Zum Inhalt springen

Sicherheitslücke bei Citrix Auch Schweizer Börsenbetreiber Six Group betroffen

Das Ausmass der gravierenden Schwachstelle wird immer deutlicher. Mittlerweile sind gemäss Bund 14 Firmen «infiziert».

Sie ist das Nervenzentrum des Schweizer Finanzplatzes – und hat wie hunderte andere Firmen mit der Citrix-Sicherheitslücke zu kämpfen: Die Six Group, die die Schweizer Börse betreibt. Einer ihrer Server war noch bis Mittwochmittag verwundbar, wie Recherchen von SRF ergaben. Ein Sprecher bestätigte dies.

Die Six Group erklärte, sie sei sich des Problems bereits seit Bekanntgabe durch Citrix Mitte Dezember bewusst. Die von Citrix empfohlene Übergangslösung habe man damals nicht umgesetzt, weil sie die Stabilität der Systeme hätte gefährden können. Man habe aber sofort zusätzliche Sicherheitsmassnahmen ergriffen und die Zugriffe von aussen unter noch genauere Beobachtung gestellt.

Nachdem letzte Woche Anleitungen zum Ausnutzen der Schwachstelle kursierten, habe man den Workaround von Citrix umgesetzt. Nun warte man auf das von Citrix angekündigte Update, das die Lücke vollständig schliessen soll. Derzeit werde untersucht, ob die Schwachstelle ausgenutzt worden sei, so die Six Group. Sie betont, die Börsengeschäfte und andere Dienstleistungen seien zu keinem Zeitpunkt gefährdet gewesen.

Nur «geschlossener Kundenkreis» wurde von Bund informiert

Nach neuesten Angaben von MELANI (siehe Box) sind bisher 14 Schweizer Unternehmen «infiziert» worden. «Bei diesen wurde die Verwundbarkeit bereits ausgenutzt und Schadcode konnte platziert werden», erklärte Leiter Pascal Lamia den Tamedia-Titeln . Ob auch die Six Group zu den infizierten Opfern gezählt wird, ist nicht klar. MELANI schreibt weiter, die Anzahl der infizierten Server könnte noch steigen. Die Stelle rät mittlerweile, Citrix-Systeme «wenn immer möglich herunterzufahren.»

Betroffen von der Sicherheitslücke sind auch weitere Betreiber von sensiblen Infrastrukturen, darunter zwei Spitäler und das Schweizer Paraplegiker-Zentrum. Diese gaben gestern gegenüber SRF an , erst im Verlauf der Medienberichterstattung von der Sicherheitslücke gehört zu haben.

Das Cyber-Abwehr-Zentrum des Bundes

Box aufklappen Box zuklappen

Zuständig für den Schutz kritischer IT-Infrastrukturen «ausgewählter Betreiber» ist die Melde- und Analysestelle Informationssicherung (MELANI). Die Stelle ist dem neuen Nationalen Zentrum für Cybersicherheit (NCSC) angegliedert. Einer der Aufträge des NCSC ist es, die «Bevölkerung und die Wirtschaft beim Schutz vor Cyberrisiken zu unterstützen». Dazu unterhält es auch ein sogenanntes Computer Emergency Response Team (GovCERT), das in Notfällen technische Hilfe leisten kann.

Nachdem bekannt wurde, dass die Citrix-Lücke dank einer im Internet verbreiteten Anleitung mit relativ bescheidenen IT-Kenntnissen ausgenutzt werden kann – und somit tausende Server weltweit potenzielle Ziele für Hacker wurden – wurde das Zentrum Ziel von Kritik in Social Media sowie aus der Politik (siehe Artikel). Im Vergleich zu ausländischen Stellen habe der Bund spät reagiert.

MELANI entgegnet, man habe seit Mitte Dezember von der Sicherheitslücke Kenntnis und sei mit den Betroffenen «bereits seit Tagen» in Kontakt. Es sei zudem nicht Auftrag von MELANI, öffentlich über Schwachstellen zu informieren. «Hat MELANI Kenntnis von Sicherheitslücken, kontaktiert sie (...) die Betreiber von nationalen kritischen Infrastrukturen.» Wichtig sei, dass die Unternehmen ihre Eigenverantwortung wahrnehmen und dafür sorgen, dass ihre IT «sicher und genügend geschützt ist.»

Doch der Bund verspricht auch Verbesserungen: «Das sich im Aufbau befindliche Nationale Zentrum für Cybersicherheit (NCSC) plant die Leistungen von MELANI auszuweiten.» Es werde aktuell daran gearbeitet, die Ausgestaltung der Information durch das NCSC zu definieren – mit dem Ziel, künftig alle Dialoggruppen bestmöglich zu informieren.

Ein engerer Kreis von Betroffenen war Anfang Woche hingegen direkt von der Meldestelle MELANI kontaktiert worden. Darunter auch die Six Group, wie MELANI bestätigte.

Auf die Frage, weshalb andere sensible Infrastrukturen nicht direkt kontaktiert worden waren, schreibt MELANI: «Selbstverständlich gehören Spitäler aus unserer Sicht auch zu den kritischen Infrastrukturen.» Die genannten Institutionen seien jedoch «nicht Mitglied des geschlossenen Kundenkreises (Betreiber kritischer Infrastrukturen) von MELANI». Sie seien durch den Hersteller direkt informiert worden. Zudem habe MELANI diese Akteure auch über den Weg der Kantone und der Service Provider informiert.

Grüter: «Wir haben noch Handlungsbedarf»

Darauf angesprochen sagt Franz Grüter, Nationalrat SVP (LU) und Vize-Präsident von ICT Switzerland, dem Verband der IT-Branche, in der Sendung «10vor10»: «Der Fall zeigt gut, dass wir noch Handlungsbedarf haben.» Wenn Cyberbedrohungen auftauchten, müssten diese zeitnah verbreitet werden – auch an die breite Öffentlichkeit und an kleinere Firmen. Es könne nicht sein, dass es Tage dauere. «Bund und Parlament haben dafür ein nationales Cyberlagezentrum (NCSC) aufgebaut. Dort müssen wir noch weiterkommen.»

Edith Graf-Litscher, SP-Nationalrätin (TG) sitzt mit Grüter im Co-Präsidium der parlamentarischen Gruppe Digitale Nachhaltigkeit. Sie nimmt die betroffenen Akteure in die Pflicht: «Man hat eine Eigenverantwortung als Gemeindebehörde und als Firma.» Da müsse entsprechend in die Cybersicherheit investiert werden. Die neue Bundesstelle NCSC sei noch im Aufbau. Später soll sie nicht nur für kritische Infrastrukturen, sondern auch für die breite Bevölkerung da sein. Beim aktuellen Fall sei aber die Warnung der kritischen Infrastrukturen rechtzeitig erfolgt.

Meistgelesene Artikel