die Verwundbarkeit selber überprüfen könne. «Die eigene Infrastruktur sollte bekannt sein.»

Video
Hannes Lubich, IT-Sicherheitsexperte, über den Fall in Luzern
Aus News-Clip vom 01.02.2020.
abspielen. Laufzeit 39 Sekunden.

Von einem Einzelfall könne man bei der Citrix-Schwachstelle übrigens nicht reden. «Sie ist aber besonders einfach auszunutzen und deswegen auch so populär im Moment.» Gerade KMU seien besonders verwundbar. Diese hätten zum einen oft nicht das nötige Wissen und seien so abhängig von externen Dienstleistern. «Andererseits haben sie viel zu verlieren: ihre Daten, ihr Know-how, ihre Geschäftsgeheimnisse.» Wer nach den zahlreichen Medienberichten und Herstellerwarnungen immer noch nicht gehandelt habe, sei fahrlässig unterwegs.

Das sagt der Bund

Box aufklappen Box zuklappen

Zuständig für «den Schutz kritischer IT-Infrastrukturen ausgewählter Betreiber» ist die Melde- und Analysestelle Informationssicherung (MELANI).

Am 17. Januar hatte MELANI öffentlich informiert, dass 14 Server infiziert worden seien. Wenige Tage später hat die Stelle geraten, die nun verfügbaren Sicherheitsupdates des Herstellers Citrix einzuspielen. An der Zahl der Infizierten hat sich in der Zwischenzeit nichts geändert, wie eine Anfrage von SRF offenbart. «Zu beachten ist, dass in der Schweiz keine Meldepflicht für Cybervorfälle besteht.» Man könne so nicht ausschliessen, dass es nicht doch infizierte Unternehmen gäbe. MELANI sei aber kein effektiver Schaden gemeldet worden.

Auf die Frage, wieso auch heute noch verwundbare Systeme zu finden sind, schreibt MELANI: «Sicherheitsupdates können sich auf andere Systeme auswirken, so dass diese nicht mehr wie gewünscht arbeiten.» Deshalb müsse zuerst die «Verträglichkeit» mit anderen Systemen getestet werden. Dies könne Zeit in Anspruch nehmen.

MELANI betonte in einer früheren Stellungnahme, dass es nicht ihre Aufgabe sei, öffentlich über Schwachstellen zu informieren. «Hat MELANI Kenntnis von Sicherheitslücken, kontaktiert sie (...) die Betreiber von nationalen kritischen Infrastrukturen.» Wichtig sei, dass die Unternehmen ihre Eigenverantwortung wahrnehmen und dafür sorgen, dass ihre IT «sicher und genügend geschützt ist.»

Tagesschau, 1.2.2020, 19:30 Uhr

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel