SolarWinds Hack: Der Spionage-Fall des Jahres

Die Liste der prominenten Opfer des sicherlich spektakulärsten Hacking-Angriffs des Jahres wächst von Tag zu Tag. Zuerst schien es nur um das IT-Sicherheitsunternehmen zu gehen FireEye Dies wurde durch ein manipuliertes Update der SolarWinds Orion-Software gefährdet. Aber dann stellte sich allmählich heraus, dass das US-Finanzministerium, der Handel, die innere Sicherheit, das Außenministerium und Teile des Pentagon auf diese Weise auch hoch entwickelte Spionagesoftware erfasst hatten. Zuletzt wurde bekannt, dass sogar das US-Energieministerium einschließlich seiner untergeordneten National Nuclear Security Administration (NNSA) ist betroffen. Die NNSA verwaltet das US-Atomarsenal.

Microsoft, das auch die Malware in seinen Systemen entdeckte, spricht eines „weit verbreiteten und erfolgreichen Angriffs auf vertrauliche Informationen der US-Regierung und die technischen Werkzeuge, die sie schützen sollen“.

Es ist derzeit völlig unklar, um welche vertraulichen Informationen es sich handeln könnte. Nach früheren Analysen hatten die Täter jedoch umfangreiche Zugriffsrechte innerhalb der infiltrierten Systeme und Monate, um sich umzusehen und sie zu erreichen. Alle Betroffenen müssen davon ausgehen, dass die Täter, hinter denen staatliche Akteure verdächtigt werden, zumindest Teile ihrer E-Mail-Kommunikation und anderer Daten gesehen haben. Es kann jedoch Monate dauern, bis sie wissen, was heimlich durchgesickert ist. Bisher spricht jedenfalls nichts für eine Straftat zur Bereicherung oder einen Sabotageversuch, sondern alles für eine Spionageoperation.

Für den IT-Sicherheitsexperten ist die Tatsache, dass zu viele Menschen betroffen sind Dmitri Alperovitch Die beste Nachricht zu dem Vorfall: „Kein Angreifer verfügt über genügend Personal für jedes der potenziellen Opfer“, schrieb der frühere Technologieleiter des IT-Sicherheitsunternehmens CrowdStrike auf Twitter. „Sie müssen sich auf diejenigen konzentrieren, die Ihnen am wichtigsten sind.“

„Nach heutigem Kenntnisstand“ sind in Deutschland nur wenige Menschen betroffen

Das Ausmaß des Vorhabens ist in der Tat atemberaubend: Seit mindestens diesem März sind Tausende von Behörden, Unternehmen und Betreibern kritischer Infrastrukturen weitgehend kompromittiert worden. Es gibt Opfer hauptsächlich in Nordamerika, aber auch in Europa, im Nahen Osten und in Asien.

Auch Deutschland ist nicht verschont geblieben, aber das Ausmaß des Schadens ist hier noch unklar. Das Bundesamt für Informationssicherheit (BSI) hat nach eigenen Angaben am Freitag »das Wissen, dass Unternehmen und Behörden in Deutschland die Software von SolarWinds nutzen. Nach heutigem Kenntnisstand ist die Zahl der Betroffenen gering. „“

Keine Reaktion von Donald Trump

Eines ist klar: Es gab mehr als einen Infektionsweg, aber der erste, der bekannt wurde, hat alles. Die Täter entführten und manipulierten ein Update der Orion-Netzwerkverwaltungssoftware der texanischen Firma SolarWinds. Mehr als 17.000 Unternehmen haben das Update heruntergeladen und dabei unabsichtlich eine Hintertür in ihre Computersysteme eingebrochen.

