Beiträge

#Shitrix: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Seit dem 07.01.2020 hat das CERT-Bund des BSI deutsche Netzbetreiber, die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und andere -Nutzergruppen über verwundbare Citrix-Systeme informiert. Darüber hinaus wurde beispielsweise am 16.01.2020 nochmal verschärft darauf hingewiesen, dass seit dem 10.01.2020 verstärkt Exploit-Code zur Ausnutzung der Schwachstelle veröffentlicht wurde. Trotzdem sind heute immer noch viele Systeme verwundbar und werden aktiv kompromittiert, wie beispielsweise auch die Landeshauptstadt Potsdam und die Stadt Brandenburg!

Wie kann es sein, dass nach Veröffentlichung von Schwachstellen durch Hersteller und Entdecker als auch nach Warnmeldungen vom BSI ein sicherer Betrieb und eine zügige Absicherung der IT-Infrastruktur nicht gewährleistet werden kann? Bis heute sind immer noch viele Systeme ungepatcht.

Um den beschriebenen Herausforderungen auf geeignete Weise begegnen zu können, bedarf es staatlicher Unterstützung, die wir in diesem Beitrag zu politischen Forderungen zur Diskussion stellen möchten.

So kann es nicht weitergehen. Die Politik ist jetzt gefragt, einige wenige, aber sehr notwendige gesetzliche Änderungen durchzuführen.

Politische Forderungen

Was kann der Gesetzgeber aus dem Citrix-Vorfall als auch der kürzlich bekannt gewordenen Krypto-Schwachstelle bei Microsoft lernen und für uns alle verbessern?

Unabhängigkeit des Bundesamt für Sicherheit in der Informationstechnik

Wie einem Mitglied der AG KRITIS vertraulich zugetragen wurde, hätte die Citrix-Sicherheitslücke bereits einige Tage oder Wochen vor der ersten Meldung von Citrix am 17.12.2019 an das BSI gemeldet werden können. Mitarbeiter eines Unternehmens hatten schon früher Kenntnis über die Sicherheitslücke erlangt – entschieden sich aber, diese die Kenntnis der Sicherheitslücke vorerst nicht dem BSI öffentlich zu machen oder zu melden. Mangels Vertrauen, dass diese Erkenntnisse nicht auch an Angreifer oder über das BMI an die Sicherheitsbehörden zur Ausnutzung gelangen würden!

Stellungnahme vom 29.01.2020 zum obigen Abschnitt: Es handelte sich hierbei nicht um eine Meinung des Unternehmens, sondern um eine private Meinung, die in dieser Weise nicht für die Veröffentlichung vorgesehen war. Dafür entschuldigen wir uns nachdrücklich.

Das BSI muss aus den Strukturen des Bundesinnenministeriums herausgelöst werden, um eine unabhängige und defensive IT-Sicherheit in Deutschland zu etablieren. Das BMI ist auch für deutsche Sicherheitsbehörden zuständig, die zwangsläufig aufgrund ihres staatlichen Auftrags den IT-Sicherheitszielen gegensteuern müssen.

Ein unabhängiges und ausschließlich defensiv agierendes BSI kann zum einen das benötigte Vertrauen schaffen, so dass Sicherheitsforscher alle gefundenen Schwachstellen dem Hersteller als auch dem BSI möglichst umgehend bereitstellen. Zum anderen kann es dann wiederum auch konsequent die Entwicklung eines Patches und das ausrollen und installieren bei KRITIS Betreibern als Kunden dieser Hersteller überwachen und sicherstellen. Zur Not auch durch den Einsatz von Bußgeldern und Strafzahlungen, vergleichbar dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Rahmen der DSGVO.

Solange dieses Vertrauen nicht hergestellt ist, werden durch Sicherheitsforscher entdeckte Sicherheitslücken nicht konsequent an das BSI gemeldet. Des weiteren wird dadurch auch der Schwarzmarkt zum Handel mit Sicherheitslücken (0days oder zero day exploits) und zugehörigen Exploits zum Ausnutzen der Lücken angefeuert und nicht ausgetrocknet.

