Archiv

Citrix-Sicherheitslücke
Schwachstelle bereitet Sicherheitsexperten Kopfzerbrechen

Ein Bug in der Fernzugangssoftware Citrix zieht eine politische Diskussion nach sich: Braucht es eine gesetzliche Meldepflicht für Sicherheitslücken? Doch bis es soweit ist, könne es noch dauern, meinte Dlf-IT-Experte Peter Welchering.

Von Peter Welchering |
Ein Symbolbild. Zu sehen ist ein Auge und daneben ein Programmcode.
Die ersten Citrix-Sicherheits-Updates werden ab dem 20. Januar kommen (picture alliance / Klaus Ohlenschläger)
"Es gibt eine Cyber-Sicherheitsstrategie für Deutschland, die 2016 veröffentlicht wurde. Bei allem Respekt, ich möchte niemandem zu nahe treten. Aber das hat den Namen Strategie nicht verdient. Das ist kein Strategiepapier."
Manfred Kloiber: So lautet das Resümee von Manuel Atug. Atug ist IT-Sicherheitspezialist und einer der Sprecher der AG Kritis, einer Arbeitsgemeinschaft von Sicherheitsexpertinnen, die sich um kritische Infrastrukturen kümmern. Er sagte das dem Deutschlandfunk, als wir mit ihm über die Sicherheitslücken sprachen, die schon seit einigen Wochen in der Fernzugriffssoftware Citrix bekannt sind. Hier zeigt sich gerade besonders deutlich, dass das, was die Bundesregierung in diesem Bereich verabschiedet hat, bei der Gefahrenabwehr versagt. Derzeit laufen massive Angriffe auf Zugriffsgateways von Citrix. Wie sieht die Situation aus, Peter Welchering?
Peter Welchering: In Leeuwarden hat ein Krankenhaus alle Verbindungen zum Kliniknetz kappen müssen. Aus dem Bereich Transport und Verkehr sind Angriffe gemeldet worden. In den Hotlines, die einige IT-Sicherheitsunternehmen für ihre Geschäftskunden aufgesetzt haben, kommen Hilferufe aus Stadtwerken und aus öffentlichen Verwaltungen herein. Die Folgen dieser Sicherheitslücken sind noch nicht abzusehen. Denn die Fernzugriffssoftware von Citrix wird von vielen Unternehmen und Behörden eingesetzt, damit deren Mitarbeiter von Zuhause aus oder auf Dienstreisen auf das Büro- oder Produktionsnetzwerk zugreifen können. Citrix ist auch in Europa, auch in Deutschland sehr weit verbreitet. Durch die Lücken können Angreifer quasi beliebige Schadsoftware in die Systeme einbringen, teilweise mit Langzeitwirkung. Wenn man mit entsprechenden Suchmaschinen für IT-Systeme wie Shodan.io recherchiert, kommt man auf mehr als 3000 Systeme allein in Deutschland, die für einen solchen Angriff derzeit anfällig sind. Stand Donnerstag sind laut Bundesamt für Sicherheit in der Informationstechnik nachweislich 1500 Systeme leicht angreifbar. Und das wird von vielen Sicherheitsexperten als ein Versagen der Sicherheitsstrukturen in Deutschland verstanden. Vor allen Dingen zeigt sich hier, dass die Cyber-Sicherheitsstrategie der Bundesregierung solchen Bedrohungen nicht viel entgegenzusetzen hat. Deshalb lautet die Forderung: Wir müssen aus diesem Vorfall, bei dem wir vermutlich noch mal mit einem blauen Auge davonkommen werden, endlich lernen, endlich sicherheitspolitische Konsequenzen ziehen.
Kloiber: Ehe wir zu diesen Konsequenzen kommen, wollen wir kurz zusammenfassen, was denn in Sachen Citrix-Sicherheitslücken bisher passiert ist.