Die US-amerikanische Cybersicherheitsagentur CISA hat eigene Informationen Es wurden Beweise für andere Methoden gefunden, mit denen sich die Täter in die fremden Systeme eingeschlichen haben, aber das ist noch nicht bereit für eine detaillierte Entscheidung. „Dieser Schauspieler hat Geduld, Vorsicht und komplexe Spionagefähigkeiten gezeigt“, sagte CISA. „Wir gehen davon aus, dass es für die betroffenen Organisationen sehr schwierig und herausfordernd sein wird, die Täter aus ihren Systemen zu entfernen.“

Neben dem Ausmaß der Aktion ist Donald Trumps Reaktion erstaunlich oder besser: die Nichtreaktion. Weil der derzeitige Präsident kein Wort über den Vorfall gesagt hat. Einige US-Politiker wundern sich schonob Trump einfach nicht mehr an seinen Behörden interessiert ist, die von Hackern fachmännisch abgebaut wurden. Der republikanische Senator und Ex-Präsidentschaftskandidat Mitt Romney forderte beispielsweise das Weiße Haus auf, auf die Ereignisse mit aggressiven Ankündigungen zu reagieren. „Das ist fast wie ein russischer Bomber, der unentdeckt über das Land fliegt.“

„Möglicherweise historisches Ereignis“

Es ist auch erstaunlich, dass die beiden Mehrheitsaktionäre von SolarWinds, die Investmentgesellschaften Silver Lake und Thoma Bravo, sechs Tage vor Bekanntwerden des Hacks Verkaufte Aktien im Wert von 286 Mio. USD. Warum der Verkauf zustande kam, ist noch offen.

Bisher ist schwer vorhersehbar, welche technischen und sicherheitspolitischen Konsequenzen der Vorfall haben wird. Sven Herpig, Leiter der Abteilung für internationale Cybersicherheitspolitik bei der New Responsibility Foundation, sagt: „Während das volle Ausmaß des Schadens noch völlig unklar ist, deuten die Rahmenbedingungen auf ein möglicherweise historisches Ereignis hin – für die internationale Cybersicherheitspolitik.“ Es wird „wahrscheinlich Monate bis Jahre dauern, um alle Systeme zu bereinigen und zu sichern und das volle Ausmaß des Schadens zu analysieren.“

Im Gegensatz zu Romney erwartet er nicht unbedingt aggressive Ankündigungen von der Politik: „Die USA selbst haben ein grundlegendes Interesse daran, nicht jede Spionageaktivität im Cyberspace als Kriegserklärung zu betrachten, weil sie ihre eigenen Operationen ungestört fortsetzen möchten.“ Aufgrund des politischen Rahmens und der außerordentlichen Schwere des Vorfalls könnte es jedoch sein, dass die US-Regierung nicht an „Business-as-usual“ festhält.

Wenn die Lieferkette Malware liefert

Was wird die Welt daraus lernen? SolarWinds ist Teil einer IT-Lieferkette, von der große Organisationen und Unternehmen abhängen, einem sogenannten Managed Service Provider (MSP), dh einem Dienstleister für die IT eines Kunden. Als Angriffsvektor ist die texanische Firma äußerst interessant für Spione, aber auch für kriminelle Hacker.

Calvin Gan, Sicherheitsforscher bei F-Secure, sagt: „Vor Monaten gab es Warnungen, dass MSPs von Hackern angegriffen wurden. Sie sollten als Teil der Organisation betrachtet werden, die sie verwendet, und die gleichen Sicherheitsüberprüfungen wie interne Systeme erhalten. „“

Ein Sprecher des ITZBund, des IT-Dienstleisters der Bundesverwaltung, sieht das ebenfalls so: „Um sich wirksam vor solchen Angriffen zu schützen, müssen grundsätzlich alle Komponenten der gesamten Lieferkette auf ihre IT-Sicherheit und mögliche Angriffe überprüft werden Optionen. Dies ist manchmal sehr arbeitsintensiv, da Sie grundsätzlich jedes Update und jede Lieferung vom Hersteller bis zur Installation auseinander nehmen müssen «. Insbesondere kleine und mittlere Behörden oder Unternehmen könnten alternativ beispielsweise mit Sicherheitserklärungen von Lieferanten zufrieden sein. Das ist eine Frage des Verhältnisses zwischen Aufwand und Nutzen.

Oder das Verhältnis von Aufwand zu potenziellem Schaden.