Gesetzlich verpflichtendes Patchmanagement

KRITIS Betreiber können häufig nicht ihre eigene Software für Spezialanwendungen schreiben und müssen diese zukaufen. Wir fordern daher neben der Veröffentlichung des Quellcodes, oder aber der treuhänderischen Verwaltung des Quellcodes eine gesetzliche Verpflichtung der KRITIS-Betreiber, Aktualisierungen und Softwareverteilung auf Integrität und Herkunft zu prüfen, aber auch binnen einer vorgegebenen und Bußgeldbewehrten Frist, Empfehlungen und Mindeststandards des BSI umzusetzen. Dies erfordert, dass Hersteller entsprechende Signaturen implementieren. Unsignierte Software, die nicht Open Source ist, und wo sich der Quellcode nicht in treuhändischer Verwaltung befindet, darf im KRITIS-Umfeld unserer Meinung nach nicht eingesetzt werden.

Patches müssen gesichert eingespielt werden können, um einen dauerhaften Schutz der IT-Landschaft zu gewährleisten.

FM4 ORF Artikel: Immer mehr Citrix-Systeme mit Schadsoftware verseucht

Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Bei FM4 von ORF in Österreich betonen wir, wie gefährlich es ist, sich in falscher Sicherheit zu wiegen.

„Das österreichische ELAK-System wurde erst 13. Jänner mit einem Provisorium des Herstellers gesichert. Dieser Workaround dürfte zudem bei mehreren neueren Versionen des Citrix-Betriebssystems nicht wirksam sein. Deshalb rät Manuel Atug von der AG Kritis, die VPN-Gateways und Lastverteiler von Citrix im Zweifelsfall völlig neu aufzusetzen.“

Der vollständige Artikel bei FM4 von ORF in Österreich findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

Logbuch Netzpolitik 327: Dienste der Informationsgesellschaft – Citrix Vulnerability

@Linuzifer und @timpritlove haben in ihrem Podcast unseren Beitrag und die zugehörigen Analysen zur Citrix Schwachstelle #Shitrix wegen der Relevanz bezogen auf die Kritischen Infrastrukturen referenziert und besprochen.

Hier ein paar Auszüge aus dem Podcast:

„Ab in die Securtiy Hölle… von Citrix gibt es eine wunderschöne Schwachstelle.“

„Aber wo Citrix sehr viel Anwendung findet, ist in der Fernwartung von Systemen.“

„Problem: Gibt da ne Schwachstelle und diese Schwachstelle ermöglicht im Prinzip auf den Servern eine Remote Code Execution vor der Authentifizierung.“

„Jetzt gibt es gerade Disko im Internet, weil natürlich keiner weiß, ob seine Citrix Büchsen nicht schon längst aufgemacht wurden. Wie das so ist bei solchen Schwachstellen weißt Du nicht, in wessen Händen die vorher schon waren. Und gerade im Bereich der Kritischen Infrastrukturen kommt das gerne zum Einsatz.“

„Dazu gibt es auch eine entsprechende Veröffentlichung der AG KRITIS. Die kümmern sich um Sicherheitsfragen in Kritischen Infrastrukturen. Das meint eben sowas wie Stadtwerke, Krankenhäuser, Polizei und Feuerwehr für unsere Allgemeinheit. Auch sowas wie Energiesektor etc. Wichtige kritische Infrastruktur und die haben da auch mal nachgeschaut und festgestellt: hmmm, von denen, die offensichtlich hier Betroffene sein könnten gibt es zahlreiche, also tausende alleine in Deutschland, die hier noch nicht für entsprechende Anpassung der Konfiguration bzw. Softwareupdate, was es offensichtlich noch nicht gibt, gesorgt haben.“

Hier noch die referenzierte und in teilen zitierte Veröffentlichung von uns:

ag.kritis.info: KRITIS Betreiber von schwerwiegender Citrix-Schwachstelle betroffen

Den vollständigen @me_netzpolitik Podcast „LNP327 Dienste der Informationsgesellschaft“ mit @AG_KRITIS findet ihr hier:

DLF-Radio: Citrix-Sicherheitslücke- Schwachstelle bereitet Sicherheitsexperten Kopfzerbrechen

Wir berichteten über die aktuelle Sicherheitslücke #Shitrix in VPN-Gateways von Citrix. Bei Deutschlandfunk Forschung aktuell – Computer und Kommunikation zieht es die politische Diskussion nach sich: Braucht es eine gesetzliche Meldepflicht für Sicherheitslücken?.

