Seit Wochen klafft in der Fernzugriffssoftware des Herstellers Citrix eine fatale Lücke. Citrix Systems ist nicht irgendein Unternehmen, es bietet eine der meistgenutzten Software-Lösungen für den Fernzugriff auf lokale Netze an. Viele große Unternehmen ermöglichen so ihren Angestellten, von zu Hause oder unterwegs auf das Firmennetzwerk zuzugreifen. Für Mitarbeiter ist das eine bequeme Lösung, für Hacker jedoch genauso. Eine Lücke in Anwendungen wie Citrix ist deshalb für IT-Sicherheitsexperten ein GAU. Auf Twitter kursiert deshalb für die Lücke die Bezeichnung #Shitrix.
Spätestens seit Ende vergangener Woche wird #Shitrix auch aktiv von Hackern ausgenutzt. Im Internet sind seit Donnerstag diverse Anleitungen aufgetaucht, die ein Ausnutzen der Lücke auch für relative Laien möglich machten. Die Gefahr für Unternehmen, digital angegriffen zu werden, steigt damit deutlich.
Am 14. Januar stellt Microsoft den Support für Windows 7 ein. Rechner werden dann zu Zeitbomben - mit jedem Tag steigt das Risiko. Die wichtigsten Fragen und Antworten.
Die AG Kritis, ein Zusammenschluss von IT-Experten, die die Sicherheit kritischer Infrastrukturen in Deutschland verbessern wollen, warnte am Wochenende in einem Blogbeitrag, dass auch in Leitstellen von Polizei und Feuerwehr in Deutschland betroffene Citrix-Software zum Einsatz kommt.
GAU zum Weihnachtsfest
Entdeckt hatte die Lücke ein IT-Sicherheitsexperte der Firma Positive Technologies. Er veröffentlichte bereits am 23. Dezember einen Blogpost, in dem er eindringlich vor den Folgen der Schwachstelle warnte. "Diese Attacke benötigt keinen Zugriff auf irgendwelche Accounts und kann deshalb von Hackern überall ausgeführt werden." Betroffen seien potenziell 80 000 Unternehmen in 158 Ländern. Citrix Systems reagierte zunächst prompt. Am 24. Dezember verschickte das Unternehmen eine Warnung an seine Kunden. Darin empfahl das Unternehmen auch eine Übergangslösung, die das betroffene System flicken sollte, bis ein offizieller Patch per Software-Update verfügbar ist. Diese Updates sollten vom 20. Januar an verfügbar sein. Dann passierte vielerorts offenbar eine ganze Weile: nichts.
Eine gravierende Sicherheitslücke, die am Tag vor Heiligabend veröffentlicht wird - das könnte sich nun als fatale Kombination herausstellen. Viele Systemadministratoren, die den von Citrix empfohlenen Flicken digital auf ihre IT kleben sollten, befanden sich offenbar bereits im Weihnachtsurlaub.
So erklärt sich vielleicht, warum nach allen Feierlichkeiten, am Dienstag, den 7. Januar, immer noch mehr als 4000 Citrix-Gateways in Deutschland verwundbar waren. An diesem Tag begannen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das CERT-Bund, deutsche Unternehmen mit Nachdruck vor der Sicherheitslücke zu warnen. Doch auch diese Warnung verpuffte weitgehend. Drei Tage später waren dem CERT-Bund zufolge nur 500 der noch anfälligen Systeme gesichert. Und auch am vergangenen Sonntag sah es wenig besser aus: Laut Informationen des IT-Sicherheitsdienstleisters "Bad Packets" waren an diesem Tag immer noch 25 000 Unternehmens-Endpoints weltweit für den Angriff anfällig, 2500 davon in Deutschland, das damit auf Platz zwei hinter den USA mit 10 000 verwundbaren Systemen lag.
Einfache Anleitung für Hacker kursiert im Netz
Brisant sind diese Zahlen vor allem wegen der seit Donnerstag öffentlich verfügbaren, ziemlich genauen Anleitungen für Hacker, wie die Citrix-Sicherheitslücke auszunutzen ist. Davor mussten böswillig gesinnte Angreifer die Schwachstelle und den dazugehörigen Angriffs-Code selbst herausfinden, bevor sie ihn nutzen konnten. Nach der Veröffentlichung der Anleitung genügt dafür schon IT-Halbwissen.
Kurze Zeit nach der Veröffentlichung dieser so genannten Exploits teilte Bad Packets mit, dass es in seinen Honeypots vermehrt Scans nach verwundbaren Servern im Internet entdeckt habe, darunter auch Scans von Akteuren mit deutschen und polnischen IP-Adressen. Honeypots sind von IT-Firmen absichtlich verwundbar im Netz belassene Systeme, mit denen sie einen Überblick über verwendete Schadsoftware und Scan-Aktivitäten behalten können. Die Scans deuten darauf hin, dass böswillige Hacker gezielt nach Unternehmen suchen, bei denen sich ein digitaler Einbruch lohnen könnte.
Manuel Atug von der AG Kritis zufolge ist deshalb nicht auszuschließen, dass auch Betreiber kritischer Infrastrukturen in Deutschland immer noch anfällig - oder noch schlimmer - schon kompromittiert sind. Atug kennt die deutsche IT-Landschaft gut, er arbeitet seit Jahrzehnten mit Kritis-Betreibern zusammen. Für ihn ist die Citrix-Schwachstelle auch ein Weckruf für die schwerfällige deutsche IT-Sicherheit. Er rät betroffenen Unternehmen und Betreibern kritischer Infrastruktur, umgehend den Citrix-Flicken zu implementieren und sich dann direkt auf die Veröffentlichung des offiziellen Citrix-Patches vorzubereiten.
