(Quebec) Quebec ordnet die präventive Abschaltung aller über das Internet zugänglichen Computersysteme an – nicht weniger als 3.992 Sites und Dienste – nach der Entdeckung einer schwerwiegenden Sicherheitsverletzung, die Server auf der ganzen Welt betrifft.
In Ottawa hat die Bundesregierung beschlossen, dasselbe zu tun und eine Reihe von Diensten einzustellen, die während der Bewertung der Situation möglicherweise anfällig sind. Die Canada Revenue Agency (CRA) ist eine davon.
„Die Agentur ist auf eine Sicherheitslücke aufmerksam geworden, die Unternehmen auf der ganzen Welt betrifft. Als Vorsichtsmaßnahme haben wir proaktiv die Entscheidung getroffen, unsere Online-Dienste auszusetzen, während wir notwendige Updates an unseren Systemen vornehmen. Es gibt jetzt keine Hinweise darauf, dass die Systeme der Behörde kompromittiert wurden oder dass aufgrund dieser Sicherheitsanfälligkeit unbefugter Zugriff auf Steuerzahlerinformationen stattgefunden hat “, sagte die CRA in einer Erklärung.
Revenu Québec hat auch seine Online-Dienste eingestellt, seine Website bleibt jedoch geöffnet, um die grundlegenden Informationen der Organisation einzusehen. „Es gibt keinen Hinweis darauf, dass unsere Systeme von dieser Schwachstelle betroffen sind, aber wir handeln proaktiv, um ihre Integrität zu wahren. Unsere Dienstleistungen werden so schnell wie möglich wieder verfügbar sein “, können wir auf seiner Website lesen.
Der Fehler „Log4Shell“ ermöglicht es einem Cyber-Hacker, Computercodes auf den Servern von Organisationen auszuführen und die Kontrolle über ihr System zu übernehmen. Betroffen ist eine weltweit verbreitete Java-Bibliothek der Firma Apache. Der Fehler wurde am 10. Dezember entdeckt. In Quebec City wurde das Government Cyber Defense Center noch am selben Tag auf diese Schwachstelle aufmerksam und forderte alle für die Computersicherheit Verantwortlichen auf, diese Schwachstelle in den Systemen der Regierung von Quebec zu entdecken.
Am Ende des Tages am Samstag waren wir uns einig, dass „die Gefahr eines Schadens größer ist als der Schaden, alle über das Internet zugänglichen Regierungssysteme herunterzufahren“, erklärte der Minister für digitale Transformation, Eric Caire, während eines Treffens Pressekonferenz mit Chief Information Officer Pierre Rodrigue am Sonntag. „Wir waren mit einem kritischen Level von 10 von 10 bedroht. Bei einem kritischen Level von 10 wird das anvisierte System automatisch heruntergefahren. Er ordnete daher die präventive Schließung aller 3.992 Regierungs-Websites und Internetdienste an, eine außergewöhnliche Entscheidung, die die Regierung von Quebec nie gesehen hat.
„Die Richtlinie zielt auf den gesamten öffentlichen Apparat ab“, betonte Eric Cairo, die Ministerien und die öffentlichen Körperschaften als halböffentliche. Betroffen von der Anordnung sind unter anderem staatliche Dienste, die Bürgern im Internet angeboten werden – etwa über CLICSÉQUR – und die Websites des Bildungs- und Gesundheitsnetzes. Das System zur Terminvereinbarung für einen Impfstoff gegen COVID-19 „wurde bereits korrigiert“ und ist zugänglich, während der Impfpass nach den Erklärungen des Ministers nicht betroffen wäre.
Quebec gibt an, dass bisher keine Aktivität festgestellt wurde, die darauf hindeutet, dass ein Hacker diesen Fehler ausgenutzt hat. So wären beispielsweise noch keine personenbezogenen Daten oder sensible Regierungsinformationen durchgesickert.
