Im Dezember des vergangenen Jahres ist bekannt geworden, dass das US-amerikanische Tech-Unternehmen SolarWinds Ziel eines Cyberangriff geworden ist. Der Angriff hatte weitreichende Folgen für internationale Nutzer der Firmen-Software. Prof. Dr. Thorsten Holz hat mit dem Science Media Center über den Vorfall gesprochen. Das folgende Interview ist - gemeinsam mit jenen anderen Expert*innen - zunächst auf der Webseite des Science Media Centers erschienen. Das SMC ist eine unabhängige und gemeinwohlorientierte Wissenschaftsredaktion, die Journalistinnen und Journalisten bei der Berichterstattung über Themen mit Wissenschaftsbezug unterstützt.
Statements von Prof. Dr. Thorsten Holz
Was macht den Solarwinds-Hack so ungewöhnlich und gefährlich? Wie ist die Gefahr solcher Hacks allgemein zu beurteilen und welche Angriffe sind zu befürchten?
„Vor kurzem wurde ein bedeutender Angriff auf IT-Systeme entdeckt, bei dem sich böswillige Akteure Zugang zum Quellcode der IT-Monitoring-Software Orion der Firma SolarWinds verschafft und heimtückische Änderungen in diesen Quellcode einfügt haben. Besonders problematisch ist dabei, dass die eingefügte Schadsoftware im Zuge von regulären Software-Updates an SolarWinds-Kunden automatisch verteilt wurde. Kommt diese zum Einsatz, können Kunden mit den durch die Software vorgenommenen Änderungen an ihrem System überwacht werden. Die Angreifer konnten außerdem potenziell beliebige Kontrolle über die von der Software verwalteten Systeme erlangen. Ein solches Maß an Kontrolle gibt den Angreifern auch Möglichkeiten für weitergehende Angriffe durch Missbrauch der erbeuteten Informationen.“
Mittlerweile ist bekannt, dass tausende Kunden das manipulierte Update unwissentlich installiert haben. Darunter befinden sich zahlreiche US-Bundesbehörden und Unternehmen auf der ganzen Welt sowie 15 deutsche Ministerien oder Bundesämter, die zumindest teilweise oder ‚vereinzelt‘ Produkte der US-Firma nutzen oder nutzten. Andere Firmen berichteten außerdem von weitergehenden Angriffen, die auf gestohlenen Informationen beruhen.
Es ist wichtig zu erwähnen, dass es sich bei diesem Angriff um einen gut geplanten und ausgeführten Angriff handelt. So wurden die subtilen Änderungen auf Quellcode-Ebene über Monate hinweg durchgeführt, möglicherweise waren Innentäter dabei beteiligt. Der manipulierte Code wurde zwar von SolarWinds getestet, die Manipulationen fielen aber nicht auf. So wurde die Software inklusive des Schadens schließlich digital signiert, über die SolarWinds-Plattform freigegeben und verteilt. Nach der Infektion war der Code zunächst einige Zeit lang untätig, bevor vertrauliche Informationen wie beispielsweise Anmeldedaten über ein unverdächtiges Protokoll verschleiert exfiltriert wurden.
Ein wichtiger Punkt ist dabei: SolarWinds hat IT-Sicherheit nur unzureichend beachtet. So wurden Warnungen vor potenziellen Problemen ignoriert und nur schwache Passwörter auf sicherheitskritischen Systemen genutzt. Dies verdeutlicht den hohen Stellenwert von IT-Sicherheit in unserer komplexen Welt: Angreifer suchen nach dem schwächsten Glied in der Kette und greifen es an. Insbesondere solche Angriffe auf die Software-Lieferkette (‚Software Supply Chain Attack‘) führen zu weitreichenden Folgen, wie man anhand der hohen Zahl an potenziellen Opfern erkennen kann.“
Was kann man gegen solche Hacks und zur Verbesserung der IT-Sicherheit auf verschiedenen Ebenen tun? Wie kann man Software in kritischen Bereichen besser überprüfen?
„Aufgrund der enormen Komplexität moderner IT-Systeme und der vergleichsweise geringen Kosten für die Durchführung solcher Angriffe ist zu erwarten, dass der Bedrohungsvektor von Angriffen auf die Software-Lieferkette in den nächsten Jahren an Bedeutung gewinnen wird. Traditionelle Sicherheitsmechanismen, wie digitale Signaturen von Code, Mechanismen zur sicheren Bereitstellung von Updates oder Mechanismen zur Transportsicherheit wie TLS/SSL (Verschlüsselungsprotokolle; Anm. d. Red.) wurden entwickelt, um Schadsoftware von ‚außen‘ abzuwehren. Leider haben solche Methoden nur wenig Einfluss auf diese Art von Angriffen, wie der SolarWinds-Hack eindrucksvoll gezeigt hat. Tiefergehende Analysetechniken, neuartige Technologien und verfeinerte Richtlinien zur Erkennung von potenziell bösartigen Änderungen im Code sowie gründlicheres Testen sind notwendig, um solche Angriffe zukünftig verhindern beziehungsweise wenigstens frühzeitig entdecken zu können.
