DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Im Internet kursieren diverse Anleitungen, um die Citrix-Schwachstelle auszunutzen. Laut IT-Sicherheitsexperten sind auch hierzulande viele Server potenziell betroffen. screenshot: bad packets / via twitter

Bund warnt Betreiber kritischer Infrastrukturen vor gefährlicher Sicherheitslücke

Die ins Visier von Hackern geratene Fernzugriffs-Software wird von vielen grossen Firmen, KMU und staatlichen Institutionen eingesetzt. Das Schadenspotenzial ist beträchtlich, die Folgen noch nicht absehbar.



Was ist passiert?

Eine schwere Sicherheitslücke bei der populären Fernzugriffs-Software Citrix betrifft hunderte grosse Unternehmen, KMU und staatliche Institutionen in der Schweiz und zehntausende weltweit. Darunter auch Betreiber kritischer Infrastrukturen, wie beispielsweise Spitäler und Kraftwerke.

Bei Twitter wird unter dem Hashtag #Shitrix gespottet und über die schwer abzuschätzende Bedrohungslage diskutiert. Der Bund hat am Nachmittag informiert (siehe unten).

Was sagen Betroffene?

Weil Angriffstools (Exploits) im Internet verfügbar und relativ leicht ausführbar sind, kam es in den letzten Tagen zu zahlreichen Angriffsversuchen, auch auf grosse Schweizer Unternehmen, wo häufig Citrix-Software eingesetzt wird.

Roberto Brunazzi, Kommunikationschef beim Baloise-Versicherungskonzern, bestätigt auf Anfrage:

«Wir stellten seit ein paar Tagen verstärkt Versuche fest, die bekanntgewordene Sicherheitslücke von Citrix für feindliche Angriffe auszunutzen. Diese konnten alle so abgewehrt werden, dass keine Kunden- oder Unternehmensdaten extrahiert wurden, bzw. kein sonstiger Schaden entstanden ist.»

Laut dem Baloise-Sprecher haben die IT-Spezialisten die eigenen Server mit einem «Workaround» abgeschottet.

«Die empfohlenen Schutzmassnahmen zur temporären Schliessung dieser Sicherheitslücke wurden von uns bereits erfolgreich umgesetzt. Wir erwarten nun die Bereitstellung eines entsprechenden Software-Updates durch Citrix zur nachhaltigen Schliessung der Sicherheitslücke. Dieses Update wird kurzfristig erwartet.»

Was für Software ist das?

Die betroffenen Citrix-Programme dienen gemäss Agenturbericht «zur Optimierung der Server-Leistung sowie zur externen Einwahl in die IT-Infrastruktur». Die Sicherheitslücke ermögliche es Angreifern, aus dem Internet Codes auf ungeschützte Server zu schmuggeln und auszuführen.

Die US-Zertifizierungsstelle NIST bewerte die Software-Schwachstelle mit einer sehr hohen Gefährlichkeit von 9.8 aus 10 Punkten und habe ihr das Attribut «kritisch» gegeben, schreibt SRF Online. In der Tat erlaube es die Schwachstelle, willkürlichen Code auf angegriffenen Systemen auszuführen. Denkbar seien «Datendiebstähle, unerwünschte Verschlüsselung von Daten oder ein Einnisten über längere Zeit, um beispielsweise ein Unternehmen auszuspionieren».

Laut der Spezial-Suchmaschine Shodan sollen weltweit über 125'000 Systeme durch Exploits angreifbar sein.

Wie reagiert der Bund?

Die zuständige Fachstelle des Bundes liess am Mittwochnachmittag via Twitter verlauten, dass potenziell betroffene Institutionen am Montag gewarnt worden seien:

«Wir haben die betroffenen Betreiber kritischer Infrastrukturen, wie auch die KMUs, Gemeinden, Spitäler, etc. bereits am Montag einzeln dazu kontaktiert. Bei weit über hundert Meldungen mit entsprechenden Nachfragen und Hilfeleistungen ist an Schlaf nicht zu denken.»

quelle: twitter

Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) dementiert auf Anfrage einen bei Twitter verbreiteten Hinweis, wonach der Armee-Einsatz des WEF in Davos von der Sicherheitslücke betroffen sei, respektive die Software, um die Einsatzkräfte zu koordinieren.

