Universitätsklinikum Düsseldorf

Hacker kamen über VPN-Schwachstelle

18.09.2020
Von 
Heinrich Vaske ist Editorial Director a.D. von COMPUTERWOCHE, CIO und CSO.
Seit dem 10. September ist die IT des Universitätsklinikums Düsseldorf (UKD) nach einem Hackerangriff lahmgelegt. Die Täter sind offenbar über eine eigentlich längst behobene Schwachstelle in einer VPN-Software von Citrix eingedrungen.

Citrix hatte schon im Januar 2020 einen Software-Patch bereitgestellt, doch könnten Systeme, die bereits davor angegriffen wurden, weiterhin für externe Eindringlinge zugreifbar sein. Darauf lässt zumindest ein Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schließen.

Ein Warnhinweis in epischer Länge ziert die Website des Universitätsklinikums Düsseldorf.
Ein Warnhinweis in epischer Länge ziert die Website des Universitätsklinikums Düsseldorf.
Foto: UKD

Das UKD kann nach eigenen Angaben aufgrund der Ransomware-Attacke bis auf weiteres keine Notfallversorgung mehr sicherstellen und von Rettungsdiensten nicht angefahren werden. Einem Bericht des nordrhein-westfälischen Justizministeriums zufolge gibt es inzwischen einen ersten Todesfall, weil eine Patientin in ein weiter entferntes Krankenhaus transportiert werden musste und aufgrund der zu späten Behandlung verstorben ist. Die Staatsanwaltschaft ermittelt.

Die Süddeutsche Zeitung zitiert die NRW-Wissenschaftsministerin Isabel Pfeiffer-Poensgen, die im Landtag von 30 durch Angreifer verschlüsselte Server gesprochen habe. Die Täter hätten ein Erpresserschreiben auf einem Server der Heinrich-Heine-Universität deponiert. Eine Lösegeldforderung soll es nicht gegeben haben.

Fehlgeleiteter Angriff?

Nachdem die Polizei den Kontakt aufgenommen hatte, sollen die Täter freiwillig "einen Schlüssel zur Wiederherstellung der betroffenen Daten" übermittelt haben. Unsicher ist, ob der Angriff überhaupt dem Klinikum galt oder ob nicht eigentlich die Server der Heinrich-Heine-Universität lahmgelegt werden sollten. In Ermittlerkreisen wird vermutet, dass die Hacker nicht die Gesundheit von Patienten aufs Spiel setzen wollten.

Momentan müssen im UKD geplante und ambulante Behandlungen verschoben werden. Patienten sollten das Klinikum derzeit nicht aufsuchen, auch dann nicht, wenn ein Termin vereinbart worden sei. In einer Mitteilung gibt Frank Schneider, Ärztlicher Direktor des UKD, immerhin vorsichtig Entwarnung: "Bei der Wiederherstellung des IT-Systems konnten das UKD und die eingebundenen Fachfirmen weitere Fortschritte machen. So erwarten wir nach heutigem Stand, dass wir im Laufe der nächsten Woche die Notfallversorgung in unserer Zentralen Notaufnahme wieder aufnehmen können."

Problem schien längst behoben

Wie das UKD mitteilt, ist die Sicherheitsproblematik in der "betroffenen IT-Anwendung" schon im Dezember 2019 erkannt und ernst genommen worden. Damals sei man entsprechenden Hinweisen des BSI "sehr genau nachgegangen". Die Empfehlungen des Herstellers seien in Zusammenarbeit mit spezialisierten Servicefirmen vollständig umgesetzt worden. Auch das zur Verfügung gestellte Software-Update (Patch) wurde bereits am Tag der Veröffentlichung eingespielt.

Das UKD berichtet außerdem, zwei Spezialfirmen mit der Überprüfung des Systems beauftragt zu haben. Die Untersuchungen zu der erkannten Sicherheitslücke hätten "nach damaligem Kenntnisstand" keinen Hinweis auf eine Gefährdung gegeben. Im Frühsommer 2020 habe dann ein Penetrationstest von außen stattgefunden, ebenfalls ohne Befund zu dieser Lücke.

BSI sieht alte Citrix-Lücke als Einfallstor

Derweil hat das BSI eine Pressemitteilung veröffentlicht, in der konkret auf die VPN-Produkte von Citrix Bezug genommen wird. Seit Januar 2020 sei die Schwachstelle CVE-2019-19781 in den VPN-Produkten bekannt, sie werde für Cyberangriffe ausgenutzt. Dem BSI seien mehrere Vorfälle bekannt, bei denen Citrix-Systeme schon vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert worden seien. So hätten Angreifer auch nach der Schließung der Sicherheitslücke weiterhin Zugriff auf diese Systeme und die dahinterliegenden Netzwerke. Diese Möglichkeit werde aktuell vermehrt ausgenutzt, um Organisationen anzugreifen.

BSI-Präsident Arne Schönbohm lässt sich in einer Mitteilung mit den Worten zitieren: "Bereits im Januar haben wir vor der Schwachstelle gewarnt und darauf hingewiesen, welche Folgen eine Ausnutzung haben kann. Angreifer verschaffen sich Zugang zu den internen Netzen und Systemen und können diese auch Monate später noch lahmlegen. Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Maßnahmen zu ergreifen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss."

Netzinfrastruktur und Systeme prüfen!

Die Schwachstelle in den VPN-Produkten von Citrix stellt laut BSI je nach lokaler Netzkonfiguration ein mögliches Einfallstor in interne Netze dar. Entsprechende Sicherheitsupdates stehen seit Januar 2020 zur Verfügung und sollten, falls noch nicht geschehen, dringend eingespielt werden. Systeme, die bereits vor der Installation der Citrix-Sicherheitsupdates kompromittiert wurden, könnten Angreifern auch jetzt noch den Zugriff auf interne Netze und weitergehende Aktivitäten erlauben.

Folgen könnten die Ausleitung oder Verschlüsselung sensibler Daten oder die Manipulation beziehungsweise Stilllegung von Systemen, Geschäftsprozessen und Betriebsabläufen sein. Anwender der Produkte Citrix Gateway (ehemals NetScalerGateway) und Citrix Application Delivery Controller (ADC) sollten laut BSI ihre Netzinfrastruktur und Systeme auf mögliche Anomalien hin überprüfen und ihre Schutzmaßnahmen anpassen. Gegebenenfalls sei es sinnvoll, einen externen IT-Sicherheitsdienstleister hinzuzuziehen.