Luchthaven Schiphol, de Tweede Kamer en meerdere grote Nederlandse gemeenten hebben vrijdag Citrix-servers offline gezet in verband met een groot beveiligingslek. Het is daardoor voor medewerkers niet mogelijk om vanuit huis in te loggen op het interne netwerk van de organisaties.

Met de software van het Amerikaanse bedrijf Citrix kunnen bedrijven of instellingen onder meer 'virtuele desktops' opzetten die vanuit de cloud of een netwerk te gebruiken zijn. Medewerkers kunnen daardoor thuis inloggen op de servers.

Door de kwetsbaarheid in het netwerk van Citrix kunnen kwaadwillenden op afstand een code uitvoeren in het systeem. Kwaadwillenden kunnen hierdoor het hele systeem overnemen wat tot gevolg kan hebben dat de bedrijven slachtoffer worden van datalekken of ransomware.

Zondag werd bekend dat minimaal 713 servers in Nederland risico lopen. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde maandag dat het lek actief wordt aangevallen en adviseerde organisaties om maatregelen te nemen om de risico's te beperken.

Maar donderdagavond bleek dat deze maatregelen niet altijd werkten, het NCSC adviseerde daarom met klem om de Citrix-servers offline te zetten. Vrijdag gaven meerdere organisaties daar gehoor aan.

'Waarschijnlijk tien dagen uit de lucht'

Luchthaven Schiphol bevestigt tegen NU.nl dat de Citrix-servers offline zijn. Een woordvoerder benadrukt dat het hierbij gaat om een preventieve maatregel en dat reizigers hier geen hinder door zullen ondervinden. De luchthaven ziet geen indicaties dat hackers daadwerkelijk hebben geprobeerd om in het systeem in te breken.

Een woordvoerder van de Tweede Kamer vertelde aan RTL Z dat ook daar de Citrix-servers inmiddels offline zijn. Kamerlid Femke Merel van Kooten vertelt op Twitter dat de servers waarschijnlijk tien dagen offline zullen blijven. In die periode kunnen de Kamerleden niet vanuit thuis bij hun werkmail.

Uit een rondgang van NU.nl blijkt dat ook bij meerdere grote gemeenten de servers inmiddels offline zijn gezet. Onder meer de gemeente Den Haag, Amsterdam, Haarlem, Rotterdam en Leiden hebben vrijdag de servers offline gehaald. Bij de gemeente Den Haag zijn de servers in de loop van vrijdag weer online gezet, maar deze worden "scherp in de gaten gehouden".

Dinsdagavond hebben hackers geprobeerd in te breken in de computersystemen van het Medisch Centrum Leeuwarden (MCL) en de gemeente Zutphen. Ze maakten daarbij waarschijnlijk gebruik van het lek in de Citrix-servers. Alle door NU.nl bevraagde gemeenten geven aan dat het offline halen van de servers een preventieve maatregel is en dat er bij hun servers geen indicatie is dat hackers hebben geprobeerd om in te breken.

Nog geen update beschikbaar die het lek verhelpt

De kwetsbaarheid in het systeem van Citrix is sinds december 2019 bekend, maar het softwarebedrijf heeft nog geen update uitgebracht die het lek verhelpt. Citrix verwacht op zijn vroegst op 20 januari een update aan te kunnen bieden die de kwetsbaarheid wegneemt. Voor bepaalde versies van de firmware (in hardware geprogrammeerde software) kan een update nog enkele dagen langer op zich laten wachten.

Uit een scan van Nederlands Security Meldpunt bleek donderdagochtend dat nog 250 Nederlandse servers kwetsbaar zijn door het lek. "Je kunt ervan uitgaan dat deze servers inmiddels allemaal getroffen zijn door hackers", vertelt Frank Breedijk, cybersecurityexpert bij Nederlands Security Meldpunt, aan NU.nl.