Citrix sieht sich mit massiven Problemen aufgrund einer Sicherheitslücke in seinem System konfrontiert.
Foto: Flickr

IT-Sicherheit

Wer hat Citrix und wo ist die Sicherheitslücke?

Beim BSI häufen sich die Meldungen erfolgreicher Angriffe auf Citrix. Einen Patch für die Sicherheitslücke gibt es noch nicht. Experten warnen vor einer Katastrophe.

Nachdem bereits Mitte Dezember bekannt geworden war, dass Citrix offenbar massive Probleme mit einer Sicherheitslücke in seinem System hat, kündigte das Softwareunternehmen erst für Ende Januar 2020 ein Update an, dass die Probleme beheben soll. Seitdem häufen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Meldungen erfolgreicher Angriffe auf Citrix-Systeme vor allem auf mittelständische Unternehmen.

BSI warnt vor Schäden in Milliardenhöhe

Das BSI sah sich aufgrund der Häufung erfolgreiche Attacken am 16. Januar 2020 zu einem dringenden Appell an alle Citrix-Nutzer veranlasst: „In den vergangenen Tagen haben wir knapp 5.000 aus dem Internet erreichbare, verwundbare Citrix-Systeme an deutsche Netzbetreiber gemeldet. Leider reagieren die betroffenen Unternehmen oft nur langsam, Workarounds und Patches werden häufig nicht schnell genug umgesetzt, erklärte BSI-Präsident Arne Schönbohm und warnte: „Wenn wir allein an WannaCry denken, so entstanden hier Schäden in Milliardenhöhe. Ich kann nur mit Nachdruck an die Wirtschaft appellieren, solche Warnungen nicht auf die lange Bank zu schieben. Wer Digitales nutzt, um Wert zu schaffen, muss seine Informationssicherheit hochhalten".

Hacker greifen Netzwerk direkt über eine VPN-Schnittstelle an und nutzen Sicherheitslücke von Citrix zur Verschlüsselung von Festplatten

Die Vorgehensweise der Hacker, die die Sicherheitslücke bei Citrix nutzen, ähnelt dabei den Methoden klassischer Ransomware-Angriffe. Das Perfide: die Kriminellen sparen sich den Umweg über geschickt formulierte E-Mails, sie greifen das Netzwerk direkt über eine VPN-Schnittstelle an.

Firmenfilialen kommunizieren über den verschlüsselten, bislang als sicher geltenden VPN-Zugang (Virtual Private Network) mit der Zentrale, Servicemitarbeiter warten die Server über solche Zugänge, wenn sie nicht selbst vor Ort sein können. Bei Citrix, einem wichtigen Anbieter solcher Zugänge, wurde eine Sicherheitslücke festgestellt, für die es bis heute keinen Patch gibt. Auch drei weitere Hersteller sollen betroffen sein, so Insider. Bereits Mitte Dezember hatte Udo Schneider, Security Evangelist von Trend Micro, davor gewarnt, dass Erpressungstrojaner (Ransomware) ein erfolgreiches Geschäftsmodell für Kriminelle sind, und immer mehr Gruppen steigen in das lohnende „Geschäft" mit Ransomware ein, darunter auch solche, die im staatlichen Auftrag operieren, um die Staatskasse zu füllen.

Der Sicherheitsforscher Kevin Beaumont warnt, dass sich die Lage noch verschlimmern könnte, wenn einfach zu bedienende Exploits für die Sicherheitslücken im Netz auftauchen. Bereits jetzt werden Unternehmen gescannt, die Citrix nutzen und im Internet kursieren Tipps zum Aufspüren der Sicherheitslücke. So könnten sich bald auch Amateure mit IT-Halbwissen bald am Erpressungs-Geschäft beteiligen.

Citrix stellt Tool zur Verfügung, mit dem Unternehmen prüfen können, ob sie bereits infiziert sind

Administratoren bleiben bislang nur die Empfehlungen der Hersteller, um zumindest die wichtigsten Einfallstore zu schließen. Unter #Shitrix werden über Twitter die aktuellen Entwicklungen ausgetauscht. Immerhin haben Citrix und der Sicherheitsspezialist Fireeye am 23. Januar 2020 ein Tool zur Verfügung gestellt, mit der Anwender selbst überprüfen können, ob die Sicherheitslücke (CVE-2019-19781) bei ihnen ausgenutzt wurde, das über Github zur Verfügung steht.

