Seit vier Wochen ist bekannt, dass es bei tausenden Unternehmen, öffentlichen Einrichtungen und Behörden in Deutschland eine besonders schwere Sicherheitslücke in der IT gibt. Aber selbst als am Wochenende die Gefahr durch Hacker eskaliert, passiert nicht viel. Nach Recherchen der SWR Datenreporter besteht die Lücke bis heute auf tausenden deutschen Servern. Es drohen Sabotage, Diebstahl und Manipulation sensibler Daten.

Es ist so, als ob tausende Unternehmen nachts ein Fenster gekippt lassen, damit Einbrecher ins Büro einsteigen können. Seit knapp einem Monat ist zwar bekannt, dass in vielen Firmen das Fenster zu zentralen Servern gekippt steht. Der Softwarehersteller Citrix Systems selbst hatte im Dezember öffentlich davor gewarnt. Aber am Freitag haben nun Unbekannte öffentlich gemacht, wie man das Fenster ganz leicht aufbekommt. Die SWR Datenreporter haben daraufhin die Schwachstelle auf mehr als 2.000 deutschen Servern gefunden. Betroffen sind Krankenhäuser, Bundes- und Landesbehörden, Kommunen, Kraftwerksbetreiber, Stadtwerke, Banken, Forschungseinrichtungen sowie mittlere Unternehmen und große Konzerne gleichermaßen. Besondere Werkzeuge zum Aufbrechen des Fensters sind nicht nötig. Aktuell ist die Schwachstelle in tausenden deutschen Unternehmen und Behörden noch nicht behoben.

Dauer 0:55 min Citrix-Sicherheitslücke gefährdet tausende deutsche Server Nach Recherchen der SWR Datenreporter besteht die Lücke bis heute auf tausenden deutschen Servern. Es drohen Sabotage, Diebstahl und Manipulation sensibler Daten.

60.000 betroffene Server weltweit

Es war nur eine Frage der Zeit, bis die ersten Anleitungen von Hackern auftauchen würden, der so genannte Exploit-Code. Freitagnacht, als die IT-Abteilungen in den Unternehmen bereits lange im Feierabend waren, wurde ein solcher Türöffner-Code veröffentlicht. Für Hacker eine hervorragende Ausgangslage, erklärt IT-Sicherheitsexperte Florian Roth aus Frankfurt: „Für die ist es jetzt wunderbar, dass sie einfach nur von außen ein Unternehmen scannen müssen, feststellen müssen, da ist ein verwundbarer Zugangspunkt. Das ist ein ganz einfacher Weg, diesen ersten Fuß in die Tür zu bekommen.“ Internationale IT-Sicherheits-Researcher haben seitdem weltweit mehr als 60.000 betroffene Server registriert.

Aus Citrix wird Shitrix

Das US-Unternehmen Citrix Systems stellt eine sehr verbreitete Softwarelösung bereit, um von außen IT eines Unternehmens nutzen zu können. Es kommt beim Homeoffice, bei ausgelagerten Standorten oder für die Fernwartung zum Einsatz. Letztlich kann sich über Citrix ein Mitarbeiter auf die Systeme einwählen und dort arbeiten genau wie an einem Rechner am Arbeitsplatz, in der Produktionsstätte oder im Serverraum. Ein praktisches Werkzeug in Zeiten der Digitalisierung, das eigentlich für einen sicheren Zugriff sorgen soll, wird plötzlich zur Schwachstelle. IT-Verantwortliche sind darüber verärgert. Bei Twitter kursiert deshalb der Hashtag #Shitrix.

US-Bewertung: "Critical" - BSI spricht zuerst von "mittlerem Risiko"

Schon seit Donnerstag waren erhöhte Aktivitäten im Netz sichtbar. Die US-amerikanische IT-Sicherheitsbehörde NIST hatte darauf reagiert und die Warnstufe „Critical“ ausgegeben: Das Leck in Citrix bewertet NIST seit Donnerstag mit 9.8 von 10 Punkten. Nicht nur IT-Sicherheitsexperte Florian Roth ist daher verwundert, dass die Warnung an so vielen Stellen ignoriert wird und in Deutschland keine höhere Warnung ausgesprochen wird. Auch die zuständige deutsche Behörde CERT-Bund beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ging in einer Warnung vom Dezember von einem mittleren Risiko aus – und hat heute auf Nachfrage des SWR noch einmal nachgelegt:

"Durch die Veröffentlichung von Exploit-Code stellt die Schwachstelle, je nach lokaler Netzkonfiguration ein mögliches Einfallstor in interne Netze dar. Das Risiko der Ausnutzung der Schwachstelle ist, auch auf Grund der Vielzahl der Exploit-Codes, als hoch einzustufen." Bundesamt für Sicherheit in der Informationstechnik, 13.01.2020

#Shitrix: Sehr selten – aber diesmal extrem gefährlich

Vielleicht alle drei bis zehn Jahre, schätzt Roth, tauche so eine massive Sicherheitslücke in einer Software auf. Aber diesmal sei es besonders schwerwiegend, weil die Software von so vielen Einrichtungen verwendet wird. Diese Kombination sei sehr selten. Trotz der tausenden betroffenen Kunden hat der Hersteller bislang kein Software-Update geliefert. Und das obwohl Citrix im Dezember mit deutlichen Worten gewarnt hatte:

“Wir haben eine Sicherheitslücke im Citrix Controller entdeckt, die – wenn sie ausgenutzt wird – einem Angreifer erlaubt, jeden beliebigen Code auszuführen.“ Citrix Systems, 17.12.2019

Es gibt zwar eine Art Übergangslösung, einen Workaround. Angesichts des hohen Risikos gilt das Vorgehen von Citrix als eher ungewöhnlich: Denn 'jeden beliebigen Code ausführen können', das ist so etwas wie der Supergau in der IT-Sicherheit.

Zugriff auf volle Rechte möglich

Wenn ein Hacker an der richtigen Stelle jede Art von selbstgeschriebener Software ausführen kann, hat er quasi freien Zugang, um sich bis ins innerste eines Netzwerks durchzuhacken. Dazu muss man wissen, dass der Citrix Gateway von vielen Administratoren auch für die Fernwartung von Servern genutzt wird. Wer sich also hierüber einloggt, hat oftmals vollen Zugang zu weiteren zentralen IT-Systemen eines Unternehmens. Deshalb haben sich so viele Firmen dafür entschieden. Florian Roth ist beunruhigt: „Für mich ist die Schwachstelle vor allem deshalb so relevant, weil die Kombination aus einfacher Ausnutzbarkeit, hoher Schadenshöhe und weiter Verbreitung relativ selten ist. Wir haben hier eine Schwachstelle, die ganz einfach auszunutzen ist, ich muss nur zwei Anfragen an das System schicken. Die Codes, also der so genannte Exploit-Code ist auch schon verfügbar, also sie kursieren im Internet. Die Schadenshöhe umfasst die volle Kontrolle übers Zielsystem und die Verbreitung ist auch relativ weit. Also wir haben viele mittelgroße und große Unternehmen und Behörden, die das Produkt einsetzen.“

"Die darüber kompromittierten Unternehmen werden noch monatelang mit den Auswirkungen dieser Schwachstelle zu kämpfen haben." Hans-Martin Münch, MOGWAI LABS GmbH, 13.01.2020

Schaden noch nicht absehbar

Bislang ist in Deutschland noch kein Schaden öffentlich bekannt geworden. Allerdings dürften auch noch nicht viele IT-Abteilungen nachgesehen haben. „Die darüber kompromittierten Unternehmen werden noch monatelang mit den Auswirkungen dieser Schwachstelle zu kämpfen haben", da ist sich Hans-Martin Münch sicher. Er leitet eine Firma, die spezialisiert ist, Schwachstellen in IT-Systemen aufzudecken. "Das hat für mich durchaus eine sehr hohe Brisanz und ist vergleichbar mit den Auswirkungen von Wannacry.“ Besonders tückisch: Womöglich sind die Hacker schon durchs gekippte Fenster eingedrungen und haben die Spuren aber wieder verwischt. Um das auszuschließen, müssen die betroffenen Server nun gründlich nach Schadsoftware abgesucht werden. Und die Lücke muss natürlich geschlossen werden. Denn spätestens seit Freitagnacht ist klar: Tausende Unternehmen weltweit sind akut gefährdet.