«Unternehmen haben das Risiko unterschätzt»

Wie konnten über ein Dutzend Schweizer Unternehmen der Sicherheitslücke #Shitrix zum Opfer fallen? Ein Experte erklärt.

Eine Sicherheitslücke gewährt Angreifern derzeit besonders leicht Zugriff auf Unternehmensserver. (Symbolbild) Foto: istock/gorodenkoff

Eine Sicherheitslücke gewährt Angreifern derzeit besonders leicht Zugriff auf Unternehmensserver. (Symbolbild) Foto: istock/gorodenkoff

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Über ein Dutzend Schweizer Unternehmen wurden in den letzten Tagen von Angreifern infiziert, Hunderte weitere sind gefährdet. Das Sicherheitsleck in der Fernzugriffssoftware des Herstellers Citrix, auf Twitter genüsslich mit #Shitrix betitelt, sorgt derzeit für Unsicherheit in der weltweiten Firmenlandschaft. Gross ist das Risiko bei ungenügenden Vorkehrungen, dass Drittpersonen Zugang zu Servern von Unternehmen erhalten. Hinzu kommt, dass diverse Anleitungen im Netz kursieren, die es auch Personen mit IT-Halbwissen ermöglichen, schädlichen Code auf Firmenservern auszuführen (zum Bericht).

Der Gefahr zum Trotz haben viele Unternehmen jedoch noch immer keine oder nur ungenügende Sicherheitsmassnahmen ergriffen, obwohl der Hersteller bereits Mitte Dezember auf die Lücke hingewiesen hatte. Die späte Reaktion verteidigen gewisse Branchenführer gegenüber «10vor10» mit einem «suboptimalen» Informationsfluss vonseiten der Outsourcing-Partner, Citrix und nicht zuletzt auch von den hiesigen Behörden.

«In der Privatwirtschaft liegt die Verantwortung bei den Unternehmen»: Sicherheitsexperte Miro Schenker. Foto: PD

Miro Schenker, Strategiechef des Schweizer Sicherheitsberaters Swiss Infosec, hat kein Verständnis für diese Erklärung: «Unternehmen dürfen sich nicht nur auf den Staat verlassen.» In der Privatwirtschaft liege die Verantwortung der IT-Sicherheit ganz klar bei den jeweiligen Unternehmen. Anders sieht er das etwa bei staatlichen Firmen, wo eine Unterstützung und Warnung durch den Bund angebracht sei.

Hersteller informierte bereits vor einem Monat

Die Melde- und Analysestelle Informationssicherung (Melani) ist vom Bundesrat mit dem Schutz der kritischen Infrastrukturen in der Schweiz beauftragt. Zu den kritischen Infrastrukturen gehören etwa Spitäler, Banken oder Energieversorger, wie Pascal Lamia, Leiter Melani, erklärt.

Um «Mitglied des geschlossenen Kundenkreises» zu werden, müssen die Unternehmen grundsätzlich selbst auf die Behörde zugehen. «Wir können nicht jede kritische Infrastruktur einzeln anfragen und zur Mitgliedschaft zwingen können wir sie auch nicht», sagt Lamia. Ausnahmen gibt es jedoch: Ganz grosse und systemrelevante Unternehmen wie etwa Universitätsspitäler, Banken, Energieversorger oder Telekommunikationsunternehmen seien von Melani bereits vor Jahren persönlich angegangen worden.

Ein Unternehmen, welches Mitglied bei Melani werden möchte, wird zuerst zu einem persönlichen Gespräch eingeladen und über die Aufgaben sowie die mögliche subsidiäre Unterstützung informiert. «Es wird geklärt, wie das Unternehmen aufgestellt ist, also unter anderem, ob es seine IT-Infrastruktur selber schützt oder einem externen Provider überlässt», erklärt Lamia. Aufgrund dessen würde dann entschieden, ob es sich um eine kritische Infrastruktur handle oder nicht. Überlässt das Unternehmen seinen IT-Schutz einem Provider, kann dieser die Mitgliedschaft im Namen der Unternehmen wahrnehmen.

Beklage sich jetzt also ein Unternehmen über fehlende Information beziehungsweise Unterstützung im Falle dieser gravierenden Sicherheitslücke, liege das daran, dass es nicht im geschlossenen Kundenkreis sei oder sich gar nicht erst dafür angemeldet habe, so Lamia.

Der US-amerikanische Softwarehersteller Citrix Systems habe seine Kunden bereits am 17. Dezember über die entdeckte Schwachstelle informiert und sofort eine Übergangslösung zur Verfügung gestellt, teilt Fermin Serna, Sicherheitschef von Citrix Systems, auf Anfrage mit. Das Unternehmen habe seine Kunden zudem direkt per E-Mail kontaktiert. Die Kunden könnten sich ausserdem auf der Website für den automatischen Erhalt von Updates anmelden.

Zu hoch gepokert

Dass diverse Unternehmen die Sicherheitslücke trotzdem verschlafen haben, scheint im krassen Widerspruch zum kürzlich erschienen Risikobarometer der deutschen Allianz-Versicherung zu stehen. Demzufolge stuften 57 Prozent der befragten Konzernchefs und Risikomanager Cyber-Angriffe nämlich als das grösste Unternehmensrisiko ein, gefolgt von Betriebsunterbrechungen. «Das Bewusstsein, dass Cyber-Angriffe jedes Unternehmen treffen können, scheint in den Chefetagen angekommen zu sein», sagte Christoph Müller, Schweiz-Chef der Industrieversicherungssparte Allianz Global Corporate & Speciality, Mitte Januar zu dieser Zeitung.

Unternehmen sind sich also der Gefahren aus dem Cyberspace bewusst – wieso waren bis vor Kurzem dennoch Hunderte Firmenserver verwundbar? Man habe zu hoch gepokert, die Lage nicht ernst genommen, meint Sicherheitsexperte Miro Schenker. «Die Unternehmen haben das Risiko lange unterschätzt. Bei solchen Angelegenheiten darf man nicht warten.»

Auch Schenker glaubt, dass sich die Schweizer Unternehmen der Risiken von Cyber-Attacken langsam bewusst seien. Die Frage sei eher, wie gross der «Risikoappetit» ist. «Sich der Risiken bewusst zu sein heisst natürlich nicht, dass auch Projekte für einen besseren Schutz eingeleitet werden.» Oft müsse zuerst etwas passieren, bis die Unternehmen aktiv würden. Er meint vor allem das Management-Board, von wo aus die Initiative kommen sollte. Natürlich sei dies auch eine Frage der Finanzen. «Man muss sich jedoch auch fragen, ob es langfristig nicht günstiger kommt, frühzeitig in die IT-Sicherheit zu investieren.»

Erstellt: 17.01.2020, 21:27 Uhr

Artikel zum Thema

#Shitrix: Auch Börsenbetreiberin SIX betroffen

Eine Sicherheitslücke in der Fernzugriffssoftware Citrix hat Angreifern bereits Zugang zu Servern mehrerer hiesiger Unternehmen verschafft. Mehr...

Cyber-Angriffe sind die neue Topsorge von Firmenchefs 

Hackerattacken und Datenlecks werden erstmals als grösste Unternehmensrisiken eingestuft. KMU unterschätzen jedoch die Bedrohung.  Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Weiterbildung

Gamen in der Schule

Die Schule bereitet Kinder auf die Arbeitswelt vor. Das Rüstzeug soll auch spielerisch vermittelt werden.

Kommentare

Die Welt in Bildern

Glücksfänger: Spärlich bekleidete Männer versuchen im Saidaiji Tempel im japanischen Okyama einen vom Priester in die Menge geworfenen Stab, den «Shingi», zu ergattern. (15. Feburar 2020)
(Bild: Kim Kyung-Hoon ) Mehr...