Mehr als 18.000 Organisationen, Unternehmen, sowie Beh\u00f6rden sind vom SolarWinds-Hack betroffen: Wie im Dezember 2020 bekannt wurde, gelang es Cyberkriminellen, die Schadsoftware Sunburst auf den Update-Server der IT-Management-Software Orion von SolarWinds einzuschleusen. Neben der Sicherheitsfirma FireEye, zahlreichen US-Beh\u00f6rden und Milit\u00e4reinrichtungen sind auch hierzulande Konzerne und Beh\u00f6rden betroffen. Wir fassen die Situation sowie bisherige Erkenntnisse f\u00fcr Sie zusammen und geben Ihnen pr\u00e4sentieren Ihnen die Einsch\u00e4tzung von Sectigo zu diesem Vorfall.<\/p>\n
Wie SolarWinds kurz nach offiziellem Bekanntwerden des Angriffs mitteilte<\/a> (PDF), soll die Schadsoftware Sunburst \u00fcber Orions Software-Build-System eingeschleust worden sein \u2013 im Quellcode-Repository der Orion-Plattform habe man die Schadsoftware nicht entdecken k\u00f6nnen. Offenbar, so die bisherigen Erkenntnisse, sei die Schadsoftware zwischen M\u00e4rz und Juni 2020 eingeschleust worden und dann \u00fcber die hauseigenen Update-Server vielfach heruntergeladen worden.<\/p>\n Kompromittiert sind laut SolarWinds h\u00f6chstwahrscheinlich s\u00e4mtliche Kunden, die innerhalb des besagten Zeitraums Orion-Software heruntergeladen, aktualisiert oder implementiert haben. SolarWinds spricht von mehr als der H\u00e4lfte aller 33.000 Orion-Kunden, jedoch ist noch nicht bekannt, wie viele Kunden sich tats\u00e4chlich die Schadsoftware herunterluden und bei wem Daten abgegriffen wurden.<\/p>\n Mit dem kompromittierten SolarWinds-Produkt Orion wurden im Jahre 2020 umfangreiche Cyberattacken ausgef\u00fchrt. Sowohl in privatwirtschaftliche als auch beh\u00f6rdliche Rechnernetzwerke in den USA, aber auch in Europa ist man in bislang unbekanntem Umfang eingedrungen. \u00dcber die Update-Server wurde mit Hintert\u00fcren eine Programmbibliothek eingeschleust, sodass die Schadprogramme Sunburst und Supernova in die Netze gelangten, wie FireEye Mitte Dezember in einer Meldung erkl\u00e4rte<\/a>.<\/p>\n Damit handelt es sich um einen \u201eLieferkettenangriff\u201c, also um einen Supply-Chain-Angriff: \u00dcber Updates bzw. Downloads f\u00fcr die Orion-Plattform von SolarWinds wurde der Trojaner verteilt und fand Zugang zu etlichen \u00f6ffentlichen sowie privatwirtschaftlichen Organisationen auf der ganzen Welt. Betroffen sind die Version 2019.4 HF5 bis 2020.2.19.0. Wie das m\u00f6glich war, ist bislang unklar, jedoch gibt es einen Hinweis: Schon im Jahre 2019 machte Sicherheitsforscher Vinoth Kumar SolarWinds auf das schwache Passwort \u201esolarwinds123\u201c f\u00fcr die Update-Server aufmerksam.<\/p>\n <\/p>\n Bisher gibt es lediglich Spekulationen zum gesamten Ausma\u00df des SolarWinds-Hacks. Mindestens 18.000 Unternehmen und Organisationen seien laut SolarWinds betroffen \u2013 n\u00e4mlich, wie oben erw\u00e4hnt, all jene, die im kritischen Zeitraum Software herunterluden oder aktualisierten. Die Sicherheitsfirma FireEye erkl\u00e4rt in der oben verlinkten Meldung, dass ausschlie\u00dflich ausgew\u00e4hlte und potenziell wertvolle Ziele tats\u00e4chlich ausgenutzt wurden. Welche das konkret sind, kommt erst nach und nach ans Licht. Bisherige Erkenntnisse:<\/p>\n \u201eWir haben festgestellt, dass ein Konto zum Anzeigen von Quellcodes verwendet wurde\u201c \u2013 mit dieser Nachricht<\/a> schockierte Microsoft private Anwender sowie Unternehmen am letzten Tag des vergangenen Jahres. Offenbar sind die Verantwortlichen f\u00fcr den SolarWinds-Hack zu Microsofts Quellcodes vorgedrungen. Zwar seien weder Quellcodes verlorengegangen noch habe man Manipulationen feststellen k\u00f6nnen. Doch schon ein Blick auf den Quellcode einer Software kann als Spionage von Betriebsgeheimnissen gewertet werden.