Warum der Überwacher überwacht werden muss

Vor diesem Ereignis hätten die wenigsten erwartet, dass sich diese Art des Hacks ereignet. Außer eine Handvoll von Experten, die dann eher belächelt wurden. Es gilt also: Es gibt nichts, was nicht passiert oder passieren wird! Zumindest in der IT und ins besonders in der IT-Sicherheit. Der oft zitierte Satz „Die Frage ist nicht, ob man gehackt wird, sondern wann.“ hat sich einmal mehr bewahrheitet. Daher lässt sich das Risiko nur minimieren und nicht eliminieren.

Software besteht heutzutage aus verschiedenen Komponenten, die gerne wiederverwendet werden. Entwickler möchten für wiederkehrende funktionale Anforderungen nicht jedes Mal neuen Code entwickeln. Also greift man auf Bibliotheken zurück, die diese Aufgaben bereits erfüllen und integriert diese. Die einmalige Integration führt zu einer vielfältigen Verbreitung, wenn Anwender diese Software installieren. Anders als Hardware benötigt Software nur eine Quelle (Source), um vielfältig kopiert und eingesetzt werden zu können. Hardware muss von Grund auf jedes Mal neu produziert werden.

Solarwinds hat den Fehler gemacht und den Server, der den Kunden zugänglich gemacht wird, um Software zu beziehen, nur unzureichend geschützt. Ein zu einfaches Kennwort hat den Zugang von außen mit privilegierten Rechten zugelassen, sodass die Hacker sehr einfach die korrupte Software hinterlegen konnten.

Ca. 18.000 Installationen sind von diesem Hack betroffen. Die infizierte Software „Orion“ ist ein (vielleicht beabsichtigter) Glücksgriff: Es handelt sich um eine Überwachungssoftware für Netzwerke. Bei Nutzung aller Funktionen lassen sich damit Netzwerkteilnehmer (Computer, Smartphones, Tablets, Server etc.), Applikationen (Mail, Dateiserver, ERP/CRM Systeme etc.) und der Datenfluss zwischen diesen Endpunkten bis ins Detail überwachen und analysieren. Der Hack sorgt dafür, dass die Hacker diese gesammelten Daten einsehen und nutzen können, weil die Software natürlich entsprechende Privilegien benötigt, um die Mehrwerte der eigenen Funktionen auch nutzen zu können.

Fireye, einerseits ebenfalls Softwarehersteller für IT-Sicherheitslösungen, andererseits auch Kunde hat durch Zufall die Sicherheitslücke entdeckt. Nachdem offenbar Anmeldeinformationen abhandengekommen sind, wurden diese durch die Hacker genutzt, um sich von außen in das Firmennetzwerk von Fireye anzumelden. Eine andere Überwachungssoftware hat diesen Anmeldeversuch als untypisch erkannt und einen Alarm ausgelöst. Nach intensiver Untersuchung ist man auf die Ursache gestoßen, dass „Orion“ der Firma Solarwinds die Lücke entblößt hat.

Viel Gutes und weniger Gutes. 

Beginnen wir mit den schlechten Nachrichten: Nichts ist jemals zu 100% sicher. Dieser Tatsache sollten wir uns immer bewußt sein und nach dieser Maxime handeln. Bevor nun der „mahnende Zeigefinger“ gehoben wird, sollte wir uns der Vor- und Nachteil bewusst sein, damit zu den positiven Aspekten:

Sollte es zu einem Datenverlust kommen, besteht nur die Möglichkeit die Verwendung der Daten einzuschränken. Gerade Benutzername und Kennwort sind hochsensible und sehr kritische Informationen. Da der Hacker sich selten innerhalb des Unternehmensnetzwerks befindet, ist meine Empfehlung die Strategie für Access Security anzupassen. Ein sehr probates Mittel ist die Mehrfaktorauthentifizierung, damit wird die alleinige Kenntnis des Benutzernamens und Kennwortes wertlos, da ein weiterer Faktor erforderlich ist, der dem Hacker unbekannt ist, bspw. ein SMS-Token oder Einmalpasscode.