ELAK-System war wegen kapitaler Sicherheitslücke vom Netz

Der elektronische Amtsverkehr der Republik wurde am Montag vorübergehend stillgelegt, weil das ELAK-Netz für Angreifer durch ein gefährliches Loch in den Citrix-Systemen weit offenstand. Dazu eine Stellungnahme aus dem zuständigen Wirtschaftsministerium.

Von Erich Moechel

Ein Ansturm auf die kapitale Sicherheitslücke in den Zugangssystemen für große Netze (VPN-Gateways) hatte ab dem Wochenende hektische Sicherheitsupdates ausgelöst. Am Montag wurde der elektronische Aktenverkehr (ELAK) deshalb vorübergehend abgeschaltet, um ein Provisorium des betroffenen Herstellers Citrix einzuspielen. Eine echte Lösung ist laut Unternehmen frühestens für nächste Woche zu erwarten.

Citrix ist Weltmarktführer in der Vernetzung von Firmenstandorten, Behörden und anderen großen Einheiten und damit auch Teil der kritischen Infrastruktur Österreichs. Aus dem zuständigen Wirtschaftsministerium hieß es dazu: „Auf Basis einer Risikobewertung durch die Sicherheitsexperten des Dienstleisters als auch seitens des Ressorts“ sei am Montag abgeschaltet worden. Nicht beantwortet wurde die Frage, warum das erst mit drei Wochen Verspätung geschah.

public domain

Warum bei ELAK der Stecker gezogen wurde

Die EU-Richtlinie für Sicherheit in Informationsnetzen (NIS) wurde 2019 mit einem Jahr Verspätung auch in Österreich umgesetzt

„Aufgrund der Dringlichkeit sei die Entscheidung durch das Bundesministerium für Ditalisierung und Wirtschaftsstandort getroffen“, heißt es in der Antwort des BMD weiter. Die Meldeprozesse seien ja „im NIS-Gesetz bzw. intern geregelt. Die Meldeverpflichtungen wurden entsprechend der Notwendigkeit erfüllt.“ Das Gesetz zur Sicherheit in Informationsnetzen (NIS) schreibt umfangreiche Melde- und Informationspflichten bei Sicherheitslücken, Cybervorfällen und Ähnlichem sowohl für Behörden wie auch für Firmen vor.

Die große Aufregung am Wochenende wurde durch Massenscans im Netz ausgelöst, die durch die dringenden Warnungen der verschiedenen, nationalen CERTs (Computer Emergency Response Teams) noch verstärkt wurden. Das deutsche wie das österreichische CERT hatten in der vergangenen Woche alle Firmen, Behörden und Administrationen die solche Gateways unter Citrix betreiben, einzeln und direkt gewarnt. Die Sicherheitslücke ermöglicht es nämlich, als User „Nobody“ ohne jede Authentifizierung beliebige Befehle auf dem Citrix-Gateway auszuführen.

Warnungen der CERTS zum Auftakt

Über eine ältere Sicherheitslücke in VPN-Gateways anderer Hersteller werden aktuell laufend Firmen überfallen und mit Verschlüsselung der Daten erpresst

Anders als ihr österreichisches Pendant gingen CERT.de und andere mit diesen Warnungen an die Öffentlichkeit. In Deutschland waren vergangene Woche noch mehr als 3.000 solcher Systeme ungesichert, in Österreich etwa zehn Prozent davon. Am Samstag tauchten dann die ersten Test-Exploits im Netz auf, die diese Sicherheitslücke ausnützen konnten. Die waren per se nicht gefährlich, weil sie weitgehend von Sicherheitsforschern stammten, die auf diesem Weg zu einer Abwehrmethode kommen wollten.

CERT

Die Lücke war knapp vor Weihnachten bekannt geworden, wurde in den ersten Tagen aber unterschätzt und ging über die Feiertage unter. Erst in der vergangenen Woche kam das Thema in Sicherheitskreisen wieder aufs Tapet, weil so viele große Netze noch immer offen standen. Die Betreiber hatten das Sicherheitsproblem nicht ernst genug genommen und das Provisorium nicht eingespielt, weil sie auf einen richtigen Patch des Herstellers warteten. Diese Netzbetreiber wurden durch die Warnungen der CERTs und die folgenden Massenscans aufgeschreckt und fingen ihrerseits zu scannen an.