<\/p>\n Weiter wird es mit Kenntnis des Quellcodes leichter, Microsoft-Produkte hacken zu k\u00f6nnen. Denn wer suchet, der findet: Schwachstellen, beispielsweise, die sich f\u00fcr Angriffe ausnutzen lassen. Zahlreiche Organisationen und Unternehmen setzen auf Microsoft-Produkte, auch Betreiber kritischer Infrastrukturen. Jetzt gilt es f\u00fcr Microsoft, offenzulegen, welche Codes von welcher Software konkret angegriffen wurden \u2013 amerikanische Sicherheitsbeh\u00f6rden machen hier bereits Druck. Es kommen aber auch gute Nachrichten aus dem Hause Microsoft: Der hauseigene Virenscanner Defender kann die Schadsoftware mittlerweile erkennen.<\/p>\n Brian Krebs, seines Zeichens IT-Sicherheitsblogger, wies auf die Domain avsvmcloud.com hin: Die einst von den Angreifern zum Kommunizieren mit kompromittierten Systemen genutzte Domain wurde von Microsoft \u00fcbernommen. Das passiert nicht zum ersten Mal: in Abstimmung mit Sicherheitsbeh\u00f6rden hatte der Software-Konzern auch schon in der Vergangenheit Malware-Domains \u00fcbernommen. Jeff Jones reagierte<\/a> als Senior Director bei Microsoft auf Krebs\u2018 Tweet sinngem\u00e4\u00df damit, dass jeder einen Beitrag bei der Cybersicherheit zu leisten habe.<\/p>\n Kurze Zeit sp\u00e4ter gab es zu der Domain neue Informationen<\/a>: Gemeinsam mit FireEye und dem verantwortlichen Registrar GoDaddy wurde besagte Domain von Microsoft zu einem Killswitch umgebaut, um so die Sunburst-Malware auf betreffenden Systemen ausschalten zu k\u00f6nnen.<\/p>\n In einem weiteren Blogbeitrag erkl\u00e4rte Microsoft, dass man auf eine zweite Malware gesto\u00dfen sei, die wom\u00f6glich von einer weiteren Hackergruppe stamme. Anders als die erste Malware, die auf eine g\u00fcltige SolarWinds-Signatur setzte, enth\u00e4lt diese Schadsoftware keine Signatur, was die Vermutung zul\u00e4sst, dass sie von einer weiteren unabh\u00e4ngigen Gruppe stamme.<\/p>\n Zahlreiche Opfer zieht der SolarWinds-Hack nach sich: H\u00e4ndler der Office-Software von CrowdStrike sollen ebenfalls durch den Hack betroffen sein, CrowdStrike selbst jedoch nicht, wenngleich die Angreifer versucht h\u00e4tten, auf die E-Mails des Unternehmens zuzugreifen. Der NYT zufolge h\u00e4tten sich die Angreifer Zugang zu mehr als 250 US-Bundesbeh\u00f6rden \u2013 darunter das Au\u00dfenministerium, das Pentagon, das Justizministerium sowie die NASA – und Unternehmen verschafft.<\/p>\n Angesichts der Tatsache, dass nahezu jeder betroffen sein kann, der auf SolarWinds setzt, hat die CA Sectigo (ehemals Comodo) direkt reagiert: In einem Blogbeitrag<\/a> stellt die Zertifizierungsstelle klar, dass Sectigo-Kunden sowie -Partner unber\u00fchrt von dem Cyberangriff bleiben. Sectigo pr\u00fcfte die interne Infrastruktur und fand keinerlei Hinweis darauf, dass hauseigene Systeme, Betriebe oder Produkte von dem Cyberangriff betroffen waren.