Check Point: Security-Lücke wurde nicht nur bei CDU genutzt

1800 Systeme waren laut BSI verwundbar, auch Kritis-Betreiber wurden erfolgreich angegriffen.

In Pocket speichern vorlesen Druckansicht 94 Kommentare lesen
Schild des BSI

Konrad-Adenauer-Haus der CDU in Berlin.

(Bild: BSI)

Lesezeit: 3 Min.

Die Zero-Day-Lücke, die für den Angriff auf die IT-Infrastruktur der CDU genutzt wurde, ist bei vielen Nutzern noch nicht gestopft. Neben der IT der CDU wurden weitere Nutzer erfolgreich angegriffen. Die Zahl der potenziellen Opfer der Sicherheitslücke ist beträchtlich. "Nach aktuellen Kenntnissen des BSI und des BfV waren deutschlandweit branchen- und sektorübergreifend bis zu 1800 IT-Systeme, die Netzwerksicherheits-Produkte des Anbieters Check Point einsetzen, durch eine gravierende Schwachstelle verwundbar", erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Anfrage von heise online. Die Lücke sei aktiv ausgenutzt worden: "Dabei gelang es unter anderem, Zugangsdaten auszulesen und per VPN Zugriff auf betroffene Geräte und Netzwerke zu erlangen."

Das BSI ruft noch einmal nachdrücklich alle Nutzer von Check-Point-Produkten dazu auf, zu prüfen, ob ihre Systeme auf dem aktuellen Stand sind und ob Dritte über diese in den vergangenen Wochen Zugriff erlangt haben. Obwohl Check Point Security ab Ende Mai Patches für die Security Gateways bereitstellt, gehen das BSI wie auch Check Point davon aus, dass ein Teil der Nutzer auch mehrere Tage nach dem Bekanntwerden der Lücke bislang keine ausreichenden Maßnahmen ergriffen hat.

Nutzer, die keine Zwei-Faktor-Authentifizierung an den Security-Gateway-Produkten von Check Point einsetzen, sondern nur auf eine Passwort-/Nutzer-Kombination setzen, bleiben ohne Patches oder Änderungen an ihrem Sicherheits-Setup weiterhin potenzielle Opfer. Die Zahl der beobachteten Angriffe auf die nun bekannte Schwachstelle nahm laut Sicherheitsforschern nach Bekanntwerden der Sicherheitslücke massiv zu.

Neben der CDU sollen auch Betreiber Kritischer Infrastrukturen im Bereich Transport und Gesundheit erfolgreich angegriffen worden sein, heißt es aus Sicherheitskreisen. Die IT-Sicherheitsprodukte des israelischen Herstellers Check Point werden von vielen Unternehmen für den externen Zugriff genutzt; dazu gehören Betreiber Kritischer Infrastruktur, aber auch öffentliche Stellen wie Behörden und Forschungsinstitute.

Welche Sicherheitssoftware ein Unternehmen oder eine Behörde einsetzt, lässt sich häufig trivial herausfinden. Solche Informationen finden sich regelmäßig, etwa in Ausschreibungen von Stellen oder Projekten. Das nutzen längst auch Angreifer für die gezielte Suche nach Opfern. Ein vom Mitteldeutschen Rundfunk (MDR) zitierter Sicherheitsexperte fand auf eigene Faust 85 verwundbare Systeme in Deutschland, Spezial-Suchmaschinen zeigen die weite Verbreitung. Check Point selbst geht nach Darstellung eines Sprechers davon aus, dass mehr als die Hälfte aller der Firma bekannten Nutzer entweder per Auto-Update oder händisch die zur Verfügung stehenden Patches eingespielt hat.

Im Fall der konkreten Attacke auf die CDU ist der Urheber nach wie vor nicht enger eingegrenzt. Die offizielle Attribution der Urheber bei vergleichbaren Angriffen zog sich teils über Jahre hin. Gleichwohl rechnet das Bundesinnenministerium mit Profis am Werk: "Die Art des Vorgehens deutet aber auf einen sehr professionellen Akteur hin", erklärte eine Pressesprecherin des Ministeriums auf Anfrage von heise online.

Die CDU selbst kämpft weiter darum, arbeitsfähig zu werden. So wurde etwa die zentrale Mitgliederdatenbank laut Medienberichten vorsichtshalber offline genommen – was dazu führt, dass die Parteigliederungen wie Landes- und Kreisverbände keinen Zugriff mehr auf diese haben, wie heise online aus Parteikreisen bestätigt wurde. Zudem soll auch die Finanzabteilung der Parteizentrale unter Schatzmeisterin Julia Klöckner derzeit nicht voll arbeitsfähig sein, berichtete Bild.

Update

Ursprünglich nannte der Text einige Beispiele von prominenten Nutzern der Sicherheitssoftware von Check Point. Diese haben wir auf Bitten Genannter entfernt und durch einen Hinweis ersetzt, dass diese Information in vielen Fällen öffentlich und trivial aufzufinden ist. Angreifer nutzen solche Information systematisch und routinemäßig. Es sollte sich also niemand darauf ausruhen, dass er/sie "unter dem Radar" durchrutschen könnte.

(anw)