Erpressungstrojaner richten im immer größeren Schaden an

Welch gravierende Auswirkungen, Ransomware-Angriffe haben können, zeigte sich zuletzt an zahlreichen Beispielen. Die Stadt Frankfurt am Main musste am 19. Dezember 2019 die Segel streichen und die Stadtverwaltung schließen. Autos ummelden, einen neuen Pass abholen. Kurz vor Weihnachten ging nichts mehr. Schuld ist eine Infektion mit dem Erpressungstrojaner Emotet, ausgelöst durch eine einzige verseuchte Email. Fast gleichzeitig erwischte es die Stadt Bad Homburg vor der Höhe und die Katholische Hochschule Freiburg (KH) in Freiburg im Breisgau , deren Lehrbetrieb stark eingeschränkt wurde. Interne Netzwerke und Kommunikationsmöglichkeiten sind gestört. In Bad Homburg funktionierten nicht einmal mehr die Telefone.

Im Internet kursierten Bilder von langen Schlangen vor dem Verwaltungsgebäude der Universität Gießen. Hier mussten sich 38.000 Studenten persönlich neue Passwörter abholen. Am 8. Dezember 2019 wurde die Universität Opfer eines Schädlings, der die gesamte IT in die Knie zwang. Aktuell wird untersucht, ob Forschungsergebnisse verloren gegangen sind. Die Universitätsbibliothek kehrte zum Handbetrieb zurück.

Tage später erwischte es das Klinikum Fürth, das für etliche Tage in den Notberieb wechselte und Patienten abweisen musste. Die IT stand komplett still. Auch hier war die Ursache ein Erpressungstrojaner, der per Email ins Haus kam. Nach einer Woche kehrte man zur Normalität zurück.

Infiziert wurden auch Behörden der Bundesverwaltung. Erpressungstrojaner können auch Dokumente zu stehlen. Seit kurzem sind besonders überzeugend wirkende Emotet-Phishing-Mails im Umlauf, die als Absender eine Bundesbehörde nennen, und offensichtlich gezielt an Kommunikationspartner der Behörde versendet wurde. Die gefährliche Mail verlinkt auf eine infizierte Webseite, trägt selbst aber keinen Schadcode in sich. So umgeht die E-Mail diverse Sicherheitsvorkehrungen und wird aufgrund des glaubwürdigen Absenders von Spam-Filtern nicht erkannt. Ob eines der Opfer den Erpressern nachgegeben hat, ist nicht bekannt. Gefordert wurden bereits 100.000 EUR und mehr.

Eine Summer in dieser Größenordnung soll die Universität von Maastricht bereits entrichtet haben, die es kurz vor Weihnachten erwischte und die ihren Betrieb einstellen musste. Laut Informationen des ORF wird von der weltgrößten Geldwechselfirma Travelex sechs Millionen Dollar für die Entschlüsselung ihrer Daten verlangt. Das Unternehmen ignorierte zunächst Warnungen vor einer Schwachstelle in seinem VPN-System und ging dann in den letzten Tagen des Jahres 2019 für Tage offline, da es nicht mehr handlungsfähig war.

Support-Ende von Microsoft Windows 7 könnte Probleme weiter verschärfen

Am 14. Januar 2020 endete zudem der Support von Microsoft Windows 7. Das einst als innovativ gefeierte Betriebssystem soll zehn Jahre nach der Einführung vom Markt verschwinden, obwohl weltweit noch knapp ein Drittel aller PCs mit diesem Betriebssystem operieren. Der seit langem feststehende Termin bereitet vor allem Behörden und mittelständischen Firmen Probleme, diese könnten die angespannte IT-Lage weiter verschärfen.

Bernd Schöne

Foto: Pixabay

Rückblicke - Lichtblicke - Ausblicke

Wellen in der IT-Branche

Die IT-Branche hat ein bewegtes Jahr 2017 hinter sich. Eklatante Sicherheitslücken, inflationäre Hacks und Erpressungstrojaner sowie ein Hype um Kryptowährungen, der ausschließlich den Stromverbrauch konstant steigen ließ, sind nur einige Beispiele dafür. Ein Jahresrückblick.

Foto: Siegfried Fries/ Pixelio.de

IT-Sicherheit im Rückblick

Angriffe auf allen Ebenen

Staatliche Institutionen hissen die weiße Fahne vor den Angreifern aus dem Internet, da sie der Attacken nicht Herr werden – was soll da ein Mittelständler tun? 2015 war ein Seuchenjahr der IT-Sicherheit. Doch 2016 soll das Internet der Dinge Flügge werden.

Foto: Pixaby

IT-Sicherheit

IT-Sicherheit 2018: Paukenschläge und Trommelwirbel

Was haben Totenscheine, Diplomatie und Wahlkampf mit IT-Sicherheit zu tun? Bernd Schöne gibt im exklusiven IT-Jahresrückblick für Sicherheit.info Antworten.

Special Zutrittskontrolle: Informieren Sie sich rund um den Themenbereich der Zutrittskontrolle

×