Eine kritische Sicherheitslücke in der Fernzugriffssoftware des US-amerikanischen Softwareherstellers Citrix forderte erste Opfer in der Schweiz. Wie die Melde- und Analysestelle Informationssicherung (Melani) am Freitag mitteilte, hat sie inzwischen Kenntnis von 14 infizierten Firmen aus unterschiedlichen Branchen erhalten. Am Donnerstagabend waren es gemäss Melani noch zehn. «Bei diesen wurde die Verwundbarkeit bereits ausgenutzt und Schadcode konnte platziert werden», erklärt Pascal Lamia, Leiter von Melani, auf Anfrage.

Schaden sei bisher jedoch nicht entstanden. «Es konnte zwar Schadcode hinterlegt werden, jedoch wurden unseres Wissens keine Daten gestohlen beziehungsweise verschlüsselt», sagt Lamia. Man habe den betroffenen Unternehmen sofort empfohlen, ihre Server neu aufzusetzen.

Inzwischen vermutet Melani, dass sämtliche verwundbaren Systeme, welche den von Citrix empfohlenen Workaround bisher nicht eingespielt haben, infiziert sind. Die Behörde rät auf ihrer Website, die Citrix-Server «wenn immer möglich» herunterzufahren. Da der Workaround nicht bei allen Versionen funktioniere, empfiehlt Melani, diesen gemäss den Informationen von Citrix zu überprüfen.

Zu den gefährdeten Systemen gehört offenbar auch die Börsenbetreiberin SIX. Diese habe bis Mittwochmittag noch einen verwundbaren Server gehabt, wie ein Sprecher gegenüber SRF bestätigt. Ob die Schwachstelle ausgenutzt worden sei, werde untersucht. Die Börsengeschäfte und andere Dienstleistungen seien zu keinem Zeitpunkt gefährdet gewesen, so die SIX Group.

Melani: Manche Unternehmen reagieren zu langsam

Bis vor Kurzem waren gemäss Informationen des IT-Sicherheitsdienstleisters «Bad Packets» noch rund 1000 Schweizer Server anfällig für potenzielle Angriffe. Die Zahl der verwundbaren Systeme nehme laut Lamia jedoch stetig ab, da viele IT-Verantwortliche die durch Citrix empfohlenen Massnahmen umsetzen würden. Trotzdem werde die Zahl der Opfer weiter ansteigen, meint Lamia. Dies, weil die Unternehmen teilweise zu langsam reagieren würden.

Hinzu kommt, dass betroffene Unternehmen nicht verpflichtet sind, sich bei Melani zu melden. Die Dunkelziffer dürfte also durchaus höher sein und weitere Fälle somit auch künftig unbekannt bleiben. Pascal Lamia bestätigt: «Wir gehen davon aus, dass es noch weitere Opfer in der Schweiz gibt.»

Appell an die Eigenverantwortung der Unternehmen

Zu reden gab auch, dass viele Unternehmen offenbar erst spät vom Sicherheitsleck erfahren haben. Gegenüber «10vor10» beschwert sich etwa die Medienstelle eines Spitals: «Der Informationsfluss aller relevanten Stellen (Citrix, Behörden, Outsourcing-Partner) war in diesem Fall durchwegs suboptimal.»

Melani informierte erst am Mittwoch öffentlich über dieses Leck, liess jedoch auf Twitter verlauten: «Wir haben die betroffenen Betreiber kritischer Infrastrukturen, wie auch die KMU, Gemeinden, Spitäler, etc. bereits am Montag einzeln dazu kontaktiert.» Melani-Leiter Lamia fügt an: «Dies, nachdem bekannt wurde, dass die Sicherheitslücke ausgenutzt wurde.»

Viele kleinere Unternehmen wurden jedoch nicht informiert. Pascal Lamia sagt dazu: «Citrix hat bereits Mitte Dezember alle ihre Kunden über die Sicherheitslücke informiert und diese aufgefordert, die Schwachstelle gemäss ihren Massnahmen umgehend umzusetzen. Es liegt in der Eigenverantwortung der einzelnen Unternehmen, diese Massnahmen umgehend umzusetzen und sich damit ausreichend zu schützen.»

Ein GAU für IT-Sicherheitsexperten

Seit Wochen klafft in der Fernzugriffssoftware von Citrix eine fatale Lücke. Citrix Systems ist nicht irgendein Unternehmen, es bietet eine der meistgenutzten Software-Lösungen für den Fernzugriff auf lokale Netze an. Viele grosse Unternehmen ermöglichen so ihren Angestellten, von zu Hause oder unterwegs auf das Firmennetzwerk zuzugreifen. Für Mitarbeiter ist das eine bequeme Lösung, für Hacker jedoch genauso. Eine Lücke in Anwendungen wie Citrix ist deshalb für IT-Sicherheitsexperten ein GAU. Auf Twitter kursiert deshalb für die Lücke die Bezeichnung #Shitrix.

Spätestens seit Ende vergangener Woche wird #Shitrix auch aktiv von Hackern ausgenutzt. Im Internet sind seit Donnerstag diverse Anleitungen aufgetaucht, die ein Ausnutzen der Lücke auch für relative Laien möglich machten. Die Gefahr für Unternehmen, digital angegriffen zu werden, steigt damit deutlich.

80'000 Unternehmen in 158 Ländern betroffen

Entdeckt hatte die Lücke ein IT-Sicherheitsexperte der Firma Positive Technologies. Er veröffentlichte bereits am 23. Dezember einen Blogpost, in dem er eindringlich vor den Folgen der Schwachstelle warnte. «Diese Attacke benötigt keinen Zugriff auf irgendwelche Accounts und kann deshalb von Hackern überall ausgeführt werden.» Betroffen seien potenziell 80'000 Unternehmen in 158 Ländern.

Citrix Systems reagierte zunächst prompt. Am 24. Dezember verschickte das Unternehmen eine Warnung an seine Kunden. Darin empfahl das Unternehmen auch eine Übergangslösung, die das betroffene System flicken sollte, bis ein offizieller Patch per Software-Update verfügbar ist. Diese Updates sollten vom 20. Januar an verfügbar sein.

Einfache Anleitung für Hacker kursiert im Netz

Brisant sind diese Zahlen vor allem wegen der seit Donnerstag öffentlich verfügbaren, ziemlich genauen Anleitungen für Hacker, wie die Citrix-Sicherheitslücke auszunutzen ist. Davor mussten böswillig gesinnte Angreifer die Schwachstelle und den dazugehörigen Angriffs-Code selbst herausfinden, bevor sie ihn nutzen konnten. Nach der Veröffentlichung der Anleitung genügt dafür schon IT-Halbwissen.

Kurze Zeit nach der Veröffentlichung dieser sogenannten Exploits teilte Bad Packets mit, dass es in seinen Honeypots vermehrt Scans nach verwundbaren Servern im Internet entdeckt habe, darunter auch Scans von Akteuren mit deutschen und polnischen IP-Adressen. Honeypots sind von IT-Firmen absichtlich verwundbar im Netz belassene Systeme, mit denen sie einen Überblick über verwendete Schadsoftware und Scan-Aktivitäten behalten können. Die Scans deuten darauf hin, dass böswillige Hacker gezielt nach Unternehmen suchen, bei denen sich ein digitaler Einbruch lohnen könnte.

Sicherheitsexperten raten betroffenen Unternehmen und Betreibern kritischer Infrastruktur, umgehend den Citrix-Flicken zu implementieren und sich dann direkt auf die Veröffentlichung des offiziellen Citrix-Patches vorzubereiten.

Fehler gefunden?Jetzt melden.