Diese Sicherheitslücken müssten nach dem Dafürhalten vieler Sicherheitsexperten längst geschlossen sein. Bereits seit Jahren fordern sie eine Meldepflicht für Sicherheitslücken. Manuel Atug:

„Schwachstellen müssen gemeldet werden, Schwachstellen müssen von Herstellern behoben werden. Hersteller müssen eigentlich ganz klar dazu sozusagen gezwungen werden, eine Update-Pflicht zu haben und diese Updates auch für eine entsprechende Vertrags oder Mindestlaufzeit bereitzustellen. Dann weiß ich als KRITIS-Betreiber: Ich kaufe dieses Produkt ein. Ich habe vor, das zehn Jahre, 20 Jahre oder nur drei Jahre zu nutzen, und dann muss der mir auch diese Updates in dem Zeitraum garantieren für Schwachstellen, die gemeldet werden.“

Der vollständige Beitrag in DLF Forschung aktuell mit @HonkHase findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

SWR Netzagent: Wie gefährlich ist die Citrix Sicherheitslücke? | Gespräch mit IT-Experten

Wir waren beim SWR Netzagent Podcast zu Gast und haben dort über die Citrix #Shitrix Schwachstelle im Zusammenhang mit Kritischen Infrastrukturen diskutiert.

Die Citrix Sicherheitslücke zeigt, wie schwerfällig und langsam in Deutschland auf IT Sicherheitslücken reagiert wird. Auch nach einem Monat haben längst nicht alle Unternehmen ihre Systeme geschützt. Dabei sind die ersten Firmen bereits gehackt worden. In Deutschland nutzen nicht nur Wirtschaftsunternehmen sondern auch Betreiber kritischer Infrastrukturen wie Krankenhäuser, Energieversorger oder Leitstellen die Citrix Software. Durch diese Sicherheitslücke sind also auch ganz empfindliche Bereiche und Daten betroffen. Die @AG KRITIS ist eine Arbeitsgemeinschaft von IT Experten, die versucht die IT Sicherheit für kritische Infrastrukturen zu erhöhen. Meine Gesprächspartner im Netzagenten sind die IT Experten Jan Hoff und Manuel Atug beide von der @AG KRITIS. Im Netzagenten sprechen wir über die Gefahren und Auswirkungen der IT Sicherheitslecks und wie wir uns in Deutschland schützen können.

Den vollständigen SWR Netzagent Podcast mit @mehgrmlhmpf und @HonkHase findet ihr hier:

Umsetzung des Citrix Workaround verläuft schleppend

#Citrix Workaround durch zahlreiche Betreiber erst sehr spät oder bis heute nicht implementiert!

Angesichts der Tatsache, dass seit der vergangenen Woche mehrere Exploits frei im Internet verfügbar sind, ist das geradezu fahrlässig #KRITIS #shitrix

— AG KRITIS (@AG_KRITIS) January 16, 2020

Spiegel-Artikel: Kompromittiert mit Ansage

Unter ihnen  Behörden, Parteien, Banken, Kraftwerksbetreiber, Universitäten, Krankenhäuser und Gemeinden.

„Wer nicht den #Workaround von #Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie #kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug von der @AG_KRITIS.

Für die Organisierte Kriminalität oder staatlich unterstützte Hacker sei Citrix ein „Jackpot“, sagt Atug. Schließlich ermögliche die #Schwachstelle nicht zuletzt, sich in den Systemen von Betreibern kritischer Infrastrukturen einzunisten.

SPIEGEL-Artikel: Kompromittiert mit Ansage

Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Der SPIEGEL hebt heraus, dass Citrix nun für Kriminelle ein Jackpot ist.

„Wer nicht den Workaround von Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug. Er leitet die unabhängige Arbeitsgruppe AG KRITIS, die sich dem Schutz kritischer Infrastrukturen verschrieben hat.

Dort sieht er ein besonderes Bedrohungspotenzial. Für die Organisierte Kriminalität oder staatlich unterstützte Hacker sei Citrix ein „Jackpot“, sagt Atug. Schließlich ermögliche die Schwachstelle nicht zuletzt, sich in den Systemen von Betreibern kritischer Infrastrukturen einzunisten, also etwa bei Verwaltungen, in der Energie- oder der Wasserversorgung – für eine sofortige Erpressung oder auch für einen späteren Angriff.

Der vollständige Artikel in SPIEGEL Netzwelt findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

ZDF-Artikel – Citrix: Gesetz ermöglicht Schwachstellen

Im Nachgang zu unserer Berichterstattung über die aktuelle Sicherheitslücke in CITRIX VPN-Gateways berichtete das ZDF auf seiner Website auch über uns.

Legt ein Hackerangriff zum Beispiel eine Rettungsleitstelle, ein Krankenhaus oder ein Wasserwerk lahm, hat das massive Auswirkungen. „Der Angriff ist vergleichsweise einfach und entsprechende Angriffswerkzeuge bereits frei verfügbar“, warnte die AG Kritis, eine Arbeitsgemeinschaft von IT-Sicherheitsexperten, die sich um kritische Infrastrukturen kümmern, bereits am vergangenen Wochenende.

Der vollständige Artikel ist auf der Webseite des ZDF zu finden.

Unser Blogpost zum Thema ist hier zu finden:

SZ-Artikel – Wie #Shitrix die IT-Sicherheit weltweit gefährdet

Die Süddeutsche Zeitung berichtete über unsere Sicherheitsmeldung in Bezug auf die aktuelle Sicherheitslücke in Citrix VPN Gateways.

Die AG Kritis, ein Zusammenschluss von IT-Experten, die die Sicherheit kritischer Infrastrukturen in Deutschland verbessern wollen, warnte am Wochenende in einem Blogbeitrag, dass auch in Leitstellen von Polizei und Feuerwehr in Deutschland betroffene Citrix-Software zum Einsatz kommt.

Der Volltext des Artikels der Süddeutschen Zeitung findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

KRITIS Betreiber von schwerwiegender Citrix-Schwachstelle betroffen

Update zum Thema: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Das zentrale Zugriffsgateway des Herstellers Citrix, welches auch in Leitstellen für Polizei und Feuerwehr, in Krankenhäusern und Stadtwerken, aber auch in vielen Unternehmen zum Einsatz kommt, wird aktuell angegriffen und ausgenutzt. Dabei wird eine im Dezember 2019 bekannt gewordene Sicherheitslücke ausgenutzt, die es erlaubt, beliebigen Schadcode auf den IT-Systemen betroffener Unternehmen und KRITIS-Betreiber auszuführen. Das BSI bestätigt, dass es derzeit aktive Angriffe gegen anfällige Systeme gibt.

Im Dezember 2019, vor 23 Tagen, ist eine schwerwiegende Sicherheitslücke in Citrix Netscaler VPN Gateways bekannt geworden. Diese Schwachstelle erlaubt es einem Angreifer, beliebigen Code auf Systemen auszuführen und anschließend weiter in betroffene Infrastrukturen vorzudringen. Details hierzu wurden von Tripwire veröffentlicht. Der Angriff ist vergleichsweise einfach und entsprechende Angriffswerkzeuge bereits frei verfügbar. Es erfolgt zudem bereits eine aktive Ausnutzung – das heißt, dass anfällige KRITIS Betreiber bereits kompromittiert sein können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits ab dem 07.01.2020 begonnen, Unternehmen in Deutschland zu informieren. Dennoch sind tausende von Systemen weiterhin anfällig und bieten Angreifern ein mögliches Einfallstor in deren Umgebungen. Zwar konnten seit dem 07.01.2020 bereits über 500 anfällige Systeme geschützt werden, allerdings sind laut BSI über 3.600 Systeme in Deutschland weiterhin anfällig. Unter den Betroffenen sind weiterhin auch Kritische Infrastrukturen.

