Zum Inhalt springen

Header

Audio
Sicherheitslücke in verbreitetem Software-Programm Citrix
Aus Echo der Zeit vom 14.01.2020.
abspielen. Laufzeit 02:20 Minuten.
Inhalt

Lücke bei Citrix-Software Hunderte Schweizer Server von schwerer Sicherheitslücke betroffen

  • Eine gravierende Sicherheitslücke in der weit verbreiteten Software «Citrix» macht Sicherheitsspezialisten derzeit Kopfzerbrechen.
  • Die Software, mit der Mitarbeiter von ausserhalb auf Firmencomputer zugreifen können, ist seit Mitte Dezember offiziell unsicher.
  • Damals hatte der Hersteller selbst auf das Problem hingewiesen, Link öffnet in einem neuen Fenster.
  • Nun zeigt eine Auswertung: Rund 900 Schweizer Server sind auch heute noch verwundbar.

SRF Data konnte diese Systeme über 200 grossen Schweizer Unternehmen und Institutionen zuordnen: Darunter Finanzinstitute, multinationale Konzerne, Detailhändler, Medienhäuser, Krankenhäuser, Gemeinden, öffentliche Werke und ÖV-Betriebe, sowie mehrere Dutzend KMUs.

Ende vergangener Woche war nun auch sogenannter Schadcode im Netz aufgetaucht, der es erlaubt, die Sicherheitslücke sehr einfach auszunutzen. Der deutsche Südwestrundfunk (SWR) hat gestern Montag auf das Problem in Deutschland hingewiesen, Link öffnet in einem neuen Fenster. Im Bericht mahnen verschiedene Sicherheitsexperten zu grösster Vorsicht. Eine solche Sicherheitslücke käme eher selten vor. In diesem Fall sei sie besonders gravierend, weil so viele Systeme davon betroffen seien.

Noch keine Warnung von offizieller Stelle

Auch die amerikanische Zertifizierungsstelle NIST hat den Fehler in der Software mit einer sehr hohen Gefährlichkeit von 9.8 aus 10 bewertet – und gibt ihr das Attribut «kritisch». In der Tat erlaubt es die Schwachstelle, willkürlichen Code auf den angegriffenen Systemen auszuführen. Denkbar sind demnach Datendiebstähle, unerwünschte Verschlüsselung von Daten oder ein Einnisten über längere Zeit, um beispielsweise ein Unternehmen auszuspionieren.

Ob Schweizer Systeme bereits angegriffen wurden, bleibt vorerst unklar. Klar ist hingegen: Die Veröffentlichung des Schadcodes vergangene Woche hat zu einer weltweit erhöhten Aktivität von Sicherheits-Scans geführt, wie der IT-Sicherheitsdienstleister «Bad Packets» auf seinem Blog schreibt, Link öffnet in einem neuen Fenster. In diesen Scans wird, ähnlich wie es SRF Data für die Schweiz getan hat, nach verwundbaren Systemen gesucht, die dann angegriffen werden könnten.

Von Seiten des Bundes wurde bisher noch keine öffentliche Warnung ausgesprochen. Auf der Webseite der zuständigen Stelle, dem Swiss Government Computer Emergency Response Team (GovCERT), ist nichts zur jüngsten Entwicklung zu finden. Der letzte Twitter-Beitrag stammt vom 9. Dezember 2019. Auch die Melde- und Analysestelle Informationssicherung (MELANI), der das GovCERT angesiedelt ist, hat bisher nichts verlauten lassen.

Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Push-Mitteilungen aktivieren

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

13 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.

  • Kommentar von Olaf Schulenburg  (freier Schweizer)
    Wir wollen 6Mia für eine Kampfflugzeugflotte ausgeben, wenn das Land und die Bürger aber in ihrer Lebensader, den digitalen Betriebsfundamenten, angegriffen werden schweigt der Bund und harrt der Dinge die da kommen. Und wirklich nicht zum ersten Mal. Der Bund, das VBS sowie das Flugi bejahende Volk haben nach 20 Jahren Digitalisierung noch immer nicht kappiert, wo die Bedrohungen her kommen und dass das Geld besser in die digitale Landesverteidigung gesteckt werden sollte.
    Ablehnen den Kommentar ablehnen
    1. Antwort von Nicolas Dudle  (Nicolas Dudle)
      Deutlicher - und wohl auch korrekter - kann man es m.E. nicht ausdrücken. - Wer von Unabhängigkeit schwafelt, muss bereit sein die grössten Abhängigkeiten zu erkennen und sich von diesen zu lösen oder zumindest die Gefahrenabwehr in diesen Bereichen zu maximieren. Da die Gefahrenabwehr immer ein Wettlauf mit den Angreifern darstellt, muss nebst Abwehr auch die komplett www-unabhängige Steuerung der lebensnotwendigen Infrastrukturen im Vordergrund stehen. Das ist billiger und zielgerichteter.
      Ablehnen den Kommentar ablehnen
  • Kommentar von Lesek Hottowy  (Lhot)
    Erschreckend ist die Reaktionszeit der Bundesstellen. die sind wohl mit dem Entschmücken des Christbaums beschäftigt.
    Ablehnen den Kommentar ablehnen
    1. Antwort von Jürg Suter  (Sut)
      Wieder typisch!
      Gewinn des Programms privatisieren, den Fehler sollen die Bundesstellen ausbügeln?
      Ablehnen den Kommentar ablehnen
    2. Antwort von Nicolas Dudle  (Nicolas Dudle)
      @Sut: GovCERT und MELANI haben sich am 09.12.19 zum letzten Mal via Twitter gemeldet. Eine Meldung und Stellungnahme kostet nichts und hat nichts mit dem Ausbügeln des Fehlers zu tun, sondern ist lediglich eine der Kernaufgaben von MELANI und seinen angegliederten Stellen. - So gerne ich auch die Privatisierung von Gewinnen und die Verallgemeinerung von Verlusten kritisiere: Hier greift diese Kritik nicht; sie ist ein Schuss ins Leere und schwächt das Argument an Stellen, wo es angebracht ist.
      Ablehnen den Kommentar ablehnen
  • Kommentar von Thomas Heimberg  (tomfly)
    Mich erschreckt, dass faktisch jeden Tag Meldungen über Pleiten Pech und Pannen und viel schlimmer von Datendiebstahl und Sicherheitsproblemen auf allen Ebenen berichtet wird.
    Ich frage mich, ob diese hochgelobte Digitalisierung uns wirklich einen Mehrwert bringt. Der Aufwand dieses Zeugs am Laufen zu halten scheint unendlich und ich frage mich wie viel Milliarden von uns zur IT Branche fliessen. Zudem sind ja Daten das neue Gold, selbstlos ist die Digitalisierung nicht, sondern ein Geschäft.
    Ablehnen den Kommentar ablehnen
    1. Antwort von willi mosimann  (willi mosimann)
      Dann schalten sie doch mal sämtliche IT Infrastrukturen ab und werden sehen was noch funktioniert. Ohne IT geht gar nichts mehr, Spitäler, Kommunkation, Fliegen, etc. sind alle lahmgelegt.
      Ablehnen den Kommentar ablehnen