BSI warnt im Zusammenhang mit Cyber-Angriff auf Uniklinik Düsseldorf vor Ausnutzung bekannter Schwachstelle

18.09.2020, Sven C. Preusker
KMi Nachrichten, Digital Health

KMi (scp) – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt im Zusammenhang mit dem IT-Sicherheitsvorfall im Universitätsklinikum Düsseldorf (UKD), der am 10. September begann und dessen Auswirkungen nach wie vor andauern, vor der akuten Ausnutzung einer bekannten Schwachstelle.

Derzeit werde eine seit Januar 2020 bekannte Schwachstelle (CVE-2019-19781) in VPN-Produkten der Firma Citrix für Cyber-Angriffe ausgenutzt, so das BSI. Es würden zunehmend Vorfälle bekannt, bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert worden seien. Dadurch hätten Angreifer auch nach Schließung der Sicherheitslücke weiterhin Zugriff auf das System und dahinterliegende Netzwerke. Diese Möglichkeit werde aktuell vermehrt ausgenutzt, um Angriffe auf betroffene Organisationen durchzuführen.

„Bereits im Januar haben wir vor der Schwachstelle gewarnt und darauf hingewiesen, welche Folgen eine Ausnutzung haben kann. Angreifer verschaffen sich Zugang zu den internen Netzen und Systemen und können diese auch Monate später noch lahmlegen. Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Maßnahmen zu ergreifen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss. Auch deswegen hat die Bundesregierung im Entwurf des Krankenhaus-Zukunftsgesetzes vorgesehen, dass mindestens 15 Prozent der beantragten Fördermittel für Maßnahmen zur Verbesserung der Informationssicherheit eingesetzt werden müssen“, erklärte BSI-Präsident Arne Schönbohm.

Die seit Januar 2020 bekannte Schwachstelle in den VPN-Produkten von Citrix stelle je nach lokaler Netzkonfiguration ein mögliches Einfallstor in interne Netze dar. Entsprechende Sicherheitsupdates stünden bereits seit Januar 2020 zur Verfügung und sollten, falls noch nicht geschehen, dringend eingespielt werden, hieß es vom BSI. Von der Ausnutzung betroffen könnten jedoch auch Systeme sein, die im Januar 2020 gepatcht worden seien. Diese seien unter Umständen bereits vor der Installation der Citrix-Sicherheitsupdates kompromittiert worden und könnten somit Angreifern auch jetzt noch den Zugriff auf interne Netze und weitergehende Aktivitäten erlauben, wie etwa die Ausleitung oder Verschlüsselung sensibler Daten oder die Manipulation bzw. Stilllegung von Systemen, Geschäftsprozessen und Betriebsabläufen. Anwender der Produkte Citrix Gateway (ehemals NetScalerGateway) und Citrix Application Delivery Controller sollten ihre Netzinfrastruktur und Systeme auf mögliche Anomalien hin überprüfen und ihre Schutzmaßnahmen zwingend anpassen, so das BSI. Sollte der eigene IT-Betrieb nicht über die notwendigen Kompetenzen zur Untersuchung der Systeme auf Kompromittierungen verfügen, so empfehle es sich, einen externen IT-Sicherheitsdienstleister hinzuzuziehen.

Anzeige