Zum Inhalt springen
Video
Citrix-Sicherheitslücke: Kritik an Cyberbehörde des Bundes
Aus 10 vor 10 vom 16.01.2020.
abspielen. Laufzeit 4 Minuten 27 Sekunden.

Sicherheitslücke bei Citrix Betroffene Unternehmen und Institutionen wachen allmählich auf

Die meisten Betroffenen arbeiten mit Hochdruck an der Schadensbegrenzung. Doch noch immer sind Hunderte ungeschützt.

  • Eine Sicherheitslücke in der weit verbreiteten Citrix-Software hält Schweizer Unternehmen und öffentliche Institutionen – darunter Finanzinstitute und Spitäler – auf Trab.
  • Die Schwachstelle war bereits Mitte Dezember vom Hersteller bekannt gegeben worden, inklusive temporärer Lösung.
  • Doch erst in den vergangenen Tagen fing die Mehrheit der Betroffenen damit an, ihre Systeme abzusichern. Das zeigen Recherchen von SRF.

Heute Morgen früh waren immer noch rund 300 Schweizer Server verwundbar – am Dienstag waren es noch fast 900 gewesen. Die betroffenen Systeme gehören einerseits Grossfirmen und KMU, andererseits sensiblen Institutionen wie Krankenhäusern, psychiatrischen Kliniken, aber auch Finanz- und Energiedienstleistern.

Über Wochen waren zuvor rund 1000 Schweizer Server von der Sicherheitslücke betroffen gewesen. Diese Entwicklung zeigt: Erst nachdem erste Medienberichte Anfang Woche auf das Problem in der Schweiz aufmerksam machten, scheinen Betroffene allmählich zu realisieren, dass sie handeln müssen. Gleichzeitig bleibt die Anzahl der ungeschützten Server hoch.

Worum geht es bei der Citrix-Sicherheitslücke?

Box aufklappen Box zuklappen

Die Software Citrix erlaubt es, von aussen auf eine geschützte IT-Infrastruktur zuzugreifen. Das erleichtert beispielsweise Mitarbeiterinnen und Mitarbeitern, von unterwegs auf den Systemen der eigenen Firma zu arbeiten. Seit Mitte Dezember ist nun eine Schwachstelle in Servern, die diese Funktionalität bereitstellen, bekannt.

Die amerikanische Zertifizierungsstelle NIST hat den Fehler in der Software mit einer sehr hohen Gefährlichkeit von 9.8 aus 10 bewertet – und gibt dem Fehler das Attribut «kritisch». In der Tat erlaubt die Schwachstelle, willkürlichen Code auf den angegriffenen Systemen auszuführen. Denkbar sind demnach Datendiebstähle, unerwünschte Verschlüsselung von Daten oder das Einnisten über längere Zeit, um beispielsweise ein Unternehmen auszuspionieren.

Ebenfalls am Montag hatte die beim Bund zuständige Stelle, das Computer Security Incident Response Team (GovCERT), die betroffenen Systembetreiber einzeln dazu kontaktiert. Ab gestern Mittag ist nun auch eine öffentliche Warnung aufgeschaltet. Darin wird mit Nachdruck aufgefordert, «die empfohlenen Vorkehrungen umgehend zu treffen.»

«Suboptimaler» Informationsfluss

SRF hat mehrere betroffene Stellen kontaktiert. Die Umfrage legt an den Tag, wie mit der Gefahrensituation umgegangen wird. Gewisse Betroffene seien bereits im Dezember vom Hersteller kontaktiert worden, andere wussten offenbar bis vor Kurzem nicht von der Sicherheitslücke.

Dany Gehrig, CEO des Reiseunternehmens Globetrotter, sagt, man habe erst vorgestern durch einen IT-Newsletter davon erfahren. Eine Information von offizieller Seite wäre hier hilfreich gewesen.

Das sagen die Behörden

Box aufklappen Box zuklappen

Zuständig für den Schutz kritischer IT-Infrastrukturen «ausgewählter Betreiber» ist die Melde- und Analysestelle Informationssicherung (MELANI), bei der das eingangs erwähnte GovCERT angesiedelt ist.

Man habe seit Mitte Dezember von der Sicherheitslücke Kenntnis und sei mit den Betroffenen «bereits seit Tagen» in Kontakt. Es sei zudem nicht Auftrag von MELANI, öffentlich über Schwachstellen zu informieren. «Hat MELANI Kenntnis von Sicherheitslücken, kontaktiert sie (...) die Betreiber von nationalen kritischen Infrastrukturen.» Wichtig sei, dass die Unternehmen ihre Eigenverantwortung wahrnehmen und dafür sorgen, dass ihre IT «sicher und genügend geschützt ist.»

«Das sich im Aufbau befindliche Nationale Zentrum für Cybersicherheit (NCSC) plant die Leistungen von MELANI auszuweiten.» Es werde aktuell daran gearbeitet, die Ausgestaltung der Information durch das NCSC zu definieren – mit dem Ziel, künftig alle Dialoggruppen bestmöglich zu informieren.

Unter den Kontaktierten: Zwei Spitäler. Eines, das nicht genannt werden will, beklagt: «Der Informationsfluss aller relevanten Stellen (Citrix, Behörden, Outsourcing-Partner) war in diesem Fall durchwegs suboptimal».

Die Migros, die ihre betroffenen Server auf den Mittwoch abgesichert hat, sagt hingegen, sie wurde «zeitnah und korrekt» informiert und habe die nötigen Schritte eingeleitet. Die Sicherheit sei jederzeit gewährleistet gewesen.

Abschalten wohl sicherste Massnahme

In diesem Punkt berichten viele dasselbe: Nachdem man die Sicherheitslücke vorerst geschlossen habe, sei man auf die Suche nach Eindringlingen gegangen – und habe keinen Schaden feststellen können.

Martin Kunz, Leiter Informatik beim Paraplegiker-Zentrum Nottwil, sagt zu «10vor10»: «Wir haben die Sicherheitslücke vorerst mit dem Workaround des Herstellers geschlossen und warten nun auf die Software-Aktualisierung von Citrix». Schäden habe es keine gegeben.

Video
Martin Kunz, Schweizer Paraplegiker-Zentrum: «Keine Schäden bekannt»
Aus News-Clip vom 16.01.2020.
abspielen. Laufzeit 1 Minute 3 Sekunden.

Radikaler ging eine Gruppe von Arztpraxen vor, die nicht genannt werden will: «Die von Citrix empfohlenen Massnahmen ergaben nicht die gewünschten Ergebnisse. Nach Absprache mit unserem Provider wurden unsere externen Zugriffe gesperrt.» Bis entsprechende Lösungen von Citrix bereitgestellt würden, könne man nicht von aussen aufs Firmen-Netzwerk zugreifen.

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel