- Eine Sicherheitslücke in der weit verbreiteten Citrix-Software hält Schweizer Unternehmen und öffentliche Institutionen – darunter Finanzinstitute und Spitäler – auf Trab.
- Die Schwachstelle war bereits Mitte Dezember vom Hersteller bekannt gegeben worden, inklusive temporärer Lösung.
- Doch erst in den vergangenen Tagen fing die Mehrheit der Betroffenen damit an, ihre Systeme abzusichern. Das zeigen Recherchen von SRF.
Heute Morgen früh waren immer noch rund 300 Schweizer Server verwundbar – am Dienstag waren es noch fast 900 gewesen. Die betroffenen Systeme gehören einerseits Grossfirmen und KMU, andererseits sensiblen Institutionen wie Krankenhäusern, psychiatrischen Kliniken, aber auch Finanz- und Energiedienstleistern.
Über Wochen waren zuvor rund 1000 Schweizer Server von der Sicherheitslücke betroffen gewesen. Diese Entwicklung zeigt: Erst nachdem erste Medienberichte Anfang Woche auf das Problem in der Schweiz aufmerksam machten, scheinen Betroffene allmählich zu realisieren, dass sie handeln müssen. Gleichzeitig bleibt die Anzahl der ungeschützten Server hoch.
Ebenfalls am Montag hatte die beim Bund zuständige Stelle, das Computer Security Incident Response Team (GovCERT), die betroffenen Systembetreiber einzeln dazu kontaktiert. Ab gestern Mittag ist nun auch eine öffentliche Warnung aufgeschaltet. Darin wird mit Nachdruck aufgefordert, «die empfohlenen Vorkehrungen umgehend zu treffen.»
«Suboptimaler» Informationsfluss
SRF hat mehrere betroffene Stellen kontaktiert. Die Umfrage legt an den Tag, wie mit der Gefahrensituation umgegangen wird. Gewisse Betroffene seien bereits im Dezember vom Hersteller kontaktiert worden, andere wussten offenbar bis vor Kurzem nicht von der Sicherheitslücke.
Dany Gehrig, CEO des Reiseunternehmens Globetrotter, sagt, man habe erst vorgestern durch einen IT-Newsletter davon erfahren. Eine Information von offizieller Seite wäre hier hilfreich gewesen.
Unter den Kontaktierten: Zwei Spitäler. Eines, das nicht genannt werden will, beklagt: «Der Informationsfluss aller relevanten Stellen (Citrix, Behörden, Outsourcing-Partner) war in diesem Fall durchwegs suboptimal».
Die Migros, die ihre betroffenen Server auf den Mittwoch abgesichert hat, sagt hingegen, sie wurde «zeitnah und korrekt» informiert und habe die nötigen Schritte eingeleitet. Die Sicherheit sei jederzeit gewährleistet gewesen.
Abschalten wohl sicherste Massnahme
In diesem Punkt berichten viele dasselbe: Nachdem man die Sicherheitslücke vorerst geschlossen habe, sei man auf die Suche nach Eindringlingen gegangen – und habe keinen Schaden feststellen können.
Martin Kunz, Leiter Informatik beim Paraplegiker-Zentrum Nottwil, sagt zu «10vor10»: «Wir haben die Sicherheitslücke vorerst mit dem Workaround des Herstellers geschlossen und warten nun auf die Software-Aktualisierung von Citrix». Schäden habe es keine gegeben.
Radikaler ging eine Gruppe von Arztpraxen vor, die nicht genannt werden will: «Die von Citrix empfohlenen Massnahmen ergaben nicht die gewünschten Ergebnisse. Nach Absprache mit unserem Provider wurden unsere externen Zugriffe gesperrt.» Bis entsprechende Lösungen von Citrix bereitgestellt würden, könne man nicht von aussen aufs Firmen-Netzwerk zugreifen.