<\/p>\n Weiter nutzt Sectigo die Gelegenheit, zu erkl\u00e4ren, wie Code-Signing mit einem solchem Supply-Chain-Angriff zusammenh\u00e4ngen kann: Offenbar f\u00fcgten die oder der Angreifer eine sch\u00e4dliche DLL in die Build-Umgebung von SolarWinds. Diese sch\u00e4dliche DLL war dann in den signierten Updates von SolarWinds Orion-Plattform enthalten. Der Angreifer f\u00fcgte also den Schadcode bereits vor dem Signieren in die Build-Umgebung ein, sodass es keinen Fehler bei der eigentlichen Code-Signierung gab. Denn ein solcher Signatur-Code gew\u00e4hrleistet, dass die signierte Datei bitweise mit der Datei identisch ist, die signiert wurde. In diesem Fall wurde der sch\u00e4dliche Code bereits vor dem Build injiziert, sodass der signierte und verteilte Code schlie\u00dflich die sch\u00e4dliche DLL enthielt.<\/p>\n Auf eine schriftliche Anfrage der Bundestagsabgeordneten Canan Bayram (Gr\u00fcne), inwieweit Landeseinrichtungen betroffen sein k\u00f6nnen, hie\u00df es in der Antwort<\/a>: \u201eDer Bundesregierung liegen derzeit keine Erkenntnisse zu einer Betroffenheit von Landeseinrichtungen sowie zu den Urhebern der kompromittierten Solarwinds-Orion-Software vor.\u201c Die Frage jedoch, ob Unternehmen mit Bundesbeteiligung vom SolarWinds-Hack betroffen seien, blieb unbeantwortet.<\/p>\n Einige Zeit sp\u00e4ter sah die Sache jedoch schon anders aus: laut Bundesregierung nutzen 15 deutsche Bundes\u00e4mter und Ministerien Software aus dem Hause SolarWinds. Jedoch schweigt sich die Regierung dar\u00fcber aus, ob das gehackte Orion-Tool verwendet wird. Diesmal stellte der Bundestagsabgeordnete Manuel H\u00f6ferlin (FDP) eine Anfrage, die Antwort der Bundesregierung liegt heise.de vor<\/a> (PDF). Genannt werden hier zentrale IT-Dienstleister des Bundes: mitunter das Robert Koch-Institut, das Kraftfahrt-Bundesamt oder das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI). Zum Einsatz von SolarWinds-Software beim Bundesnachrichtendienst (BND) sowie beim Bundesamt f\u00fcr Verfassungsschutz (BfV) verzichtet die Regierung auf Angaben. Die Begr\u00fcndung: \u201eDies k\u00f6nnte einen Nachteil f\u00fcr die wirksame Aufgabenerf\u00fcllung des BfV sowie des BND und damit f\u00fcr die Interessen der Bundesrepublik Deutschland bedeuten\u201c.<\/p>\n Die Bundesregierung erkl\u00e4rte auf die Frage, ob Zugriffe auf sensible Daten stattgefunden h\u00e4tten: \u201eNach derzeitigem Kenntnisstand der Bundesregierung hat es \u00fcber das Sunburst genannte Schadprogramm in der Software SolarWinds Orion keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung gegeben\u201c. Auff\u00e4llig ist bei der Antwort der Bundesregierung, dass sie leidglich auf die Sunburst-Schadsoftware eingeht, nicht jedoch auf den Supernova-Trojaner. Eine angefragte Kundenliste jener Kunden, die SolarWinds-Produkte nutzen, erhebe \u201ekeinen Anspruch auf Vollst\u00e4ndigkeit\u201c; sie sei unter \u201ehohem Ressourcenaufwand und umfangreichen Abstimmungen\u201c erstellt worden. 16 deutsche Ministerien und Bundes\u00e4mter finden sich auf der Kundenliste von SolarWinds.