Citrix-Sicherheitslücke: Die Daten der Stadt Luzern sind sicher

3. February 2020
Beiträge von SRF vom Sonntag, 2. Februar 2020, deuten an, dass ein IT-Sicherheitssystem der Stadt Luzern verwundbar sei. Eigene Experten der Stadt Luzern, Experten unseres Systempartners sowie auch der Hersteller selbst haben aber bestätigt, dass die Daten seit Kenntnisnahme und Behebung der Schwachstelle am 14. Januar 2020 sicher sind.

Am Sonntag, 2. Februar 2020, hat die Online-Plattform von SRF eine News aufgeschaltet, die sich mit einer Schwachstelle eines IT-Sicherheitssystems befasst, welches auch bei der Stadt Luzern im Einsatz ist. In der Tagesschau Hauptausgabe wurde ebenfalls über diese Schwachstelle und den Umgang damit in der Schweiz berichtet.

In beiden Beiträgen wird angedeutet, dass ein System der Stadt Luzern immer noch verwundbar sei, obwohl die Schwachstelle mindestens seit einem Bericht von SRF am 15. Januar 2020 bekannt gemacht wurde.

Diese Darstellung des Journalisten trifft nicht zu: Die Schwachstelle wurde von den Zentralen Informatikdiensten (ZID) am 14. Januar 2020 mit Hilfe der vom Hersteller veröffentlichten Sofortmassnahmen gesichert und danach die Verwundbarkeit getestet. Spätestens ab diesem Zeitpunkt war das System nicht mehr verwundbar und die Schwachstelle geschlossen. Zum Zeitpunkt der offiziellen Warnung der Melde- und Analysestelle Informationssicherung (MELANI) des Bundes vom 15. Januar 2020 waren die notwendigen Massnahmen bereits getroffen.

Am Donnerstag 30. Januar 2020 wurde die Stadt Luzern von einem Journalisten von SRF kontaktiert. Dieser habe festgestellt, dass mindestens ein System der Stadt Luzern noch immer verwundbar sei. Als Beweis legte er einen Ausdruck eines Programms vor, mit Hilfe dessen er die Infrastruktur der Stadt Luzern von extern untersucht und dabei nicht das erwartete Resultat erhalten habe. Die Zentralen Informatikdienste (ZID) haben diesen Hinweis sehr ernst genommen und noch am Donnerstag und in der Nacht auf Freitag das System sowohl durch interne Spezialisten wie durch den Systempartner prüfen lassen. Die übereinstimmenden Resultate kamen zum Schluss, dass das System nicht verwundbar und die Schwachstelle behoben sei. Der ebenfalls einbezogene Hersteller hat dies am Freitag ebenfalls bestätigt.

Die Resultate unserer eigenen Tests sowie die technische Erklärung des Herstellers, warum unser System auf das Programm des Journalisten nicht wie erwartet reagiert, wurden SRF noch am Freitag mitgeteilt. Dass nun ein von SRF konsultierter IT-Sicherheitsexperte doch behauptet, die Stadt habe zu spät reagiert, ist sehr bedauerlich und gemäss unserer Einschätzung auch nicht zutreffend. Abschliessend wollen wir nochmals festhalten, dass die Daten seit Kenntnisnahme und Behebung der Schwachstelle am 14. Januar 2020 sicher sind.