Das Shitrix / Citrix-Desaster
- "Geschrieben von Matthias Pufke"
IT-Sicherheit in Behörden: Es fehlt an den absoluten Grundlagen!
Eine große Sicherheitslücke in Citrix-Netzwerkgeräten wird seit einigen Tagen in großem Maßstab ausgenutzt. Das IT-Portal Golem.de hat getestet, welche Systeme in Deutschland aktuell noch für die Lücke verwundbar sind - und das Ergebnis ist ein Armutszeugnis.
Es befinden sich nämlich nicht gerade wenige Systeme in deutschen Behörden:
- Das Bundesland Hesse
- das zum Verkehrs- und Digitalisierungsministerium gehörende Bundeseisenbahnvermögen
- sowie weitere Einrichtungen
Dazu kommen unzählige Firmen, Universitäten, Krankenhäuser und Gemeinden.
Aber auch die EU hat zahlreiche verwundbare Systeme am Netz, betroffen sind das europäische Patentbüro, die Arzneimittelagentur EMA und die europäische Polizeiakademie.
Der Vorfall zeigt vor allem, das es in Sachen IT-Sicherheit an den absoluten Grundlagen fehlt. Es geht hier nicht um ausgefallene Angriffe oder die Notwendigkeit von besonders fortgeschrittenen Schutzmaßnahmen, sondern es geht einfach darum, das wenn eine schwere Sicherheitslücke in einem gängigen Produkt bekannt wird und man das entsprechende Produkt einsetzt, muss man sich darum zeitnah kümmern.
Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.
Die Lücke, die inzwischen auch Shitrix genannt wird, ist übrigens seit dem 17. Dezember bekannt.