Sie ist das Nervenzentrum des Schweizer Finanzplatzes – und hat wie hunderte andere Firmen mit der Citrix-Sicherheitslücke zu kämpfen: Die Six Group, die die Schweizer Börse betreibt. Einer ihrer Server war noch bis Mittwochmittag verwundbar, wie Recherchen von SRF ergaben. Ein Sprecher bestätigte dies.
Die Six Group erklärte, sie sei sich des Problems bereits seit Bekanntgabe durch Citrix Mitte Dezember bewusst. Die von Citrix empfohlene Übergangslösung habe man damals nicht umgesetzt, weil sie die Stabilität der Systeme hätte gefährden können. Man habe aber sofort zusätzliche Sicherheitsmassnahmen ergriffen und die Zugriffe von aussen unter noch genauere Beobachtung gestellt.
Nachdem letzte Woche Anleitungen zum Ausnutzen der Schwachstelle kursierten, habe man den Workaround von Citrix umgesetzt. Nun warte man auf das von Citrix angekündigte Update, das die Lücke vollständig schliessen soll. Derzeit werde untersucht, ob die Schwachstelle ausgenutzt worden sei, so die Six Group. Sie betont, die Börsengeschäfte und andere Dienstleistungen seien zu keinem Zeitpunkt gefährdet gewesen.
Nur «geschlossener Kundenkreis» wurde von Bund informiert
Nach neuesten Angaben von MELANI (siehe Box) sind bisher 14 Schweizer Unternehmen «infiziert» worden. «Bei diesen wurde die Verwundbarkeit bereits ausgenutzt und Schadcode konnte platziert werden», erklärte Leiter Pascal Lamia den Tamedia-Titeln. Ob auch die Six Group zu den infizierten Opfern gezählt wird, ist nicht klar. MELANI schreibt weiter, die Anzahl der infizierten Server könnte noch steigen. Die Stelle rät mittlerweile, Citrix-Systeme «wenn immer möglich herunterzufahren.»
Betroffen von der Sicherheitslücke sind auch weitere Betreiber von sensiblen Infrastrukturen, darunter zwei Spitäler und das Schweizer Paraplegiker-Zentrum. Diese gaben gestern gegenüber SRF an, erst im Verlauf der Medienberichterstattung von der Sicherheitslücke gehört zu haben.
Ein engerer Kreis von Betroffenen war Anfang Woche hingegen direkt von der Meldestelle MELANI kontaktiert worden. Darunter auch die Six Group, wie MELANI bestätigte.
Auf die Frage, weshalb andere sensible Infrastrukturen nicht direkt kontaktiert worden waren, schreibt MELANI: «Selbstverständlich gehören Spitäler aus unserer Sicht auch zu den kritischen Infrastrukturen.» Die genannten Institutionen seien jedoch «nicht Mitglied des geschlossenen Kundenkreises (Betreiber kritischer Infrastrukturen) von MELANI». Sie seien durch den Hersteller direkt informiert worden. Zudem habe MELANI diese Akteure auch über den Weg der Kantone und der Service Provider informiert.
Grüter: «Wir haben noch Handlungsbedarf»
Darauf angesprochen sagt Franz Grüter, Nationalrat SVP (LU) und Vize-Präsident von ICT Switzerland, dem Verband der IT-Branche, in der Sendung «10vor10»: «Der Fall zeigt gut, dass wir noch Handlungsbedarf haben.» Wenn Cyberbedrohungen auftauchten, müssten diese zeitnah verbreitet werden – auch an die breite Öffentlichkeit und an kleinere Firmen. Es könne nicht sein, dass es Tage dauere. «Bund und Parlament haben dafür ein nationales Cyberlagezentrum (NCSC) aufgebaut. Dort müssen wir noch weiterkommen.»
Edith Graf-Litscher, SP-Nationalrätin (TG) sitzt mit Grüter im Co-Präsidium der parlamentarischen Gruppe Digitale Nachhaltigkeit. Sie nimmt die betroffenen Akteure in die Pflicht: «Man hat eine Eigenverantwortung als Gemeindebehörde und als Firma.» Da müsse entsprechend in die Cybersicherheit investiert werden. Die neue Bundesstelle NCSC sei noch im Aufbau. Später soll sie nicht nur für kritische Infrastrukturen, sondern auch für die breite Bevölkerung da sein. Beim aktuellen Fall sei aber die Warnung der kritischen Infrastrukturen rechtzeitig erfolgt.
