Sicherheitslücke Behörden Hackerangriff
© Adobe Stock

Gefahr für Tausende Rechner

Sicherheitslücke bedroht Behörden!

ob Krankenhaus, Behörde oder Unternehmen: Es gibt große Sicherheitslücken bei der IT von Firmen und Öffentlichen Einrichtungen. Dadurch ist die Gefahr für Hackerangriffe besonders hoch.

Recherchen des SWR zeigen, dass die IT-Sicherheit von Behörden und Unternehmen bedroht ist. Demnach benutzen viele Firmen und Öffentliche Einrichtungen die Software Citrix. Doch seit Mitte Dezember ist bekannt, dass diese eine erhebliche Sicherheitslücke aufweist. Allerdings soll das Sicherheitsleck erst in ein paar Tagen geschlossen werden.

Die Software Citrix wird für die Optimierung von Server-Leistungen genutzt. Außerdem setzen viele Mitarbeiter auf die Software, um sich von außen in das Netzwerk eines Unternehmens einzuwählen. Deshalb wird sie besonders häufig für Homeoffice oder die Auslagerung von Standorten verwendet

"Betroffene werden monatelang mit den Auswirkungen dieser Schwachstelle kämpfen"

Hinzu kommt, dass seit dem Wochenende ein Softwarecode für Schadprogramme im Internet kursiert, mit dem das Sicherheitsleck der Software ausgenutzt werden kann. Die Gefahr, Opfer von einem Hackerangriff zu werden, ist deshalb besonders hoch.

Experten gehen zudem davon aus, dass Hacker die Sicherheitslücke nutzen, um schädliche Software bei Behörden und Unternehmen zu platzieren und diese erst in ein paar Monaten aktivieren: "Die darüber kompromittierten Unternehmen werden noch monatelang mit den Auswirkungen dieser Schwachstelle zu kämpfen haben", warnt Hans-Martin Münch vom IT-Sicherheitsunternehmen Mogwai Labs.

Haben mittlerweile alle Behörden auf die Sicherheitslücke reagiert?

Viele Unternehmen und Behörden haben erste Sicherheitsmaßnahmen getoffen.

Doch: Laut dem SWR gibt es immer noch mehr als 1.100 Server mit Sicherheitsleck.

Darunter sind beispielsweise nahmhafte Unternehmen, ein Energiekonzern, eine bundesweit tätige Klinik-Kette sowie die Stadt Freiburg: "Durch krankheitsbedingte Ausfälle bei ohnehin reduzierter Besetzung über den Jahreswechsel ist die Meldung nicht umgehend aufgegriffen worden. Wir werden die bestehenden internen Abläufe kurzfristig überprüfen, um die sich jetzt gezeigten Schwachstellen zu beseitigen", heißt es aus der Stadt. So konnten bereits mehrere Angriffsversuche festgestellt werden, allerdings seien die Systeme nicht beschädigt worden.

Hinzu kommt aber noch ein weiteres Problem

Neben der Sicherheitslücke bei Citrix besteht aktuell aber noch ein weiteres Sicherheitsrisiko: und zwar die Nutzung des Betriebssystems Microsoft 7. Denn der Softwareentwickler Microsoft hat bekannt gegeben, dass es in Zukunft keine Sicherheitsupdates mehr für Windows 7 geben wird: "Nach dem 14. Januar 2020 werden PCs unter Windows 7 keine Sicherheitsupdates mehr erhalten." Deshalb rät das Unternehmen dazu, ein neueres Betriebssystem wie Windows 10 zu nutzen, um die eigenen Daten zu schützen.

Obwohl diese Ankündigung durchaus als Warnung aufgefasst werden kann, verwenden 30 Prozent aller PC-Anwender immer noch das alte Betriebssystem - das hat das Sicherheitssoftware-Unternehmen ESET berechnet. Für die Sicherheitsexperten der Firma stellt Windows 7 eine tickende Zeitbombe dar, genau so wie die Betriebssysteme Microsoft Server 2008 und 2008 R2: "Wer weiterhin die drei Dinosaurier im Einsatz hat, muss mit gravierenden Folgen für die Sicherheit seiner Daten beziehungsweise seines Unternehmens rechnen", macht Thomas Uhlemann deutlich. Und weiter: "Entfallen die regelmäßigen Sicherheit-Patches, werden bekanntgewordene Sicherheitslücken nicht mehr geschlossen."

Windows 7 - überhaupt nicht mehr sicher?

Behörden und Unternehmen erhöhen mit dem Einsatz von Windows 7 die Gefahr, Opfer eines Hackerangriffes zu werden. Nach Einschätzungen von ESET verstoßen sie damit auch gegen die europäische Datenschutz-Grundverordnung. Denn diese verlangt, dass bei der Verarbeitung und Nutzung von personenbezogenen Daten der "Stand der Technik" eingehalten wird.

Während Privatpersonen auch schon keine Sicherheitsupdates für Windows 7 mehr erhalten, können Unternehmen und Organisationen noch kostenpflichtig Updates bei Microsoft kaufen.

Doch längst haben nicht alle Behörden aufgerüstet. In Brandenburg, in der Veltener Verwaltung beispielsweise, sind bislang 95 Prozent der PCs umgestellt. In den nächsten Wochen sollen die restlichen fünf Prozent dazu kommen, vor allem in den Schulen. In der Kreisverwaltung sind es noch 25 Computer, die mit Windows 7 betrieben werden. Sofern auf ihnen noch nicht Windows 10 installiert wurde, "geschieht dies in den kommenden Tagen", heißt es dazu aus der Verwaltung.

Und in der Hauptstadt Berlin konnten von den insgesamt 82.000 Computern bei Polizei, Feuerwehr, Bürgerämtern und Senats- sowie Bezirksverwaltungen der Großteil der Computer auf Windows 7 aktualisiert werden, dennoch arbeiten rund 18.000 Computer noch mit dem veralteten Betriebssystem. Eine akute Sicherheitsgefahr besteht laut der IT-Staatssekretärin aber nicht, weil mit Microsoft eine Verlängerung des Supports vereinbart wurde. Für diesen Service muss Berlin allerdings auch tief ins Portemonnaie greifen, denn die Kosten dafür liegen im oberen sechsstelligen Bereich. Neu ist die Situation in der Hauptstadt aber keineswegs, denn bereits im Jahr 2015 wurde das Betriebssystem von Windwows XP nicht schnell genug auf Windows 7 umgestellt. Politiker von Regierung und Oppostion befürchten jetzt, dass die Verwaltung auch nicht die Frist für den erweiterten Support einhalten und schnell genug auf Windows 10 umsatteln kann.

Aus anderen Rathäusern hingegen gibt es gute Neuigkeiten. So heißt es beispielsweise aus dem brandenburgischen Hennigsdorf, dass alles "sauber" sei.