Bundesbehörden: Zu viele Computersysteme bleiben ungepatcht
Verfassungsschutz und das BSI rufen Anwender zu schnelleren Updates auf. Unternehmen und öffentlichen Stellen drohten unruhige Zeiten.
(Bild: Shutterstock)
Die Sicherheitslücke in den VPN-Gateway-Produkten des israelischen IT-Sicherheitsanbieters Check Point Security ist nach wie vor bei vielen Anwendern in Deutschland nicht gepatcht. BSI und Bundesamt für Verfassungsschutz ruft Administratoren dazu auf, verfügbare Updates schneller einzuspielen – etwa auch bei Outlook und Codesys.
Von gut 1700 festgestellten Nutzern der Check Point Security-Gateway-Produkten hätte nur gut die Hälfte das inzwischen seit Wochen verfügbare Update eingespielt, mit dem die kritische Sicherheitslücke geschlossen wird. Das berichtete BfV-Vizepräsident Sinan Selene am Mittwoch bei der Potsdamer Konferenz für nationale Cybersicherheit im Hasso-Plattner-Institut.
Das Bundesamt für Sicherheit in der Informationstechnik und das Bundesamt für Verfassungsschutz bearbeiten seit inzwischen fast drei Wochen den Vorfall bei der CDU-Zentrale. Eine Zuschreibung des Angriffs zu bestimmten, möglichen Tätern nahmen bislang weder BSI noch BfV vor. Durch die Lücke können bei gleichzeitig ungünstiger Konfiguration unter anderem Kalenderdaten, Kontakte und E-Mails kompromittiert werden, weitere Zugriffsmöglichkeiten hängen auch von den Gegebenheiten und Sicherungsmechanismen in den jeweiligen Netzwerken ab.
CISO sollen Verantwortung wahrnehmen
BfV-Vizepräsident Sinan Selen verwies insgesamt auf Updates, die längst verfügbar seien, aber oft nicht oder erst mit sehr viel Verzögerung eingespielt würden. Das gelte nicht nur für die Check Point-Lücke, sondern etwa auch für Outlook-Lücken oder für Codesys V3-Lücken, wo Patches ebenfalls bereitstehen. Er erwarte von IT-Sicherheitsbeauftragten, die zuständigen Administratoren zu fragen: "Wo stehen wir eigentlich?" Selen warnt vor unruhigen Zeiten für Unternehmen und öffentliche Stellen.
KRITIS-Unternehmen noch nicht in Zeitenwende angekommen
Die Lage derzeit sei mit betroffenen Gesichtern gut zusammengefasst, sagte Selen. Deutschland stehe im Fokus von Ausforschungsaktivitäten. Das gelte nicht nur für die demokratischen Parteien, die allesamt derzeit die Aufmerksamkeit auf sich ziehen würden. Auch viele KRITIS-Unternehmen seien in der Zeitenwende noch nicht angekommen, bilanzierte BfV-Vizepräsident Selen. Heise online hatte bereits vergangene Woche berichtet, dass über die Check-Point-Sicherheitslücke mindestens zwei weitere erfolgreiche Angriffe außer der CDU in kritischen Sektoren stattgefunden haben.
Zu deutlich schnelleren und konsequenteren Updates forderte in Potsdam-Griebnitzsee auch Claudia Plattner auf, die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik. Die Anzahl ungepatchter Systeme sei einfach zu hoch – 37.000 verwundbare Exchange-Server seien ein großes Problem. Plattner kombinierte das mit einem Aufruf dazu, die Automatisierung in der IT weiter voranzutreiben.
(mki)
