Umsetzung des Citrix Workaround verläuft schleppend

#Citrix Workaround durch zahlreiche Betreiber erst sehr spät oder bis heute nicht implementiert!

Angesichts der Tatsache, dass seit der vergangenen Woche mehrere Exploits frei im Internet verfügbar sind, ist das geradezu fahrlässig #KRITIS #shitrix

— AG KRITIS (@AG_KRITIS) January 16, 2020

Spiegel-Artikel: Kompromittiert mit Ansage

Unter ihnen  Behörden, Parteien, Banken, Kraftwerksbetreiber, Universitäten, Krankenhäuser und Gemeinden.

„Wer nicht den #Workaround von #Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie #kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug von der @AG_KRITIS.

Für die Organisierte Kriminalität oder staatlich unterstützte Hacker sei Citrix ein „Jackpot“, sagt Atug. Schließlich ermögliche die #Schwachstelle nicht zuletzt, sich in den Systemen von Betreibern kritischer Infrastrukturen einzunisten.

Verantwortungsdiffusion und Zuständigkeitschaos der staatlichen Cybersicherheitsarchitektur

 

Auch aus unserer Sicht eine spannende Frage, also haben wir dazu einen kleinen Thread geposted.

Wir befinden uns immer noch in einer Situation, wo sich die einzelnen Institutionen im Wesentlichen durch #Koexistenz statt #Kooperation auszeichnen. 1/6 
Software, Hardware und Know-How wird individuell beschafft und sorgt für eine suboptimale Nutzung – leider auch nicht zum Schutz unserer Kritischen Infrastrukturen. 2/6 
Das #NCAZ, das im #Krisenfall die Reaktion der #Behörden koordinieren soll, hat unklare geregelte Zuständigkeiten, da die Entscheidung, wer zuständig ist, von korrekter #Attribution ausgeht. 3/6 
Ein unabhängiges @BSI_Bund könnte hier übergreifende Prozesse schaffen, so könnte das #BSI als zentraler und defensiver Ankerpunkt die wesentliche koordinierende Rolle als Drehscheibe einnehmen und die Verantwortungsdiffusion zu großen Teilen auflösen. 4/6 
Solange sich einzelne #Behörden nicht austauschen und nur mäßig funktionierende gemeinsame Lagezentren vorhanden sind, die einen trägen Informationsaustausch pflegen, bezeichnen wir das als „chaotisch“. 5/6 
Andere Länder sind hier bereits weiter. Wir fordern – rein defensive – gemeinsame Lagezentren von #Staat#Wirtschaft und #Forschung6/6 

Indisches Atomkraftwerk als Command’n’Control Server benutzt!

Zur Unterscheidung:

IT sind Informationstechnische Systeme (#PC #Laptop #Windows #Office#Buchhaltung…)

OT sind Operative Systeme (#ICS #SCADA #SPS #HMI #PLC #Steuertechnik…) 

Angemessener Stand der Technik #SdT wie in #KRITIS gefordert wurde offenbar im #AKW nicht eingehalten.

Strikte #Trennung zwischen #OT-Steuersystemen und #IT ist eine wesentliche #Sicherheitsmaßnahme!

Weitere #Maßnahmen und #Forderungen finder Ihr hier.

ag.kritis.info/politische-for… 

Ob diese Meldung wohl eigentlich einen anderen Hintergrund hat?

SG steht mit hoher Wahrscheinlichkeit für Steam Generator.

m.economictimes.com/industry/energ… 

Die eingesetzte #Malware #dtrack wird oft im #Finanzumfeld in #Indien gefunden und der #Lazarus Gruppe zugeordnet. Die Vermutung liegt daher nahe, dass die kerntechnische Anlage eher ein #Kollateralschaden und nicht das eigentliche Ziel des Angriffs war.
#collateraldamage #KRITIS