<\/p>\n Dass SolarWinds sich nun auch mit juristischen Problemen auseinanderzusetzen hat, versteht sich von selbst: Aktion\u00e4re haben am 04.01.2021 Sammelklage beim U.S. District Court for the Western District of Texas gegen SolarWinds eingereicht. In der Klageschrift (PDF) hei\u00dft es: \u201eInfolge der unrechtm\u00e4\u00dfigen Handlungen und Unterlassungen der Beklagten und des rapiden R\u00fcckgangs des Marktwerts der Wertpapiere des Unternehmens haben der Kl\u00e4ger sowie andere Mitglieder der Sammelkl\u00e4gergruppe erhebliche Verluste und Sch\u00e4den erlitten\u201c.<\/p>\n Konkret werfen die Kl\u00e4ger der SolarWinds-F\u00fchrung vor, nicht offengelegt zu haben, dass die Orion-Plattform eine Schwachstelle aufwies und dass zum Sichern schwache Passw\u00f6rter wie \u201esolarwinds123\u201c verwendet wurden. Weiter werden der Gesch\u00e4ftsf\u00fchrung \u201efalsche und\/ oder irref\u00fchrende\u201c Aussagen in beh\u00f6rdlichen Einreichungen vorgeworfen. Fakten bez\u00fcglich der Gesch\u00e4fte, des Betriebs sowie der Aussichten von SolarWinds seien falsch dargestellt worden.<\/p>\n Tats\u00e4chlich mutet das Verhalten einiger SolarWinds-Aktion\u00e4re nicht unbedingt seri\u00f6s an: Nur wenige Tage vor dem Bekanntwerden des SolarWinds-Hacks, n\u00e4mlich am 07. Dezember 2020, verkauften zwei Hauptinvestoren<\/a> Unternehmensanteile von insgesamt 280 Millionen US-Dollar. Die beiden Aktion\u00e4re hielten bis dato rund 70 % der Aktien. Beide bestreiten ein m\u00f6gliches Insiderwissen, wenngleich die Angriffe zu dieser Zeit schon einige Monate im Gange waren. Interessant ist auch, dass sich der scheidende CEO Kevin Thompson bereits im November von Aktien trennte \u2013 verver\u00e4u\u00dferte SolarWinds-Aktien\u00a0im Wert von \u00fcber 15 Millionen US-Dollar. Diese Fakten d\u00fcrften im Zusammenhang mit der ersten Klage gegen SolarWinds interessant sein. SolarWinds selbst \u00e4u\u00dferte sich bislang zu dieser Klage nicht. Laut CRN<\/a> erkl\u00e4rte das Unternehmen jedoch, dass man sich nun ausschlie\u00dflich darauf konzentriere, \u201eder Branche und unseren Kunden zu helfen, diesen Angriff zu verstehen und zu entsch\u00e4rfen\u201c.<\/p>\n <\/p>\n Wie das so ist nach Angriffen dieser Art zeigt man sich wenig zur\u00fcckhaltend mit etwaigen Beschuldigungen: Vertreter verschiedener US-Geheimdienste sowie \u2013Sicherheitsbeh\u00f6rden schlie\u00dfen sich der Meinung von Au\u00dfenminister Pompeo sowie Justizminister Barr an und beschuldigen Moskau. Die regierungsnahe Gruppierung APT29 habe den Angriff zu verantworten, davon sind die genannten Stellen \u00fcberzeugt. Nachdem sich Donald Trump nach dem Angriff eine Zeitlang ausgeschwiegen hatte, legte er hier jedoch sein Veto ein<\/a>: China k\u00f6nnte es schlie\u00dflich auch gewesen sein.<\/p>\n Beide Ideen geh\u00f6ren zun\u00e4chst \u2013 bis es handfeste Beweise gibt \u2013 ins Reich der Spekulationen. Wenngleich handfeste Beweise noch fehlen, f\u00fchren erste Spuren der Strafverfolgungsbeh\u00f6rden in eine ganz andere Richtung: Zum in Tschechien ans\u00e4ssigen Softwareentwickler JetBrains. Das berichtet die NYT unter Berufung auf entsprechende Ermittler. Leider fehlt es auch bei dieser Spur an richtigen Anhaltspunkten \u2013 die einzige Verbindung besteht derzeit darin, dass SolarWinds zur Kundschaft von JetBrain z\u00e4hlt.