Beiträge

ORF AM4 Blog – Dringende Warnung vor Hintertüren in Citrix-Systemen

Anlässlich der aktuell gegebenen Ransomware Erpressung der Uniklinik Düsseldorf hat der ORF in seinem AM4 Blog sich nochmal den Infektionsweg über Citrix / VPN-Gateways angeschaut. Dabei wird erneut hervorgehoben, wie lange die Sicherheitslücke bereits bekannt und in aktiver Ausnutzung war.

 

Die AG Krіtis, ein Nonprofit-Zusammenschluss deutscher Sicherheitsexperten, hatte bereits Anfang Jänner (Januar) vor Angriffen auf die kritische Infrastruktur gewarnt

 

Da wir von einem Told-you-so nichts haben, hier noch einmal der Link zur Herleitung unserer damaligen Forderung verbunden mit dem dringenden Hinweis an alle Entscheidungsträger.

 

Den vollständigen ORF-Artikel findet ihr hier.

Unabhängigkeit des BSI – Umsetzungsvorschläge der „Stiftung Neue Verantwortung“

Dr. Sven Herpig, Leiter für Internationale Cybersicherheitspolitik der „Stiftung Neue Verantwortung“, hat heute das Papier „Die „Unabhängigkeit“ des Bundesamtes für Sicherheit in der Informationstechnik“ veröffentlicht, in dem er die Probleme eines BSI als untergeordnete Behörde des Bundesministeriums des Inneren, für Bau und Heimat (BMI) beleuchtet und konkrete Lösungsvorschläge aufzeigt. Die AG KRITIS fordert seit ihrer Gründung ein unabhängiges BSI

Die fehlende Unabhängigkeit schwächt das Vertrauen der beteiligten Parteien, den Betreibern kritischer Infrastrukturen und der Bürger*innen in das BSI, da es durch die Fachaufsicht des BMI an dessen Weisungen gebunden ist. Das BMI hat jedoch auch die Fachaufsicht über das Bundeskriminalamt, das Bundesamt für Verfassungsschutz und die Bundespolizei. Die Aufgaben dieser Behörden stehen in einem Zielkonflikt mit dem Auftrag des BSI, für Sicherheit in der Informationstechnik zu sorgen. Zur Erfüllung der Aufgaben der genannten Behörden, haben diese ein Interesse daran, auf IT-Systeme zugreifen zu können, Überwachungsmaßnahmen durchzuführen und für diesen Zweck IT-Sicherheitslücken auszunutzen. Das BMI ist rechtlich in der Lage, das Schließen von Schwachstellen, die dem BSI als „nationale Cybersicherheitsbehörde“ gemeldet werden, durch eine Weisung zu unterbinden und die Schwachstelle ebendiesen Strafverfolgungsbehörden zur Nutzung zu übergeben. Wie Dr. Sven Herpig schreibt, könnte die Folge davon sein, dass „[…]der Informationsfluss [von IT-Sicherheitsforscher*innen an das BSI] abnehmen oder sogar versiegen [würde]. “

In der Kurzanalyse gibt die „Stiftung Neue Verantwortung“ konkrete Beispiele für konkrete Möglichkeiten der Reorganisierung des BSI: Neben einem Ressortwechsel in ein anderes Bundesministerium oder der Reduzierung der Aufsichtsfunktion auf die ausschließliche Rechtsaufsicht werden auch Möglichkeiten aufgezeigt, die eine noch weitergehende Unabhängigkeit des BSI beschreiben; u.a. der Einstufung des BSI als oberste Bundesbehörde oder der Installation des BSI als Informationssicherheitsbeauftragter des Bundes. Das Beleuchten der Vor- und Nachteile der verschiedenen Formen übersteigt den Umfang dieses Artikels, wir verweisen hier auf den lesenswerten Aufsatz von Dr. Sven Herpig.

Vielen Dank an Dr. Sven Herpig von der „Stiftung Neue Verantwortung“ für diese detaillierte Analyse.

FM4 ORF Artikel: Immer mehr Citrix-Systeme mit Schadsoftware verseucht

Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Bei FM4 von ORF in Österreich betonen wir, wie gefährlich es ist, sich in falscher Sicherheit zu wiegen.

„Das österreichische ELAK-System wurde erst 13. Jänner mit einem Provisorium des Herstellers gesichert. Dieser Workaround dürfte zudem bei mehreren neueren Versionen des Citrix-Betriebssystems nicht wirksam sein. Deshalb rät Manuel Atug von der AG Kritis, die VPN-Gateways und Lastverteiler von Citrix im Zweifelsfall völlig neu aufzusetzen.“

Der vollständige Artikel bei FM4 von ORF in Österreich findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

SPIEGEL-Artikel: Kompromittiert mit Ansage

Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Der SPIEGEL hebt heraus, dass Citrix nun für Kriminelle ein Jackpot ist.

„Wer nicht den Workaround von Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug. Er leitet die unabhängige Arbeitsgruppe AG KRITIS, die sich dem Schutz kritischer Infrastrukturen verschrieben hat.

Dort sieht er ein besonderes Bedrohungspotenzial. Für die Organisierte Kriminalität oder staatlich unterstützte Hacker sei Citrix ein „Jackpot“, sagt Atug. Schließlich ermögliche die Schwachstelle nicht zuletzt, sich in den Systemen von Betreibern kritischer Infrastrukturen einzunisten, also etwa bei Verwaltungen, in der Energie- oder der Wasserversorgung – für eine sofortige Erpressung oder auch für einen späteren Angriff.

Der vollständige Artikel in SPIEGEL Netzwelt findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

SZ-Artikel – Wie #Shitrix die IT-Sicherheit weltweit gefährdet

Die Süddeutsche Zeitung berichtete über unsere Sicherheitsmeldung in Bezug auf die aktuelle Sicherheitslücke in Citrix VPN Gateways.

Die AG Kritis, ein Zusammenschluss von IT-Experten, die die Sicherheit kritischer Infrastrukturen in Deutschland verbessern wollen, warnte am Wochenende in einem Blogbeitrag, dass auch in Leitstellen von Polizei und Feuerwehr in Deutschland betroffene Citrix-Software zum Einsatz kommt.

Der Volltext des Artikels der Süddeutschen Zeitung findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier: