Klinik-Hack in Düsseldorf erfolgte fast sicher via Citrix-Lücke (Update)

18. September 2020 um 10:01
  • international
  • security
  • breach
  • lücke
  • citrix
image

Das BSI warnt, dass viele Unternehmen zwar ihre VPN Gateways gepatcht, aber installierte Hintertüren übersehen haben.

Am 10. September 2020 kam es zu einem Hackerangriff auf das Universitätsklinikum Düsseldorf (UKD), der mittlerweile ein Todesopfer gefordert hat
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde, wie es das Gesetz in Deutschland verlangt, über den Vorfall informiert. Wie das BSI mitteilt, hat es sofort seine Hilfe angeboten. Mit einem mobilen Einsatzteam unterstütze das BSI gegenwärtig die Verantwortlichen des UKD vor Ort aktiv bei der Analyse und Bewältigung des Vorfalls.
Noch wurde vom UKD nicht offiziell bestätigt, ob es sich um eine Ransomware-Attacke handelte und wie die Angreifer ins System gelangen konnten. Viele Experten vermuten, dass sie dafür eine bereits seit längerem bekannte und gepatchte Sicherheitslücke in VPN-Gateways von Citrix ausgenützt haben. 
Auch das BSI bestätigt diese Vermutung nicht direkt. Aber dass das Amt in der Mitteilung zum Vorfall im Klinikum gleichzeitig vor genau dieser Lücke warnt, macht die Vermutung wohl zur Tatsache.
Man weise mit Nachdruck darauf hin, so das BSI, dass derzeit eine seit Dezember 2019 bekannte Schwachstelle (CVE-2019-19781) in VPN-Produkten von Citrix für Cyber-Angriffe ausgenutzt werde. Dem BSI würden zunehmend Vorfälle bekannt, bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert wurden. Dadurch hätten Angreifer auch nach Schliessung der Sicherheitslücke weiterhin Zugriff auf das System und dahinterliegende Netzwerke. Diese Möglichkeit werde aktuell vermehrt ausgenutzt, um Angriffe auf betroffene Organisationen durchzuführen.
"Bereits im Januar haben wir vor der Schwachstelle gewarnt und darauf hingewiesen, welche Folgen eine Ausnutzung haben kann. Angreifer verschaffen sich Zugang zu den internen Netzen und Systemen und können diese auch Monate später noch lahmlegen. Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Massnahmen zu ergreifen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss", so der eindringliche Kommentar von BSI-Präsident Arne Schönbohm.
(Update 16.06 Uhr) Nach der ersten Veröffentlichung dieses Artikels hat sich auch die Klinik zum Vorfall geäussert. Sie glaubt, absolut nichts falsch gemacht zu haben. Man habe die Citrix-Patches sofort nach ihrem Erscheinen eingespielt und schon zuvor die zuerst von Citrix empfohlenen Workarounds angewendet.
Ausserdem habe man zwei spezialisierte Firmen mit der Überprüfung des Systems beauftragt. Diese haben aber offenbar keine Hintertür gefunden. Auch ein im Frühsommer durchgeführter Penetrationtest habe keinen Befund ergeben.

Loading

Mehr erfahren

Mehr zum Thema

image

Wie sich Schwyz gegen Cyberangriffe wappnet

Ein grosser Teil des kantonalen Amts für Informatik beschäftigt sich gegenwärtig mit der Bedrohungslage rund um die Ukraine-Konferenz.

publiziert am 12.6.2024
image

E-Banking-App der ZKB zeigte falsche Konten an

Aufgrund einer "kurzzeitigen technischen Störung" zeigte die App teilweise Konten von falschen Personen an. Die Störung ist mittlerweile behoben.

publiziert am 11.6.2024
image

Amherd: "Es gibt ein Interesse, die Konferenz zu sabotieren"

Die Ukraine-Konferenz macht die Schweiz zu einer Zielscheibe für Cyberangriffe, was aber nicht anders zu erwarten war.

publiziert am 10.6.2024
image

Apple tüftelt an eigenem Passwort­manager

Angeblich will Apple diese Woche eine eigene App zum Speichern von Kennwörtern lancieren. Sie soll Teil der wichtigsten Betriebssysteme des Konzerns werden.

publiziert am 10.6.2024