Zum Jahreswechsel 2019/2020 sorgte ein Zwischenfall für Aufregung: Im Citrix Netscaler Gateway, einem Sicherheitssystem, das typsicherweise wichtige interne Ressourcen abschottet und kontrolliert, wurde ein hochkritischer Bug gefunden. Durch die Sicherheitslücke konnte man von überall auf die lokalen Ressourcen jedes Unternehmens, das so ein Gateway verwendete, zugreifen – und beispielsweise Schadsoftware ausführen.

Laut Schätzungen waren rund 80.000 Unternehmen weltweit betroffen.[1] Die erste Meldung wurde kurz vor Weihnachten veröffentlicht – viele Systeme blieben über die Feiertage ungeschützt. Ein Softwareupdate war erst für Ende Jänner 2020 geplant, und der empfohlene Workaround wirkte nicht immer wie gewünscht. Bereits Anfang Jänner tauchten die ersten Routinen zur Ausnutzung der Lücke auf. Mangels Alternativen nahmen einige große Betreiber komplette Systeme offline, um sie erst Tage später wiederherzustellen.

Unsere „6 lessons learned“ helfen wir Ihnen dabei, sich für den nächsten Vorfall zu wappnen:

1. Vorbereitet sein

Cyber-Security kennt kein Wochenende oder gar Ferien. Ihr Unternehmen muss jederzeit in der Lage sein, zügig auf kritische Vorkommnisse zu reagieren. Die gute Nachricht: Der Großteil der Tätigkeiten beruht auf gut vordefinierten Abläufen und Prozessen, für die im Fall des Falles Ressourcen (intern oder auch extern) verfügbar sein müssen. Falls Sie den Betrieb von Security-Devices outgesourced haben, ist jetzt ein guter Zeitpunkt, die entsprechenden SLAs zu kontrollieren.

2. Bewertungen durchführen

Hersteller informieren nur über quantitative Sicherheitsrisiken. Eine qualitative Bewertung für Ihr Unternehmen müssen Sie selbst durchführen: Leiten Sie mögliche Bedrohungsszenarien ab, schätzen Sie die Auswirkungen ein und definieren Sie die nötigen Schritte zur Migration. In Ihrer internen Systembewertung sollten hochkritische Systeme klar identifiziert sein. Ein zentrales Security-Gateway, das eine Vielzahl externer Zugriffe bereitstellt und kontrolliert, müsste darin eine hohe Priorität aufweisen und sofortige Aufmerksamkeit verlangen.

3. Tägliche Kontrollen

Sicherheitskritische Systeme benötigen Pflege im täglichen Betrieb. Zur Erreichung eines hohen Sicherheitsniveaus reicht es nicht, eine aufwändige Lösung zu installieren. Es erfordert dauerhafte Maßnahmen, um die gewünschten Funktionen zu gewährleisten und zu erhalten: beispielsweise durch ein umfassendes Konfigurations- und Logmanagement sowie die regelmäßige aktive und passive Prüfung auf Sicherheitslücken. Wer nicht über die nötigen internen Ressourcen verfügt, kann dies auch auslagern.

4. Updates testen

Überprüfen Sie jeden Patch oder jede Verbesserung auf Funktion und Ergebnis. Im konkreten Fall wurde erst später festgestellt, dass der vorgeschlagene Workaround nicht immer funktioniert hat. Wer sich blind auf die Empfehlung des Herstellers verlassen hat, betreibt im schlimmsten Fall ein verwundbares System und wiegt sich in falscher Sicherheit. Wenn Sie Veränderungen an einem wichtigen System durchführen, testen Sie immer mehrfach, ob die Ergebnisse dem erwarteten Soll entsprechen.

5. Fehler einplanen

Rechnen Sie immer mit Fehlern in Soft- und Hardware und planen Sie entsprechend. Trennen Sie extern erreichbare Services mehrstufig von internen Systemen. Verwenden Sie für Systeme, die im Internet stehen, Hardware oder Appliances, die keine direkten physikalischen Verbindungen zu Ihren internen Ressourcen besitzen. Setzen Sie weitere Kontrollperimeter zu wichtigen Services (z.B. DSGVO-relevanten Daten) ein, die optimalerweise mit einer anderen Technologie oder einem alternativen Hersteller arbeiten.

6. Geordnete Wiederherstellung

Hardware kann ausfallen, Software fehlerhaft sein – und der Angreifer ist längst unbemerkt im System. Durchschnittlich dauert es über 200 Tage[2], bis ein kompromittiertes System erkannt wird. Im Fall von Citrix blieben unzählige Netzwerke über Tage verwundbar. Es gab auch Angriffe, bei denen die Sicherheitslücke vorgeblich geschlossen, dabei allerdings ein kontrolliertes Backdoor für einen späteren Zugriff installiert wurde[3]. Wenn Sie den leisesten Verdacht auf einen solchen Angriff hegen, hilft nur vollständiges Zurücksetzen und Löschen mit geordneter Wiederherstellung eines vertrauenswürdigen Zustands. Solche Prozeduren sollten für alle wichtigen Systeme vorbereitet sein und regelmäßig geprobt werden. Die Frage ist heutzutage nicht mehr ob, sondern wann ein Security-Incident auftreten wird.

Bitte beachten Sie: Die aufgezeigten Punkte können keinen vollständigen Handlungsleitfaden und keine Richtlinienerarbeitung ersetzen. Sie bieten lediglich Impulse für einen verbesserten Schutz. Gute Vorbereitung verschafft Ihnen den nötigen Vorsprung, um mit möglichst wenigen Beeinträchtigungen den Geschäftsbetrieb wieder aufnehmen zu können.

Linktipps:

5 Strategien zur Prävention von Cyber-Kriminalität

Malware Intrusion: 5 Schritte, wenn die eigene Website gehackt wurde

[1] https://threatpost.com/critical-citrix-bug-80000-corporate-lans-at-risk/151444/

[2] https://www.ibm.com/downloads/cas/ZBZLY7KL?_ga=2.148238199.1762516747.1577395260-1128561362.1577395260

[3] https://www.forbes.com/sites/daveywinder/2020/01/25/critical-security-warning-as-shitrix-hackers-ramp-up-critical-citrix-vulnerability-cve201919781-attacks/