Großraumbüro | Bildquelle: ARD-aktuell / Weiss

Citrix-Sicherheitslücke Gefahr für Tausende Unternehmen

Stand: 13.01.2020 16:20 Uhr

Eine Sicherheitslücke der Firma Citrix sorgt dafür, dass Rechner in Tausenden deutschen Unternehmen gefährdet sind. Und der Einstieg in die Systeme ist einfach.

Von Johannes Schmid-Johannsen und Jochen Schäfer

Es ist so, als ob Tausende Unternehmen nachts ein Fenster gekippt lassen, damit Einbrecher ins Büro einsteigen können. Bereits eit knapp einem Monat ist bekannt, dass in vielen Firmen das Fenster zu zentralen Servern gekippt steht. Der Softwarehersteller Citrix Systems selbst hatte im Dezember öffentlich davor gewarnt. Aber am Freitag haben nun Unbekannte öffentlich gemacht, wie man das Fenster ganz leicht aufbekommt.

Die SWR-Datenreporter haben daraufhin die Schwachstelle auf mehr als 2000 deutschen Servern gefunden. Betroffen sind Krankenhäuser, Bundes- und Landesbehörden, Kommunen, Kraftwerksbetreiber, Stadtwerke, Banken, Forschungseinrichtungen sowie mittlere Unternehmen und große Konzerne gleichermaßen. Besondere Werkzeuge zum Aufbrechen des Fensters sind nicht nötig. Aktuell ist die Schwachstelle in Tausenden deutschen Unternehmen und Behörden noch nicht behoben.

Ein Mann tippt auf einer Tastatur | Bildquelle: REUTERS
galerie

Hacker haben einen Türöffner-Code veröffentlicht - ein Einstieg in die Systeme ist einfach.

60.000 betroffene Server weltweit

Es war nur eine Frage der Zeit, bis die ersten Anleitungen von Hackern auftauchen würden, der so genannte Exploit-Code. Freitagnacht, als die IT-Abteilungen in den Unternehmen bereits lange im Feierabend waren, wurde ein solcher Türöffner-Code veröffentlicht.

Für Hacker ist das eine hervorragende Ausgangslage, erklärt IT-Sicherheitsexperte Florian Roth aus Frankfurt: "Für die ist es jetzt wunderbar, dass sie einfach nur von außen ein Unternehmen scannen müssen, feststellen müssen, da ist ein verwundbarer Zugangspunkt. Das ist ein ganz einfacher Weg, diesen ersten Fuß in die Tür zu bekommen." Internationale IT-Sicherheits-Researcher haben seitdem weltweit mehr als 60.000 betroffene Server registriert.

Citrix soll Homeoffice ermöglichen

Das US-Unternehmen Citrix Systems stellt eine sehr verbreitete Softwarelösung bereit, um von außen die IT eines Unternehmens nutzen zu können. Es kommt beim Homeoffice, bei ausgelagerten Standorten oder für die Fernwartung zum Einsatz.

Letztlich kann sich über Citrix ein Mitarbeiter auf die Systeme einwählen und dort genauso arbeiten wie an einem Rechner am Arbeitsplatz, in der Produktionsstätte oder im Serverraum. Ein praktisches Werkzeug in Zeiten der Digitalisierung, das eigentlich für einen sicheren Zugriff sorgen soll, wird plötzlich zur Schwachstelle. IT-Verantwortliche sind darüber verärgert. Bei Twitter kursiert deshalb der Hashtag #Shitrix.

US-Bewertung: "Critical" - BSI erhöht "hohes Risiko"

Schon seit Donnerstag waren erhöhte Aktivitäten im Netz sichtbar. Die US-amerikanische IT-Sicherheitsbehörde NIST hatte darauf reagiert und die Warnstufe "Critical" ausgegeben: Das Leck in Citrix bewertet NIST seit Donnerstag mit 9.8 von 10 Punkten. Nicht nur IT-Sicherheitsexperte Florian Roth ist daher verwundert, dass die Warnung an so vielen Stellen ignoriert wird und in Deutschland keine höhere Warnung ausgesprochen wird.

