Interview mit Datenexperten IT-Sicherheitslücke bei Citrix: "Eine Einladung an Hacker"

Martin Paul im Funkhaus von MDR SACHSEN-ANHALT
Bildrechte: MDR/Luca Deutschländer

Die Software Citrix ermöglicht das bequeme Arbeiten von Zuhause. Viele Unternehmen, Krankenhäuser und Behörden nutzen das. Wenn die Software allerdings fehlerhaft ist, können Hacker Daten abgreifen oder Unternehmen erpressen. Am Montag ist eine massive Sicherheitslücke bekannt geworden, die auch Einrichtungen in Sachsen-Anhalt betrifft. Doch diese haben nur sehr langsam darauf reagiert.

Das Citrix-Logo auf einem Smartphone
Nicht nur die Software des US-amerikanischen Unternehmens Citrix ist angreifbar. Laut BSI haben auch andere VPN-Anbieter ähnliche Schwachstellen. Bildrechte: imago/ZUMA Press

  • Seit Mitte Dezember 2019 ist die Sicherheitslücke in der Fernwartungssoftware Citrix bekannt. Diese Software wird von Krankenhäusern, Behörden, Finanz- und IT-Unternehmen als sogenannter VPN-Client genutzt.
  • Hacker haben kürzlich Anleitungen veröffentlicht, wie die Schwachstellen auszunutzen sind.
  • Einrichtungen, Unternehmen und Behörden haben nur langsam darauf reagiert – auch in Sachsen-Anhalt, Thüringen und Sachsen war noch vor kurzem die Software bei mehr als 60 Einrichtungen angreifbar.

MDR SACHSEN-ANHALT hat mit SWR-Reporter Johannes Schmid-Johannsen über die Bedeutung und Gefahr der Citrix-Sicherheitslücke gesprochen. Schmidt-Johannsen hatte mit Kollegen die Softwarelücke am Montag öffentlich gemacht.

Wie sind Sie auf diese Sicherheitslücke aufmerksam geworden?

Johannes Schmid-Johannsen, SWR
SWR-Reporter Johannes Schmid-Johannsen Bildrechte: Südwestrundfunk

Johannes Schmid-Johannsen: Wir haben einen Hinweis aus der Szene bekommen. Uns hat jemand darauf aufmerksam gemacht, dass dieser Exploit (ein Programm, das Sicherheitslücken ausfindig macht und ausnutzen kann, Anmerk. d. Red.) veröffentlicht worden ist. Und dann haben wir am Samstag erst einmal selbst angefangen zu recherchieren, haben uns mit Forschern in den USA ausgetauscht und haben dann ziemlich schnell festgestellt, dass wir auch selber ein Skript bauen können, das uns ermöglicht abzufragen, wer betroffen ist und wer nicht.

Wie funktioniert diese Abfrage? Man sieht ja nur, ob die Citrix-Schwachstelle bei Unternehmen vorhanden ist.

Es gibt Suchmaschinen, die zeigen an, ob ein bestimmtes System vorhanden ist und so eine Suchmaschine haben wir genutzt. Und über die IP-Adressen, die wir mit dieser Suchmaschine ermittelt haben, konnten wir dann eine Anfrage an den jeweiligen Server machen, ob eine bestimmte Dateistruktur vorhanden ist. Und wenn die vorhanden ist, war klar, dass Hacker auf diese Strukturen mit dem bekannten Exploit zugreifen können.

Wie weit könnten Hacker theoretisch in solche Systeme eindringen?

Es ist ein bisschen so, wie wenn jemand versucht, in ein Haus einzubrechen. Wenn ich das Fenster offen stehen lasse, dann habe ich schon mal ein erstes Einfallstor geliefert. Und durch den Exploit-Code kam dann die nächste Stufe der Bedrohung hinzu. Man hat also zusätzlich auch noch eine Anleitung an die Hand bekommen, wie man dieses gekippte Fenster ganz einfach aufmachen kann. Dann stehen die Einbrecher erstmal im Hausflur und haben natürlich noch keinen Safe aufgemacht, sind auch noch nicht im Nebengebäude und haben noch nicht die Garage leergeräumt. Aber von dort aus, wenn ich erst mal in diesen ersten Kreis eingedrungen bin, können sich professionelle Hacker Schritt für Schritt tiefer in Systeme weitergraben. Das ist das eine Risiko.

Das andere Risiko ist einfach, dass Schadsoftware hinterlegt wird. Also Fenster auf, Schadsoftware rein, Fenster wieder zu. Und diese Schadsoftware scannt möglicherweise momentan oder greift Passwörter ab. Darin liegt die eigentliche Gefahr. Citrix ist ein Fernwartungssystem oder ein Homeoffice-System. Da loggen sich Mitarbeiter ein, die vielleicht auch viele Rechte im Unternehmen besitzen. Und wenn ich diese Aktivitäten mitschneiden kann, habe ich die Möglichkeit, Passwörter abzugreifen und mich damit Schritt für Schritt weiter ins Unternehmen einzuhacken.

Unter den von der Sicherheitslücke betroffenen Einrichtungen sind viele Unternehmen, Krankenhäuser, Finanzbehörden, bei denen auch sensible Daten vorliegen.

Citrix ist wahnsinnig verbreitet. Das ist die gängige Software, um von außen auf ein Unternehmen zugreifen zu können, wie wenn ich im Unternehmen sitze. Stichwort Homeoffice. Citrix ist einfach super praktisch und galt bisher auch als die sichere Variante. Zum Beispiel nutzen auch Außenstellen von Kliniken diese Software. Und das bedeutet auch, dass da durchaus auch Patientendaten über dieses Gateway fließen.

Einladung an Hackergruppen: Kommt rein und guckt euch um.

Ein Messestand des Softwareunternehmens Citrix Systems
Das US-amerikanische Unternehmen Citrix vertreibt seine Sofware weltweit. (Archivbild) Bildrechte: imago/Rüdiger Wölk

Es ist nicht so, dass Hacker nun das Fenster aufmachen und dann sehen sie alle Daten. Normalerweise müssen Hacker Tausende, Hunderttausende, Millionen von Phishingmails an Mitarbeiter von Unternehmen schicken und darauf hoffen, dass mal einer draufklickt. Und dann erst ist das Fenster auf. Im vorliegenden Fall ist das gekippte Fenster aber an dem zentralen Knotenpunkt im Unternehmen. Und es gibt eine Anleitung, wie ich das aufmachen kann. Das heißt, Hacker sparen sich den mühsamen Weg, überhaupt ein offenes Fenstern zu finden und suchen zu müssen. Das geht jetzt, wie mir ein Insider gesagt hat, kinderleicht. Und damit sind Tür und Tor geöffnet, dass man Hackergruppen einlädt und sagt: Kommt rein und guckt euch um.

Jetzt ist die Sicherheitslücke schon seit ungefähr einen Monat bekannt. Haben Sie Informationen darüber, dass dieser Exploit-Code auch genutzt wird?

Wir lesen gerade in Foren mit und stellen fest, dass sich dort Leute äußern und behaupten: Bei uns ist eingebrochen worden, ich sehe, dass Schadsoftware schon aktiv war. Das können wir selber nicht überprüfen. Mir haben mehrere IT-Sicherheitsexperten gesagt, dass das eigentliche Problem die Ungewissheit ist.

Ein System, das einmal geknackt worden ist, dem vertraut man nicht mehr.

Die Gefahr liegt darin, dass Unternehmen sich nicht sicher sein können, ob nicht schon in den letzten Jahren über dieses Gateway Schadsoftware eingespielt worden ist. Und das ist durchaus ein realistisches Szenario, dass Hacker Software eingeschleust haben, deren Auswirkungen erst in drei Monaten, vielleicht auch erst in zwei Jahren sichtbar werden. Und deswegen sind das Ausmaß und die Folgeschäden dieses Citrix-Problems noch gar nicht absehbar.

Wie schätzen Sie das Bedrohungszenario durch diese Sicherheitslücke ein?

Nach allem, was ich von Experten gehört habe, wurde das überall als ein Zehnjahres-Ereignis wahrgenommen. Alle zehn Jahre passiert es, dass so ein massiver Schaden in der Software drinsteckt.

IT Security Wissenschaftler trainieren im Cybersicherheitszentrum.
Schmid-Johannsen: "Ausmaß und die Folgeschäden dieses Citrix-Problems sind noch gar nicht absehbar." (Symbolbild) Bildrechte: dpa

Wir reden über mögliche Gefahren. Wir reden davon, dass alle Glück haben können und noch keiner betroffen ist. Wir reden aber davon, dass Tausende von Scans nachweisbar gemacht werden, dass die Gruppen aktiv sind und danach gesucht wird, wo diese Lücken sind. Und wir reden davon, dass diese Lücke seit Wochen bekannt ist. Das heißt: Der Expoit-Code, diese Bedienungsanleitungen, wie ich durch gekippte Fenster komme, lag natürlich schon anderen Gruppen vor. Er wurde nur noch nicht öffentlich ins Netz gestellt.

