Bund warnt Betreiber kritischer Infrastrukturen vor gefährlicher Sicherheitslücke

Die betroffene Citrix-Software wird von Firmen und staatlichen Stellen eingesetzt. Das Schadenspotenzial soll beträchtlich sein, die Folgen sind offen.

Daniel Schurter, watson.ch
Drucken
Teilen
Auch in der Schweiz sind um die tausend Server potenziell betroffen.

Auch in der Schweiz sind um die tausend Server potenziell betroffen.

screenshot: bad packets / via twitter

Was ist passiert?

Eine schwere Sicherheitslücke bei der populären Firmen-Software Citrix betrifft hunderte staatliche Institutionen und private Unternehmen in der Schweiz und zehntausende weltweit. Betroffen sind auch Betreiber Kritischer Infrastrukturen, dazu gehören beispielsweise Spitäler und Kraftwerke.

Bei Twitter wird unter dem Hashtag #Shitrix gespottet und über die schwer abzuschätzende Bedrohungslage diskutiert. Der Bund hat am Nachmittag informiert (siehe unten).

Was für Software ist das?

Die betroffenen Citrix-Programme dienen gemäss computerworld.ch zur Optimierung der Server-Leistung sowie zur externen Einwahl in die IT-Infrastruktur. Die Sicherheitslücke ermögliche es Angreifern, aus dem Internet Code auf ungeschützte Server zu schmuggeln und auszuführen.

Die US-amerikanische Zertifizierungsstelle NIST bewerte die Software-Schwachstelle mit einer sehr hohen Gefährlichkeit von 9.8 aus 10 und habe ihr das Attribut «kritisch» gegeben, schreibt SRF Online. In der Tat erlaube es die Schwachstelle, willkürlichen Code auf angegriffenen Systemen auszuführen. Denkbar seien «Datendiebstähle, unerwünschte Verschlüsselung von Daten oder ein Einnisten über längere Zeit, um beispielsweise ein Unternehmen auszuspionieren».

Wie reagiert der Bund?

Die zuständige Fachstelle des Bundes liess am Mittwochnachmittag via Twitter verlauten, dass potenziell betroffene Institutionen am Montag gewarnt worden seien:

«Wir haben die betroffenen Betreiber kritischer Infrastrukturen, wie auch die KMUs, Gemeinden, Spitäler, etc. bereits am Montag einzeln dazu kontaktiert. Bei weit über hundert Meldungen mit entsprechenden Nachfragen und Hilfeleistungen ist an Schlaf nicht zu denken.»

Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) dementiert auf Anfrage einen bei Twitter verbreiteten Hinweis, wonach der Armee-Einsatz des WEF in Davos von der Sicherheitslücke betroffen sei, respektive die Software, um die Einsatzkräfte zu koordinieren.

Gemäss dem VBS-Sprecher Andreas B. Bucher basiert die vom Bundesamt für Bevölkerungsschutz (Babs) und dem Nachrichtendienst des Bundes (NDB) für das Weltwirtschaftsforum verwendete ELD-Software (Elektronische Lagedarstellung) nicht auf dem Behörden-Informationssystem LAFIS. «Die von Ihnen erwähnte Sicherheitslücke bei Citrix ist hier also nicht von Bedeutung.»

Wie wurde das publik?

Seit über vier Wochen ist bekannt, dass bei Servern von tausenden Unternehmen und öffentlichen Einrichtungen in vielen Ländern weltweit eine besonders schwere Sicherheitslücke besteht. Laut Medienberichten und Warnungen von IT-Sicherheitsexperten wurden viele angreifbare Server aber nicht zeitnah abgesichert. Citrix will erst am 20. Januar einen Notfall-Patch, bzw. ein Software-Update, veröffentlichen.

Am vergangenen Wochenende eskalierte die Situation, nachdem bekannt wurde, dass Hacker einen Exploit veröffentlicht haben, mit dem sich die Schwachstelle relativ einfach ausnutzen lasse. Gemäss Recherchen des SWR bestand die Lücke bis Montag auf tausenden deutschen Servern. Es drohten Sabotage, Diebstahl und Manipulation sensibler Daten.

Am Dienstag berichtete SRF Online, dass auch in der Schweiz hunderte Server von Unternehmen betroffen seien:

«SRF Data konnte diese Systeme über 200 grossen Schweizer Unternehmen und Institutionen zuordnen: Darunter Finanzinstitute, multinationale Konzerne, Detailhändler, Medienhäuser, Krankenhäuser, Gemeinden, öffentliche Werke und ÖV-Betriebe, sowie mehrere Dutzend KMUs.»

Der erfahrene IT-Sicherheitsexperte Marc Ruef, Scip AG, bestätigt auf Anfrage, dass die Schwachstelle und die Umstände tatsächlich «leicht ungewöhnlich» seien.

Zeitgleich habe aber diese Woche auch Microsoft einige kritische Schwachstellen publiziert – bei denen halt noch kein funktionaler Exploit vorhanden sei. Aber auch das könnte sich jede Minute ändern. «Extrem ungewöhnlich ist das also doch nicht», hält der Kenner des Exploit-Marktes fest.

IT-Sicherheitsexperte Florian Roth schreibt auf Twitter:

«Die schlechte Nachricht ist, dass selbst wenn Sie Ihre Systeme am Montagmorgen gepatcht haben, können Sie ihnen streng genommen nicht mehr vertrauen.»

Screenshot Twitter