Eine Recherche in entsprechenden Suchmaschinen für IT-Systeme (z. B. Shodan) ergibt, dass neben Baumarktketten und Automobilzulieferern auch KRITIS Betreiber mit unter denen dabei sind, die keine Gegenmaßnahmen umgesetzt haben. Dazu gehören unter anderem auch:

  • Kreisverwaltungen
  • Landwirtschaftskammern
  • Leitstellen für Polizei und Feuerwehr
  • Krankenhäuser
  • Stadtwerke

Die nachfolgenden Screenshots zeigen detaillierte Systeminformationen von ausgewählten Systemen, die über öffentlich verfügbare Suchmaschinen abgerufen werden können. Eine dieser Suchmaschinen ist Shodan – das Google für IT-Systeme. Diese durchsucht das Internet nach öffentlich erreichbaren Systemen und erlaubt es Benutzern nach bestimmten Attributen zu suchen. So können die anfälligen Systeme und die zugehörigen Organisationen auch einfach den KRITIS Unternehmen zugeordnet werden.

Ciritx Fail 1/3

Ciritx Fail 2/3

Ciritx Fail 3/3

Der Vorfall zu dieser Sicherheitslücke zeigt erneut, dass sowohl auf Seiten der Softwarehersteller, der KRITIS Betreiber und ihrer IT-Dienstleister, als auch bei den Behörden der Umgang mit Schwachstellen weiterhin verbessert werden kann und muss. Solange Betreiber und Behörden mit der Aktualisierung von verwundbaren Systemen hinterherhinken und sowohl Softwarehersteller als auch IT-Dienstleister Schwachstellen nicht umgehend beheben bzw. gar nicht erst erzeugen, solange sind dann eben auch die Angreifer den Verteidigern der Kritischen Infrastrukturen einen Schritt voraus. Ein direkter Zugriff auf wesentliche Anlagenteile in Kritischen Infrastrukturen ist zwar oftmals nicht möglich; sind aber Angreifer in der Lage, in der Umgebung eines KRITIS Betreibers Fuß zu fassen, so kann zumindest indirekt auch auf die Versorgungsleistung und Verfügbarkeit Einfluss genommen werden. Dies zeigen die durch Erpresser vorgenommenen Ransomware-Angriffe und dadurch bedingten Ausfälle auf Stadtverwaltungen, Versorgungsunternehmen, Universitäten und Krankenhäuser in den letzten Monaten.

Das BSI hat zwar betroffene KRITIS Betreiber und Unternehmen informiert, allerdings scheinen entweder die Organisationen und ihre IT-Dienstleister mit der Aktualisierung überfordert zu sein, die Dringlichkeit nicht verstanden zu haben oder die Informationen nicht die richtigen Adressaten gefunden zu haben. Ein sicherer Betrieb unserer Kritischen Infrastrukturen erfordert qualifiziertes Personal sowohl bei Behörden, als auch bei den Betreibern und ihren IT-Dienstleistern. Dies schließt auch ein, Schwachstellen bewerten zu können und zeitnah Korrekturmaßnahmen zu etablieren. Darüber hinaus müssen IT-Betreiber und ihre IT-Dienstleister sich mit der Frage der Haftung konfrontiert sehen. Werden die falschen Personen durch Behörden oder Sicherheitsforscher kontaktiert? Müssen Korrekturmaßnahmen wie Patchmanagement und zugehörige Konfliktpotentiale wie Einhaltung von SLAs in Vertragswerken beim Auslagerungsmanagement (Outsourcing) richtig adressiert werden? Sind aufgrund von Wochenenden oder Feiertagen wichtige Ressourcen nicht verfügbar? Dann müssen KRITIS-Betreiber,  Unternehmen und Behörden ihre Organisationsstrukturen und Maßnahmen überdenken und neu ausrichten.

Nicht nur die direkten Anlagen und Komponenten von Kritischen Infrastrukturen selbst müssen gemäß § 8a BSI-Gesetz nachweislich sicher betrieben werden, sondern auch die Systeme, die für den Zugriff auf die Infrastrukturen genutzt werden, beispielsweise für die Fernadministration. Dazu gehören insbesondere auch mit dem Internet verbundene Büro-Systeme von Administratoren, die einen Zugriff auf wesentliche interne Ressourcen zulassen.