Dabei spielt ein anderer Punkt eine wichtige Rolle: Seit langer Zeit folgen wir im Bereich der IT-Sicherheit einem Ansatz der Sicherheit durch Hinzufügen von Komponenten. Wir installieren Antiviren-Programme und andere Sicherheitstools auf Endgeräten, nutzen Intrusion Detection Systeme, IT-Monitoring-Software im Netzwerk und weitere Tools, um unser Gesamtsystem ‚sicherer‘ zu machen. Jedes dieser Tools kann zwar einzelne Bedrohungsvektoren abdecken, allerdings führen Schwachstellen in diesen Tools zu neuen möglichen Angriffsvektoren. In der Vergangenheit konnten solche Schwachstellen häufig entdeckt werden.
Eine Rückbesinnung auf die Reduzierung der Größe und Komplexität unserer Systeme – insbesondere in kritischen Bereichen – ist sinnvoll und sollte mehr im Vordergrund stehen.“
Wie ist der momentane Status in Deutschland? Wie gut ist die IT-Sicherheit in wichtigen Bereichen und bei kritischen Infrastrukturen (Krankenhäuser, Energienetz, Behörden) und welche Bereiche sind besonders gefährdet?
„IT-Sicherheit hat in den letzten Jahren deutlich an Bedeutung gewonnen. Die Awareness ist gestiegen und IT-Sicherheit spielt eine deutlich größere Rolle als noch vor einigen Jahren. Allerdings hat auch die Komplexität von Angriffen deutlich zugenommen und die Art der Bedrohung hat sich während der letzten Jahre drastisch verändert. Viele der heutigen IT-Angriffe werden von mächtigen Angreifern, insbesondere von staatlichen Organisationen, ausgeführt. Staatliche Widersacher sind besonders besorgniserregend, da sie langfristig agieren und über erhebliche technische Fähigkeiten und Ressourcen verfügen. Nahezu wöchentlich werden Vorfälle bekannt, aus denen ersichtlich wird, dass heutige Sicherheitslösungen gegen solche Angreifer in hohem Maße unzureichend sind. Dabei sind insbesondere Angriffe auf kritische Infrastrukturen von Bedeutung – solche Systeme sind in der Praxis leider oft unzureichend gesichert. Erfolgreiche Angriffe auf Krankenhäuser durch Ransomware und ausgefeilte Angriffe auf diverse Behörden verdeutlichen diesen Zustand. In der Zukunft sind also weitere Attacken auf solche Systeme zu befürchten und wir müssen solche Systeme effektiver absichern, um mögliche Schäden zu minimieren.“
Was sollten Journalistinnen und Journalisten bei der Berichterstattung über dieses Thema beachten? Wie sicher kann man sich zum Beispiel bei der Attribution der Angriffe sein? Zu welchem Zeitpunkt können Einschätzungen von unabhängigen Expertinnen und Experten einen Mehrwert liefern?
„Die präzise Attribution von Angriffen auf IT-Systeme ist ein schwieriges Problem, vor allem, weil Angreifer ihre Spuren relativ einfach verschleiern oder sogar verfälschen können. Im Falle von SolarWinds deuten viele Hinweise auf einen Ursprung in Russland hin, verschiedene Stellen kamen unabhängig voneinander zu dieser Einschätzung. Leider sind bei solchen Angriffen häufig nur wenige Informationen öffentlich verfügbar, eine Untersuchung durch externe Expertinnen und Experten wird deshalb erschwert. Eine unabhängige Meinung kann dennoch oft einen Mehrwert liefern, insbesondere, um eine zusätzliche Einschätzung zum Ausmaß und den potenziellen Implikationen eines Angriffs zu erhalten. Journalistinnen und Journalisten sollten deshalb versuchen, unabhängige Einschätzung zu erhalten und diese bei der Berichterstattung berücksichtigen. Oft werden Einzelheiten eines Angriffs und der entstandene Schaden erst nach einigen Tagen oder Wochen bekannt, eventuell ist dann auch eine Überarbeitung der Einschätzung nötig.“
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.