Übergangslösung: Filtern von Anfragen per Hypertext-Protokoll
So richtig öffentlich wurden die Sicherheitslücken in der Fernzugriffs-Software Citrix am 23. Dezember 2019. An diesem Tag veröffentlichte das IT-Sicherheitsunternehmen Positive Technologies, dass ihr Experte Mikhail Klyuchnikov eine Schwachstelle im Citrix-Gateway und im Überwachungssystem entdeckt habe, die mehr als 80.000 Unternehmen weltweit gefährde. Als bekannte Blogger wie Günter Born am 24. Dezember, Heiligabend, diese Meldung aufnahmen und weiter verbreiteten, sah sich Citrix genötigt zu reagieren und empfahl Anwendern als Übergangslösung das Filtern von Anfragen per Hypertext-Protokoll, bis ein Sicherheits-Update im Januar 2020 verfügbar sein werde. Allerdings wusste Citrix von diesen Schwachstellen schon früher, berichtet der Sicherheitsexperte Manuel Atug, der sich in der AG Kritis engagiert.
"Citrix lag die Lücke nachweislich mindestens am 17. Dezember schon vor, wenn nicht sogar früher. Im Rahmen eines Responsible Disclosure können Sie die Informationen auch vorher erhalten haben, wovon man sehr stark ausgehen kann. Aber es ist eben so, dass sie natürlich erst nach diesem Vorfall, dass es wirklich publik wurde, mit Angriff öffentlichkeitswirksam erst reagiert haben. Und das ist unserer Meinung nach zu spät. So gehts nicht", sagte Manuel Atug.
Die Citrix-Verantwortlichen sehen das anders. Zu einem Interview mit dem Deutschlandfunk fand sich zwar kein Citrix-Manager bereit. Citrix-Pressesprecher Oliver Kentschke begründete das mit Terminproblemen. Alle Citrix-Sprecher befänden sich auf der jährlichen Partner- und Sales-Konferenz in den USA. In einer schriftlichen Stellungnahme teilte Citrix dem Deutschlandfunk mit:
"Wir haben sofort unseren Sicherheitsreaktionsprozess gestartet und einen Sicherheitshinweis mit detaillierten Maßnahmen zur Risikominimierung veröffentlicht. Diese Maßnahmen decken alle unterstützten Versionen unserer Software ab und beinhalten detaillierte Schritte, mit denen ein potenzieller Angriff über alle bekannten Szenerien hinweg gestoppt werden kann."
Erste Sicherheits-Updates ab dem 20. Januar
Gleichwohl wird es Sicherheits-Updates für diese Lücken erst ab dem 20. Januar geben. Zunächst für die Softwareversionen 11.1 und 12, für die Version 10.5 erst ab dem 31. Januar. Diese Sicherheitslücken müssten nach dem Dafürhalten vieler Sicherheitsexperten längst geschlossen sein. Bereits seit Jahren fordern sie eine Meldepflicht für Sicherheitslücken. Manuel Atug:
"Schwachstellen müssen gemeldet werden, Schwachstellen müssen von Herstellern behoben werden. Hersteller müssen eigentlich ganz klar dazu sozusagen gezwungen werden, eine Update-Pflicht zu haben und diese Updates auch für eine entsprechende Vertrags oder Mindestlaufzeit bereitzustellen. Dann weiß ich als Kritis-Betreiber: Ich kaufe dieses Produkt ein. Ich habe vor, das zehn Jahre, 20 Jahre oder nur drei Jahre zu nutzen, und dann muss der mir auch diese Updates in dem Zeitraum garantieren für Schwachstellen, die gemeldet werden."
Sogar Bundesinnenminister Horst Seehofer wollte die Meldepflicht für Sicherheitslücken in das IT-Sicherheitsgesetz 2.0 einbringen. Seinen Beamten im Innenministerium hatte Seehofer auf dem Digitalgipfel der Bundesregierung Anfang Dezember 2018 in Nürnberg deshalb auch schon angekündigt.
"Aber das nehmen wir mit. Sie kriegen jetzt jede Woche die Frage: Wo ist die Meldepflicht?"
Doch bei den konkreten Beratungen zum zweiten IT-Sicherheitsgesetz war die Sicherheitslücken-Meldepflicht dann kein Thema mehr. Die Sicherheitsbehörden und Militärs hatten sich durchgesetzt. Sie brauchen derartige Sicherheitslücken, damit ihre digitalem Angriffswaffen und ihre Spionagesoftware funktioniert. Hier fordern Sicherheitsexperten einen radikalen Politikwechsel.
