Wie Citrix auf peinliche Weise gehackt wurde und was seither geschah

Das interne Netzwerk von Citrix wurde gehackt, dies hatte der Virtualisierungs- und Softwareanbieter letzten März bestätigt. Der nun von Citrix veröffentliche Untersuchungsbericht zeigt, was die Firma herausfinden konnte und publizieren wollte.
 
Die wichtigste Erkenntnis ist, dass Citrix die Vermutung des FBI bekräftigt: "Mit dem Abschluss der Untersuchung sehen wir bestätigt, dass die Cyberkriminelle durch Passwort-Spraying Zugang zu unserem internen Netzwerk erhalten haben", so die Mitteilung.
 
Und man gibt damit explizit zu, dass die Hacker schwache Passwörter ausnutzen konnten. Sie tummelten sich zwischen dem 13. Oktober 2018 und dem 8. März 2019 unentdeckt im internen Netzwerk und stahlen diverse Files und Businessdokumente.
 
Es seien auch Kunden vom Hack betroffen gewesen, gibt Citrix zu. Allerdings gehe es "nur" um Dokumente und nicht um Citrix-Produkte oder Cloud-Services. Die Produkte und Services seien nach wie vor sicher, da die Hacker keine Lücken in diesen entdeckt hätten, betont die Firma.
 
Gestohlen wurden "hauptsächlich" aktuelle und "historische" Geschäftsdokumente und Dateien von einem Shared-Netzlaufwerk sowie von einem Laufwerk, das mit einem "webbasierten Tool" von Consultants genutzt werde.
 
Details zu Kunden, der Art von Dokumenten und dem "Tool" gibt Citrix keine preis. Was die Firma aber anmerkt: Die neugierigen Hacker hätten "möglicherweise" auch auf virtuelle Laufwerke und Firmen-E-Mail-Konten "einer sehr begrenzten Anzahl von kompromittierten Benutzern" zugegriffen. Dabei, so heisst es kryptisch, hätten sie "eine begrenzte Anzahl von internen Anwendungen gestartet, ohne diese aber auch zu nutzen".
 
Diverse Security-Experten merken an, das Passwort-Spray-Attacken vielfach auf Single-Sign-On- und Cloud-basierte Anwendungen abzielen, die föderierte Authentifizierungsprotokolle verwenden. So könnten Kriminelle ihren Datenverkehr maskieren und den Zugriff auf Informationen maximieren. Laut der Security-Zeitung 'Threatpost' sei dies bei Citrix der Fall.
 
Die Firma erläutert derweil allgemein, was sie unternommen habe, damit Kriminelle bei Citrix künftig mit schlechten Passworten im Stile von "12345" keine sechs TeraByte interne Daten stehlen können: "Wir haben einen globalen Passwort Reset durchgeführt, unser internes Passwortmanagement verbessert und die Passwortprotokolle verbessert. Darüber hinaus haben wir unsere Protokollierung an der Firewall verbessert, unsere Überwachungsfunktionen für die Datenexfiltration erweitert und den internen Zugriff auf nicht benötigte webbasierte Dienste eliminiert sowie nicht benötigte Datentransfer-Wege deaktiviert."
 
Nicht zuletzt habe man neue Endpoint-Security als zusätzlichen Schutzwall implementiert (ein Salesmann von FireEye kann deswegen feiern). Citrix selbst bezeichnet dies als signifikanten Security-Fortschritt.
 
Nun wolle man die interne Sicherheitskultur bis in die höchsten Unternehmenssphären verbessern, schreibt Citrix, denn man lebe in einem "dynamischen Bedrohungsumfeld". (mag)