Gemäss dem VBS-Sprecher Andreas B. Bucher basiert die vom Bundesamt für Bevölkerungsschutz (Babs) und dem Nachrichtendienst des Bundes (NDB) für das Weltwirtschaftsforum verwendete ELD-Software (Elektronische Lagedarstellung) nicht auf dem Behörden-Informationssystem LAFIS. «Die von Ihnen erwähnte Sicherheitslücke bei Citrix ist hier also nicht von Bedeutung.»

Wie schlimm ist es?

Seit über vier Wochen ist bekannt, dass bei Servern von tausenden Unternehmen und öffentlichen Einrichtungen in vielen Ländern weltweit eine besonders schwere Sicherheitslücke besteht. Laut Medienberichten und Warnungen von IT-Sicherheitsexperten wurden viele angreifbare Server aber nicht zeitnah durch einen ebenfalls seit Dezember 2019 bekannten Workaround abgesichert. Citrix will am 20. Januar einen Notfall-Patch, bzw. ein Software-Update, bereitstellen.

Am vergangenen Wochenende eskalierte die Situation, nachdem bekannt wurde, dass Hacker Exploits veröffentlicht haben, mit denen sich die Schwachstelle relativ einfach ausnutzen lasse. Gemäss Recherchen des SWR bestand die Lücke bis Montag auf tausenden deutschen Servern. Es drohten Sabotage, Diebstahl und Manipulation sensibler Daten.

Am Dienstag berichtete SRF Online, dass auch in der Schweiz hunderte Server von Unternehmen betroffen seien.

«SRF Data konnte diese Systeme über 200 grossen Schweizer Unternehmen und Institutionen zuordnen: Darunter Finanzinstitute, multinationale Konzerne, Detailhändler, Medienhäuser, Krankenhäuser, Gemeinden, öffentliche Werke und ÖV-Betriebe, sowie mehrere Dutzend KMUs.»

quelle: srf.ch

Der erfahrene IT-Sicherheitsexperte Marc Ruef, Scip AG, bestätigt auf Anfrage, dass die Schwachstelle und die Umstände tatsächlich «leicht ungewöhnlich» seien.

Zeitgleich habe aber diese Woche auch Microsoft einige kritische Schwachstellen publiziert – bei denen halt noch kein funktionaler Exploit vorhanden sei. Aber auch das könnte sich jede Minute ändern. «Extrem ungewöhnlich ist das also nicht», hält der Kenner des Exploit-Marktes fest.

Sicher ist: Viele IT-Verantwortliche und Netzwerk-Spezialisten werden wohl noch länger auf Trab gehalten wegen der Citrix-Schwachstelle und ihren möglichen Auswirkungen.

Was sind die Folgen?

Die sind noch nicht absehbar.

«Die schlechte Nachricht ist, dass selbst wenn Sie Ihre Systeme am Montagmorgen gepatcht haben, können Sie ihnen streng genommen nicht mehr vertrauen.»

Florian Roth, IT-Sicherheitsexperte quelle: twitter

Bild

screenshot: twitter

Im SWR-Bericht prognostiziert ein anderer deutscher IT-Sicherheitsexperte, dass die kompromittierten Unternehmen wohl noch monatelang mit den Folgen dieser Schwachstelle zu kämpfen hätten. Womöglich seien Hacker unbemerkt eingedrungen und hätten die Spuren wieder verwischt. «Um das auszuschliessen, müssen die betroffenen Server nun gründlich nach Schadsoftware abgesucht werden.»

Quellen:

(dsc)

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Ransomware – Angriff der Verschlüsselungstrojaner

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Anonymous «hackt» Coronaverharmloser – diese erhalten nun Post von den Hackern

Schlag von Anonymous-Aktivisten gegen die organisierte Szene der Coronaverharmloser: Das Hacker-Kollektiv ist an die Daten der mehr als 10'000 Mitglieder der deutschen Partei «dieBasis» gelangt.

Die aus der Querdenker-Szene hervorgegangene Partei «dieBasis» ist gehackt worden: Die Gruppe Anonymous ist offenbar an die Daten aller Mitglieder gelangt. «dieBasis hat ein Problem: uns», erklärt das Hackerkollektiv. Die Daten sind offenbar echt. Der deutsche watson-Medienpartner t-online hat Einblick bekommen und Stichproben prüfen können. Anonymous kündigte weitere Veröffentlichungen und Auswertungen an. Es ist aber nicht damit zu rechnen, dass Anonymous die Daten einfacher …

Artikel lesen
Link zum Artikel