<\/p>\n Das best\u00e4tigt JetBrains selbst in einem Blogeintrag<\/a>: Ja, SolarWinds z\u00e4hlt zu JetBrains Kunden. Jedoch dementiert JetBrains-CEO Maxim Shafirov eine Beteiligung an den Vorf\u00e4llen: SolarWinds selbst habe JetBrains bislang keinerlei Informationen bereitgestellt. Wom\u00f6glich k\u00f6nnten Fehlkonfigurationen durch SolarWinds zu einer Kompromittierung gef\u00fchrt haben, jedoch seien keinerlei Anhaltspunkte dazu bekannt. In einem erneuten Update<\/a> erkl\u00e4rt Shafirov: \u201eIm Rahmen unseres Engagements f\u00fcr Transparenz und um unsere Kunden \u00fcber die Ereignisse auf dem Laufenden zu halten, m\u00f6chten wir Sie dar\u00fcber informieren, dass wir uns proaktiv an das US-Justizministerium gewandt und mit ihm gesprochen haben. Wir haben ihnen unsere uneingeschr\u00e4nkte Zusammenarbeit angeboten in dieser Sache. Noch einmal, um es noch einmal zu wiederholen, wir sind uns keiner Schwachstelle bewusst, die zu dieser Situation gef\u00fchrt haben k\u00f6nnte.\u201c<\/p>\n Es wird noch andauern, bis Spuren gefunden werden, denen mehr als nur wilde Spekulationen anheften. Es w\u00e4re w\u00fcnschenswert und im Sinne betroffener Kunden, echte Aufkl\u00e4rungsarbeit zu leisten und vor allem vorzusorgen. Dazu geh\u00f6rt es, sichere Passw\u00f6rter zu verwenden und Zug\u00e4nge effektiv abzusichern. Wom\u00f6glich h\u00e4tte allein diese Vorsorge schon dazu f\u00fchren k\u00f6nnen, dass der SolarWinds-Hack in dieser Auspr\u00e4gung nicht h\u00e4tte stattfinden k\u00f6nnen. Zweifellos l\u00e4sst sich von einem der gef\u00e4hrlichsten Hacks in der Geschichte sprechen.<\/p>\n W\u00fcnschenswert w\u00e4re es weiter, wenn endlich ein verbindliches und systematisches Management von Sicherheitsl\u00fccken existieren w\u00fcrde. Nach wie vor fehlt es dem IT-Sicherheitsgesetz an einer Meldepflicht f\u00fcr Sicherheitsl\u00fccken \u2013 ein Zustand, der nicht haltbar ist, wie der SolarWinds-Hack nun eindrucksvoll beweist. Ebenfalls beweist dieser Angriff, dass wir auf starke Verschl\u00fcsselung ohne Hintert\u00fcren angewiesen sind \u2013 st\u00e4rker als mit Hintert\u00fcren l\u00e4sst sich Sicherheit nicht schw\u00e4chen.<\/p>\n Noch etwas zeigt dieser Fall: Nach wie vor ist das Sicherheitsbewusstsein von F\u00fchrungskr\u00e4ften und Mitarbeitern in der IT-Sicherheitsindustrie verbesserungsw\u00fcrdig. Systempassw\u00f6rter f\u00fcr die SolarWinds-Software lagen einfach auf einem Server herum. Sicherheitshinweise wurden ignoriert, Risiken heruntergespielt. Es muss einfach das Bewusstsein daf\u00fcr weiter steigen, dass unsere digitalisierte Welt angreifbar ist \u2013 und dass jeder einzelne im jeweiligen Unternehmen ma\u00dfgeblich dazu beitragen kann, die Sicherheit herauf- oder herabzusetzen.<\/p>\n Gender-Disclaimer:Supply-Chain-Angriff mit Sunburst<\/h3>\n
SolarWinds-Hack: Komplettes Ausma\u00df noch unklar<\/h2>\n
SolarWinds-Hack: Hacker griffen auf Microsoft-Quellcode zu<\/h3>\n
SolarWinds-Hack: Weitere Betroffene<\/h3>\n
Sectigo-Kunden k\u00f6nnen aufatmen<\/h3>\n
Bundesregierung sah sich vom SolarWinds-Hack nicht betroffen<\/h3>\n
Sammelklage gegen SolarWinds<\/h3>\n
Untersuchungen beim SolarWinds-Hack dauern an<\/h2>\n
\nZur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum f\u00fcr Substantive und meinen damit alle nat\u00fcrlichen Personen unabh\u00e4ngig ihres Geschlechts.<\/p>\n