„Es kann Leute geben, die Systeme gescannt haben. Das hinterlässt keine Spuren und wir wissen es nicht. Aber es gab keinen Versuch, einzudringen, also niemand, der versucht hat, diese Verletzung zu nutzen, um in einen Server einzubrechen und Schaden anzurichten. Es gibt keine, wie wir sprechen “, sagte Éric Caire.
Alle Ministerien sowie öffentliche und halbstaatliche Stellen müssen prüfen, ob sie die jeweilige Java-Bibliothek nutzen und damit ihre Computersysteme angreifbar sind. „Wir suchen ein bisschen nach der Nadel im Heuhaufen, ich werde sie dir nicht verheimlichen!“ », ließ den Minister fallen.
„Entschuldigen Sie den Ausdruck, aber wir müssen alle unsere Systeme scannen, weil wir kein Inventar haben. Es ist, als würde man sagen, wie viele Räume in allen Regierungsgebäuden von Quebec 60-Watt-Glühbirnen verwenden. Ich weiß nicht. Also gehen wir durch die Räume und wir gehen um die Glühbirnen herum, um herauszufinden, ob es 60 Watt sind. Es ist die Aufgabe eines Mönchs. „
Internetseiten und Dienste werden schnell wieder geöffnet, wenn festgestellt wird, dass sie nicht von der Sicherheitsverletzung betroffen sind. Andere müssen einen Computer-Patch installieren und dann prüfen, ob ein Problem weiterhin besteht. „Es müssen eine Reihe von Tests durchgeführt werden“, sagte Éric Caire. Es werden mehrere Tage benötigt, um den Vorgang abzuschließen und alle Computersysteme wiederherzustellen. Für die Ministerin ist von „Umkehrungen“ keine Rede.
Wenn Regierungswebsites derzeit zugänglich sind, liegt es entweder daran, dass sie die Schließungsanordnung noch nicht ausgeführt haben – dies wäre eine sehr kleine Minderheit – oder weil schnell festgestellt wurde, dass „sie nicht von dem Fehler betroffen sind oder dass ihre Systeme“ wurden korrigiert – dies ist bei Sites im Gesundheitsnetzwerk der Fall. Die Plattform Québec.ca, die die betreffende Bibliothek nutzt, wurde geschlossen und schnell wieder online gestellt, da die Korrekturen vorgenommen wurden.
„Kritische Websites, die sensibler und genutzter sind, werden priorisiert, um die Auswirkungen zu minimieren und sicherzustellen, dass sie so schnell wie möglich verfügbar gemacht werden“, sagte Minister Kairo. Am Montag wird die Regierung voraussichtlich eine Liste der wiedereröffneten und geschlossen bleibenden Websites und Dienste veröffentlichen.
Bürger, die einen online angebotenen Dienst benötigen und auf eine geschlossene Website stoßen, müssen „einen anderen Weg wählen“, und „Beamte können die Bedürfnisse der Bürger erfüllen“, sagte Eric Caire.
In Ottawa sagte Verteidigungsministerin Anita Anand, dass alles getan werde, um die Integrität der Websites der Bundesregierung und der darin enthaltenen vertraulichen Daten zu schützen.
„Der kanadischen Regierung ist eine von Apache gemeldete Schwachstelle bekannt. Diese Sicherheitsanfälligkeit könnte es böswilligen Autoren ermöglichen, gezielte und begrenzte Angriffe durchzuführen. […] Die kanadische Regierung verfügt über Systeme und Instrumente, um potenzielle Bedrohungen zu überwachen, zu erkennen und zu analysieren und bei Bedarf Maßnahmen zu ergreifen. Aus Vorsicht haben einige Abteilungen ihre Online-Dienste eingestellt, um potenzielle Schwachstellen zu bewerten und zu mindern. Zum jetzigen Zeitpunkt deutet nichts darauf hin, dass diese Schwachstellen auf Regierungsservern ausgenutzt wurden “, sagte sie in einer Erklärung.
Das Canadian Center for Cyber Security hat eine Warnung an alle Bundesministerien und -behörden ausgegeben und um Updates gebeten, um die Sicherheit ihrer Websites zu gewährleisten.