Mehrere Unternehmensverantwortliche haben mir gesagt: An diesem Eingangspunkt habe ich sehr viele Nutzer, die dann wiederum Zugriff auf zentrale Systeme haben. Und es bietet die Chance, Daten abzugreifen, mit denen man sich dann durchhacken kann. Und das ist das eigentliche Risiko, was da drin steckt.

Wie haben die Unternehmen auf die Schwachstelle reagiert?

Ich hatte Gelegenheit, mit einer schnellen Eingreiftruppe von einem großen Konzern Kontakt aufzunehmen, die die Lücke schon sehr früh behoben hat. Und da hat man mir gesagt, das hatte bei denen höchste Priorität, weil der Zugriff auf zentrale Systeme im Unternehmen darüber möglich gewesen wäre.

Da ist eine tickende Zeitbombe in deutschen Systemen versteckt worden und wir wissen noch gar nicht, was damit passiert.

Es gibt aber auch sehr viele Unternehmen, die überhaupt nicht über solche eigenen Ressourcen verfügen. Die können auch ad hoc keine Analysen machen. Das heißt, da ist womöglich eine tickende Zeitbombe in deutschen Systemen versteckt worden und wir wissen noch gar nicht, was damit passiert.

Warum hat der Softwarehersteller Citrix so spät reagiert und ein Update erst für Ende Januar angekündigt?

Dafür habe ich keine Erklärung. Und viele Experten ärgern sich da ganz offensichtlich darüber. Der Hashtag Shitrix zeigt, dass man über das Unternehmen verärgert ist, das eine vermeintlich sichere Software anbietet und dann, wenn es zum Super-GAU kommt, nicht wirklich gut reagiert und es sehr lange schleifen lässt.

Das ist ein Baufehler, der sich durch viele Versionen gezogen hat, der seit vielen Jahren ein Konstruktionsfehler in der Software ist.

Das Bundesamt für Sicherheit in der Informationstechnik in Bonn.
Das Bundesamt für Sicherheit in der Informationstechnik hat Warnungen zu der Citrix-Sicherheitslücke herausgegeben. (Archivbild) Bildrechte: dpa

Das ist ja ein Baufehler, der sich durch viele Versionen gezogen hat, der seit vielen Jahren ein Konstruktionsfehler in der Software ist. Und wenn der dann auftaucht, ist es nachvollziehbar, dass es ein großer Aufwand ist, um eine Lösung zu finden. Aber dieser erste Workaround, der von Citrix angeboten wird ist, ist vielleicht auch nicht mit der nötigen Wucht in die Administratoren-Welt geblasen worden, so dass die Reaktionen in Deutschland einfach zu lahm sind.

Bei Citrix kommt erschwerend hinzu, dass es von so vielen Unternehmen und Behörden eingesetzt wird in Deutschland, aber auch weltweit. 60.000 Server waren am Wochenende betroffen. Wie viele es heute sind, wissen wir noch nicht, aber es wahrscheinlich immer noch Tausende, die eine offene Flanke. Und das ist es, was es besonders brisant macht.

Ist Citrix die einzige VPN-Software, die Sicherheitslücken aufzeigt?

Diese VPN–Systeme sind offensichtlich anfällig. Das CERT-Bund (Computer Emergency Response Team der Bundesverwaltung) hat unmittelbar nach unserer Anfrage noch mal deutlich darauf hingewiesen, dass es weitere VPN-Systeme gibt, die ähnliche Schwachstellen haben und die auch geschlossen werden müssen.

Martin Paul im Funkhaus von MDR SACHSEN-ANHALT
Bildrechte: MDR/Luca Deutschländer

Über den Autor Martin Paul ist Teil des Online-Teams von MDR SACHSEN-ANHALT – und ist begeistert von den Möglichkeiten und Ausdrucksformen des digitalen Journalismus – Daten und Code, Visualisierung und Video, Longread und Ticker, Social-Media und Dialog. Was ihn umtreibt? Besonders die Frage, wie man das Netz frei und offen gestalten und Teilhabe garantieren kann.

Quelle: MDR/mp

Dieses Thema im Programm: MDR SACHSEN-ANHALT - Das Radio wie wir | 14. Januar 2020 | 14:00 Uhr

0 Kommentare

Mehr aus Sachsen-Anhalt