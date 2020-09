"Eigentlich haben wir alles richtig gemacht" – so lässt sich die aktuelle Stellungnahme der Uniklinik Düsseldorf (UKD) zusammenfassen. Sie habe bereits vor dem Erscheinen des Patches die empfohlenen Workarounds umgesetzt. Der Patch selbst wurde bereits am Tag des Erscheinens eingespielt und zusätzlich habe die Uniklinik auch noch "zwei Spezialfirmen mit der Überprüfung des Systems beauftragt". Selbst ein im Frühsommer durchgeführter Penetrationstest ergab keinen Befund zu der Lücke.

Am Donnertag war bekannt geworden, dass die Angreifer über die sogenannte Shitrix-Lücke in der VPN-Software der Firma Citrix ins Netz der UKD gelangten. Diese Lücke war bereits im Dezember bekannt geworden und wurde noch vor der Bereitstellung des Patches durch den Hersteller im Januar von Cyberkriminellen großflächig ausgenutzt, um Hintertüren zu installieren.

Oftmals Schlamperei

Diese Backdoors wurden allein durch das Einspielen der Patches nicht entfernt. So konnten die Cybercrime-Gangs in den vergangenen Monaten mehrere Firmen über unbemerkte Backdoors kompromittieren. In aller Regel wurden dort die Patches zu spät eingespielt und darüber hinaus die betroffenen Systeme bestenfalls flüchtig auf Backdoors untersucht. Doch diese Versäumnisse weist die UKD in ihrer Stellungnahme weit von sich.

Was in der Stellungnahme jedoch fehlt, sind konkrete Informationen zum Hergang der Tat. Wann kamen die Angreifer erstmals ins Netz? Wo versteckte sich die Backdoor? Wann begannen die Aktivitäten der Cyber-Kriminellen im UKD-Netz? Wie konnten die Angreifer sich weiter im Netz ausbreiten und dabei die Kontrolle über offenbar kritische IT-Infrastruktur übernehmen? Warum wurde das alles nicht bemerkt? All das bleibt derzeit noch im Dunklen, vermutlich um den Abschluss der Incident Response abzuwarten und die anschließenden Ermittlungen nicht zu gefährden.

Offenlegung dringend erforderlich

Doch in nicht allzu ferner Zukunft sollten diese Informationen offengelegt werden. Denn sie sind dringend erforderlich, um das Ausmaß der Bedrohung realistisch einschätzen zu können, die ja weit über die Uniklinik hinausgeht. Schließlich müssen wir möglichst schnell dafür sorgen, dass sich ein solcher Vorfall zumindest in dieser Form nicht wiederholen kann.

Durch die Aufzählung der getroffenen Maßnahmen erscheint der Cybercrime-Angriff auf das Unklinikum fast wie eine unvermeidbare Naturkatastrophe, die beim besten Willen nicht aufzuhalten wäre. Das erforderte dann ganz andere Maßnahmen als ein Einbruch, der durch vergleichsweise einfache Best Practices der IT-Security hätte verhindert werden können. Bisher fielen eigentlich fast alle Cybercrime-Attacken in diese Kategorie der Probleme, die sich durch ein vernünftiges Investment in IT-Security in den Griff bekommen ließen. Für "Katastrophen" und "Wunder" waren andere zuständig.

(ju)