Meldepflicht für Sicherheitslücken?
Kloiber: Die Frage stellt sich dann natürlich, ob es zu einem solchen radikalen Politikwechsel in Sachen Meldepflicht für Sicherheitslücken kommen wird. Sie beschäftigen sich ja schon seit einigen Jahren mit genau dieser Frage. Wie schätzen Sie das ein, Peter?
Welchering: Wenn wir uns vergleichbare Sicherheitsvorfälle der vergangenen Jahre anschauen, gab es immer kurz die politische Diskussion über eine Meldepflicht für Sicherheitslücken. Aber sie war eben nur kurz, sie verschwand schnell, weil interessierte Stellen, Nachrichtendienste, Militärs, Unternehmen, die Spionage- und Angriffssoftware herstellen, dafür gesorgt haben. Das ist auch in diesem Fall zu erwarten. Denn die Lobbyisten der Geheimdienste, Militärs und Spionage-Dienstleister machen in Berlin und Brüssel einen extrem guten Job. Gleichzeitig beobachte ich aber den Effekt, dass genau diese Diskussion in der IT-Sicherheits-Community öffentlicher geführt wird. Da hat sich tatsächlich etwas geändert. Da positioniert sich die IT-Sicherheits-Community deutlicher und bringt auch konkrete Vorschläge ein.
Kloiber: Welche Vorschläge sind das?
Welchering: Zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik aus den Strukturen des Bundesinnenministeriums herauszulösen, weil das Innenministerium ja auch für die Sicherheitsbehörden zuständig ist, die gegen eine Meldepflicht für Sicherheitslücken agieren. Ein weiterer Vorschlag ist die Quellcode-Hinterlegung bei Treuhändern, zu der Softwarehersteller verpflichtet werden sollen, damit unabhängige Sicherheitsexperten in Notsituationen, wenn eine Sicherheitslücke entdeckt wurde und vom Unternehmen nicht mehr oder nicht zeitig genug geschlossen werden kann, genau dies tun: Die Schwachstelle beseitigen. Oder noch ein Vorschlag: Sicherheitslücken von einer unabhängigen und sehr schnell arbeitenden Expertenkommission auf ihre Kritikalität hin bewerten zu lassen und dann viel schneller als heute möglich Notfallmaßnahmen und natürlich die Beseitigung der Schwachstelle herbeiführen zu können. Aber alles das setzt natürlich eine Meldepflicht für Sicherheitslücken voraus, die wir eben Stand heute nicht haben.
Kloiber: Wie müsste nach dem Dafürhalten der Sicherheitsexperten denn das BSI positioniert sein, um das Vertrauen der Sicherheitsforscher und der IT-Sicherheits-Community gewinnen zu können und dann auch als Koordinierungsinstanz auch im Rahmen einer solchen Meldepflicht für Schachstellen zu agieren?
Welchering: Da wird in der Diskussion gern auf den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit verwiesen. Der ist aus der Struktur der Bundesministerien raus. Der hat genau diese Unabhängigkeit. Und diese Bundeseinrichtung könnte ein Vorbild für ein reformiertes BSI sein. Aber auch solche Reformen können nur ein Ergebnis bringen, wenn eben eine gesetzliche Meldepflicht für Sicherheitslücken eingeführt wird. Zweitens wird in der Diskussion immer wieder darauf aufmerksam gemacht, dass wir eine defensive Sicherheitspolitik brauchen, eine Verteidigungsstrategie, auch für die Cybersicherheit. Wer digitale Angriffswaffen haben will, also einer Offensivstrategie anhängt, der braucht Sicherheitslücken. Wer eine defensive Cybersicherheitsstrategie haben will, braucht eine Meldepflicht für Sicherheitslücken. Und deshalb gilt: bis dahin haben wir noch einen langen Weg vor uns.
Kloiber: Über Sicherheitsprobleme bei der RemoteAccess-Software Citrix berichtete Peter Welchering, danke.asfb