Wer hat Citrix und wo ist die Sicherheitslücke?

Nachdem bereits Mitte Dezember bekannt geworden war, dass Citrix offenbar massive Probleme mit einer Sicherheitslücke in seinem System hat, kündigte das Softwareunternehmen erst für Ende Januar 2020 ein Update an, dass die Probleme beheben soll. Seitdem häufen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Meldungen erfolgreicher Angriffe auf Citrix-Systeme vor allem auf mittelständische Unternehmen.

Das BSI sah sich aufgrund der Häufung erfolgreiche Attacken am 16. Januar 2020 zu einem dringenden Appell an alle Citrix-Nutzer veranlasst: „In den vergangenen Tagen haben wir knapp 5.000 aus dem Internet erreichbare, verwundbare Citrix-Systeme an deutsche Netzbetreiber gemeldet. Leider reagieren die betroffenen Unternehmen oft nur langsam, Workarounds und Patches werden häufig nicht schnell genug umgesetzt, erklärte BSI-Präsident Arne Schönbohm und warnte: „Wenn wir allein an WannaCry denken, so entstanden hier Schäden in Milliardenhöhe. Ich kann nur mit Nachdruck an die Wirtschaft appellieren, solche Warnungen nicht auf die lange Bank zu schieben. Wer Digitales nutzt, um Wert zu schaffen, muss seine Informationssicherheit hochhalten".

Die Vorgehensweise der Hacker, die die Sicherheitslücke bei Citrix nutzen, ähnelt dabei den Methoden klassischer Ransomware-Angriffe. Das Perfide: die Kriminellen sparen sich den Umweg über geschickt formulierte E-Mails, sie greifen das Netzwerk direkt über eine VPN-Schnittstelle an.

Firmenfilialen kommunizieren über den verschlüsselten, bislang als sicher geltenden VPN-Zugang (Virtual Private Network) mit der Zentrale, Servicemitarbeiter warten die Server über solche Zugänge, wenn sie nicht selbst vor Ort sein können. Bei Citrix, einem wichtigen Anbieter solcher Zugänge, wurde eine Sicherheitslücke festgestellt, für die es bis heute keinen Patch gibt. Auch drei weitere Hersteller sollen betroffen sein, so Insider. Bereits Mitte Dezember hatte Udo Schneider, Security Evangelist von Trend Micro, davor gewarnt, dass Erpressungstrojaner (Ransomware) ein erfolgreiches Geschäftsmodell für Kriminelle sind, und immer mehr Gruppen steigen in das lohnende „Geschäft" mit Ransomware ein, darunter auch solche, die im staatlichen Auftrag operieren, um die Staatskasse zu füllen.

Der Sicherheitsforscher Kevin Beaumont warnt, dass sich die Lage noch verschlimmern könnte, wenn einfach zu bedienende Exploits für die Sicherheitslücken im Netz auftauchen. Bereits jetzt werden Unternehmen gescannt, die Citrix nutzen und im Internet kursieren Tipps zum Aufspüren der Sicherheitslücke. So könnten sich bald auch Amateure mit IT-Halbwissen bald am Erpressungs-Geschäft beteiligen.

Administratoren bleiben bislang nur die Empfehlungen der Hersteller, um zumindest die wichtigsten Einfallstore zu schließen. Unter #Shitrix werden über Twitter die aktuellen Entwicklungen ausgetauscht. Immerhin haben Citrix und der Sicherheitsspezialist Fireeye am 23. Januar 2020 ein Tool zur Verfügung gestellt, mit der Anwender selbst überprüfen können, ob die Sicherheitslücke (CVE-2019-19781) bei ihnen ausgenutzt wurde, das über Github zur Verfügung steht.

Welch gravierende Auswirkungen, Ransomware-Angriffe haben können, zeigte sich zuletzt an zahlreichen Beispielen. Die Stadt Frankfurt am Main musste am 19. Dezember 2019 die Segel streichen und die Stadtverwaltung schließen. Autos ummelden, einen neuen Pass abholen. Kurz vor Weihnachten ging nichts mehr. Schuld ist eine Infektion mit dem Erpressungstrojaner Emotet, ausgelöst durch eine einzige verseuchte Email. Fast gleichzeitig erwischte es die Stadt Bad Homburg vor der Höhe und die Katholische Hochschule Freiburg (KH) in Freiburg im Breisgau , deren Lehrbetrieb stark eingeschränkt wurde. Interne Netzwerke und Kommunikationsmöglichkeiten sind gestört. In Bad Homburg funktionierten nicht einmal mehr die Telefone.

Im Internet kursierten Bilder von langen Schlangen vor dem Verwaltungsgebäude der Universität Gießen. Hier mussten sich 38.000 Studenten persönlich neue Passwörter abholen. Am 8. Dezember 2019 wurde die Universität Opfer eines Schädlings, der die gesamte IT in die Knie zwang. Aktuell wird untersucht, ob Forschungsergebnisse verloren gegangen sind. Die Universitätsbibliothek kehrte zum Handbetrieb zurück.

Tage später erwischte es das Klinikum Fürth, das für etliche Tage in den Notberieb wechselte und Patienten abweisen musste. Die IT stand komplett still. Auch hier war die Ursache ein Erpressungstrojaner, der per Email ins Haus kam. Nach einer Woche kehrte man zur Normalität zurück.

Infiziert wurden auch Behörden der Bundesverwaltung. Erpressungstrojaner können auch Dokumente zu stehlen. Seit kurzem sind besonders überzeugend wirkende Emotet-Phishing-Mails im Umlauf, die als Absender eine Bundesbehörde nennen, und offensichtlich gezielt an Kommunikationspartner der Behörde versendet wurde. Die gefährliche Mail verlinkt auf eine infizierte Webseite, trägt selbst aber keinen Schadcode in sich. So umgeht die E-Mail diverse Sicherheitsvorkehrungen und wird aufgrund des glaubwürdigen Absenders von Spam-Filtern nicht erkannt. Ob eines der Opfer den Erpressern nachgegeben hat, ist nicht bekannt. Gefordert wurden bereits 100.000 EUR und mehr.

Eine Summer in dieser Größenordnung soll die Universität von Maastricht bereits entrichtet haben, die es kurz vor Weihnachten erwischte und die ihren Betrieb einstellen musste. Laut Informationen des ORF wird von der weltgrößten Geldwechselfirma Travelex sechs Millionen Dollar für die Entschlüsselung ihrer Daten verlangt. Das Unternehmen ignorierte zunächst Warnungen vor einer Schwachstelle in seinem VPN-System und ging dann in den letzten Tagen des Jahres 2019 für Tage offline, da es nicht mehr handlungsfähig war.

Am 14. Januar 2020 endete zudem der Support von Microsoft Windows 7. Das einst als innovativ gefeierte Betriebssystem soll zehn Jahre nach der Einführung vom Markt verschwinden, obwohl weltweit noch knapp ein Drittel aller PCs mit diesem Betriebssystem operieren. Der seit langem feststehende Termin bereitet vor allem Behörden und mittelständischen Firmen Probleme, diese könnten die angespannte IT-Lage weiter verschärfen.

Bernd Schöne