Warum (noch) nichts passiert ist

Bereits im Juni 2019 war die erste Welle von Einbrüchen über die VPN-Gateways anderer Hersteller von den USA nach Europa übergeschwappt

Dass bereits in der Nacht auf Samstag die ersten Exploits auftauchten, ließ Schlimmes befürchten. Dieses Exploits waren zwar allesamt (absichtlich) nicht waffentauglich, allerdings folgt auf dieses „Proof of Concept“-Stadium in der Regel mit etwas Zeitabstand dann ein gefährliches Stück Schadsoftware. VPN-Gateways und Lastverteiler (Load Balancers) für große Firmen- und Behördennetze gehören zu den hochrangigsten Zielen überhaupt, denn über diese Gateways geht der Pfad direkt in das jeweilige Netz.

public domain

Theoretisch. Denn von den mehrheitlich Beteiligten - Sicherheitsforscher und Kriminelle - durch die das öffentlich geworden wäre, schafften es zwar ein paar auf die Citrix-Boxen in den Zielnetzen. Weiter als bis in die demilitarisierte Zone (DMZ) kam von dort auf die Schnelle offenbar niemand. Die DMZ und damit die Citrix-Geräte stehen nämlich noch außerhalb der Firmen-Firewalls. Dazu kam, dass Citrix auf dem Betriebssystem BSD basiert, mit dem nur eine Minderheit von IT-Technikern vertraut ist.

Eine Entwarnung ist das freilich nicht, im Gegenteil. Es ist ein gewaltiges Sicherheitsloch, das die Box öffnet, über die alle Verbindungen zu den angeschlossenen Außenstellen in eine Zentrale geroutet werden. Beispiele dafür sind der elektronische Akt der Bundesregierung, eine Supermarktkette, Flughäfen, oder bestimmte Ministerien. Und dann gibt es noch eine weltweit verstreute Gruppe ganz anderer Akteure, die sich besonders für solch kapitale Sicherheitslücken interessieren.

Was nunmehr droht

In den ersten Jahren nach den Enthüllungen Eward Snowdens kamen nacheinander zahlreiche Implants der NSA in großen Netzen ans Tageslicht

Angesichts des Zeitraums von mehr als drei Wochen in denen nach dem Bekanntwerden des Sicherheitslochs beileibe nicht nur in Österreich kritische Infrastrukturen sperrangelweit offen standen, ist es hochwahrscheinlich, dass sich in manchen dieser Netze seitdem ein Stück Software findet, das dort definitiv nicht hingehört. Wann immer Netze hochkarätiger Ziele durch derartige Softwarefehler offen stehen, sind die Cybertruppen der NSA, des FSB und anderer Dienste in der Regel als erste darüber informiert.

Dann wird die Sicherheitslücke so schnell wie möglich ausgenützt, aber nicht sofort angegriffen. Vielmehr wird ein unauffälliges Stück Software eingeschmuggelt, das sich völlig passiv verhält. Diese Progrämmchen - die NSA nennt sie „Beacons“ (Leuchtfeuer) oder auch „Implants“ (Implantate) - treten erst dann Aktion, wenn sie einen Befehl von außen dazu erhalten. Das passiert erst kurz bevor das betreffende Netz tatsächlich angegriffen wird, wie Leuchtfeuer weisen diese Beacons den Angreifern dann den Weg ins Netz hinein.

Vorläufiges Fazit

Dass ein österreichweites, staatliches System erst mit drei Wochen Verspätung ein Sicherheitsupdate gegen eine fatale Sicherheitslücke erhält, das wirft kein schönes Licht auf die Sicherheit Österreichs als IT-Standort. Dem Wirtschaftsministerium muss man allerdings zugute halten, dass die Zuständigkeiten für ELAK und andere E-Governmentsysteme erst mit Bekanntgabe der neuen Bundesregierung am 1.Jänner in das Wirtschaftsressort verschoben worden sind.