Auch die zuständige deutsche Behörde CERT-Bund beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ging in einer Warnung vom Dezember von einem mittleren Risiko aus - und hat heute auf Nachfrage des SWR noch einmal nachgelegt: "Durch die Veröffentlichung von Exploit-Codes stellt die Schwachstelle, je nach lokaler Netzkonfiguration ein mögliches Einfallstor in interne Netze dar. Das Risiko der Ausnutzung der Schwachstelle ist, auch auf Grund der Vielzahl der Exploit-Codes, als hoch einzustufen."

Sehr selten - aber diesmal extrem gefährlich

Vielleicht alle drei bis zehn Jahre, schätzt Roth, tauche so eine massive Sicherheitslücke in einer Software auf. Aber diesmal sei es besonders schwerwiegend, weil die Software von so vielen Einrichtungen verwendet wird. Diese Kombination sei sehr selten. Trotz der Tausenden betroffenen Kunden hat der Hersteller bislang kein Software-Update geliefert. Und das obwohl Citrix im Dezember mit deutlichen Worten gewarnt hatte:

"Wir haben eine Sicherheitslücke im Citrix Controller entdeckt, die - wenn sie ausgenutzt wird - einem Angreifer erlaubt, jeden beliebigen Code auszuführen."

Es gibt zwar eine Art Übergangslösung, einen Workaround. Angesichts des hohen Risikos gilt das Vorgehen von Citrix aber als eher ungewöhnlich: Denn "jeden beliebigen Code ausführen können", das ist so etwas wie der Supergau in der IT-Sicherheit.

Logo citrix | Bildquelle: Citrix Systems
galerie

Citrix wird von vielen Administratoren auch für die Fernwartung von Servern genutzt.

Zugriff auf volle Rechte möglich

Wenn ein Hacker an der richtigen Stelle jede Art von selbstgeschriebener Software ausführen kann, hat er quasi freien Zugang, um sich bis ins innerste eines Netzwerks durchzuhacken. Dazu muss man wissen, dass der Citrix Gateway von vielen Administratoren auch für die Fernwartung von Servern genutzt wird. Wer sich also hierüber einloggt, hat oftmals vollen Zugang zu weiteren zentralen IT-Systemen eines Unternehmens.

Deshalb haben sich so viele Firmen dafür entschieden. Roth ist beunruhigt: "Wir haben hier eine Schwachstelle, die ganz einfach auszunutzen ist, ich muss nur zwei Anfragen an das System schicken. Die Codes, also der so genannte Exploit-Code ist auch schon verfügbar, also sie kursieren im Internet. Die Schadenshöhe umfasst die volle Kontrolle übers Zielsystem und die Verbreitung ist auch relativ weit. Also wir haben viele mittelgroße und große Unternehmen und Behörden, die das Produkt einsetzen."

Schaden noch nicht absehbar

Bislang ist in Deutschland noch kein Schaden öffentlich bekannt geworden. Allerdings dürften auch noch nicht viele IT-Abteilungen nachgesehen haben. "Die darüber kompromittierten Unternehmen werden noch monatelang mit den Auswirkungen dieser Schwachstelle zu kämpfen haben", da ist sich Hans-Martin Münch sicher. Er leitet eine Firma, die spezialisiert ist, Schwachstellen in IT-Systemen aufzudecken. "Das hat für mich durchaus eine sehr hohe Brisanz."

Besonders tückisch: Womöglich sind die Hacker schon durchs gekippte Fenster eingedrungen und haben die Spuren aber wieder verwischt. Um das auszuschließen, müssen die betroffenen Server nun gründlich nach Schadsoftware abgesucht werden. Und die Lücke muss natürlich geschlossen werden. Denn spätestens seit Freitagnacht ist klar: Tausende Unternehmen weltweit sind akut gefährdet.

Über dieses Thema berichtete MDR aktuell am 13. Januar 2020 um 17:38 Uhr.

Darstellung: