Das Thema IT-Security immer weiter in den Fokus

Warum der Überwacher überwacht werden muss

Der Solarwinds Hack, die Folgen und was wir daraus lernen können

Was ist passiert?

Ein Hersteller erfolgreicher Überwachungssoftware hat lange Zeit unbemerkt die eigenen Kunden mit einer korrupten Software versorgt, die eine Hintertür infiltriert. Den Urhebern dieser Hintertür hat es erlaubt, der Software zugängliche Daten zu extrahieren. Natürlich kann man jetzt den Finger heben, laut buhen und auf die eigene (natürlich bessere und sicherere) Konkurrenzlösung verweisen. Oder ein snobbiges „War ja klar“ hinterlassen. Man kann sich aber auch ernsthaft und konstruktiv mit dem Ereignis auseinandersetzen und für sich (oder andere) Maßnahmen ableiten, die das Risiko minimieren.

Warum das Risiko nur minimieren?

Vor diesem Ereignis hätten die wenigsten erwartet, dass sich diese Art des Hacks ereignet. Außer eine Handvoll von Experten, die dann eher belächelt wurden. Es gilt also: Es gibt nichts, was nicht passiert oder passieren wird! Zumindest in der IT und ins besonders in der IT-Sicherheit. Der oft zitierte Satz „Die Frage ist nicht, ob man gehackt wird, sondern wann.“ hat sich einmal mehr bewahrheitet. Daher lässt sich das Risiko nur minimieren und nicht eliminieren.

Wie und wo passierte der Hack?

Über einen „Supply Chain Hack“ ist ein infiltrierender Softwarebaustein in das Produkt „ORION“ von Solarwinds unerkannt integriert worden. 

Was ist ein Supply Chain Hack?

Software besteht heutzutage aus verschiedenen Komponenten, die gerne wiederverwendet werden. Entwickler möchten für wiederkehrende funktionale Anforderungen nicht jedes Mal neuen Code entwickeln. Also greift man auf Bibliotheken zurück, die diese Aufgaben bereits erfüllen und integriert diese. Die einmalige Integration führt zu einer vielfältigen Verbreitung, wenn Anwender diese Software installieren. Anders als Hardware benötigt Software nur eine Quelle (Source), um vielfältig kopiert und eingesetzt werden zu können. Hardware muss von Grund auf jedes Mal neu produziert werden.

Warum Solarwinds?

Solarwinds hat den Fehler gemacht und den Server, der den Kunden zugänglich gemacht wird, um Software zu beziehen, nur unzureichend geschützt. Ein zu einfaches Kennwort hat den Zugang von außen mit privilegierten Rechten zugelassen, sodass die Hacker sehr einfach die korrupte Software hinterlegen konnten.

Mit welchen Folgen?

Ca. 18.000 Installationen sind von diesem Hack betroffen. Die infizierte Software „Orion“ ist ein (vielleicht beabsichtigter) Glücksgriff: Es handelt sich um eine Überwachungssoftware für Netzwerke. Bei Nutzung aller Funktionen lassen sich damit Netzwerkteilnehmer (Computer, Smartphones, Tablets, Server etc.), Applikationen (Mail, Dateiserver, ERP/CRM Systeme etc.) und der Datenfluss zwischen diesen Endpunkten bis ins Detail überwachen und analysieren. Der Hack sorgt dafür, dass die Hacker diese gesammelten Daten einsehen und nutzen können, weil die Software natürlich entsprechende Privilegien benötigt, um die Mehrwerte der eigenen Funktionen auch nutzen zu können.

Wie wurde dieser Hack entdeckt?

Fireye, einerseits ebenfalls Softwarehersteller für IT-Sicherheitslösungen, andererseits auch Kunde hat durch Zufall die Sicherheitslücke entdeckt. Nachdem offenbar Anmeldeinformationen abhandengekommen sind, wurden diese durch die Hacker genutzt, um sich von außen in das Firmennetzwerk von Fireye anzumelden. Eine andere Überwachungssoftware hat diesen Anmeldeversuch als untypisch erkannt und einen Alarm ausgelöst. Nach intensiver Untersuchung ist man auf die Ursache gestoßen, dass „Orion“ der Firma Solarwinds die Lücke entblößt hat.

Was können wir daraus lernen?

Schloss - Daten - Sicherheit

Viel Gutes und weniger Gutes. 

Beginnen wir mit den schlechten Nachrichten: Nichts ist jemals zu 100% sicher. Dieser Tatsache sollten wir uns immer bewußt sein und nach dieser Maxime handeln. Bevor nun der „mahnende Zeigefinger“ gehoben wird, sollte wir uns der Vor- und Nachteil bewusst sein, damit zu den positiven Aspekten:

  • Wer überwacht den Überwacher? „Orion“ ist sicherlich eine große Hilfe in der Netzwerküberwachung. Allerdings wurde aus meiner Sicht versäumt, ergänzende Maßnahmen zu implementieren, um die Qualität der Überwachung zu kontrollieren. „Orion“ ist eine gesamtheitliche Lösung, d.h. es wird ein breites Spektrum der IT-Infrastruktur abgedeckt. Der Vorteil ist somit die umfassende Datensammlung und Analyse. Allerdings ist der Nachteil die fehlende Tiefe in einzelnen sicherheitskritischen Teilbereichen. Manche Informationen müssen dediziert analysiert und korreliert werden.

  • Mit welchem Recht erlaubt sich…?  „Orion“ benötigt per se schon umfassende Berechtigungen innerhalb der Infrastruktur und ist damit per Definition ein privilegierter Benutzer mit administrator-ähnlichen Rechten über weite Teile der IT-Landschaft. Auch wenn man jetzt denken könnte „Das ist doch nur ein System“, sollte man immer bedenken, dass hinter dem System Menschen sitzen und somit indirekt Zugriff auf hochsensible Daten und Informationen erhalten können.

Was können wir ändern, um das Risiko zu minimieren?

Bei operativen Prozessen in der Unternehmenskultur ist es schon längst Standard: Das 4-Augen-Prinzip. Wenn ein Sachbearbeiter eine hohe Summe zur Zahlung freigeben möchte, wird meistens die Genehmigung weiterer Verantwortlicher eingeholt. Dieses Prinzip muss auch im Bereich der Datensicherheit gelten:

  1. Kontrolle des Datenflusses von/zu der Überwachungssoftware durch eine weitere unabhängige Instanz. Idealerweise integriert sich die Prüfung und Überwachung in eine bestehende SIEM-Lösung, um die gesammelten Daten in der Gesamtheit besser korrelieren zu können.
  2. Die Verwendung der durch „Orion“ gesammelten Daten sollte streng reglementiert und kontrolliert werden. Idealerweise wird zum Zeitpunkt des Datenzugriffs der Zugriff auf Rechtmäßigkeit überprüft und ggf. abgelehnt. Auch hier sollte der Einsatz einer SIEM-Lösung ernsthaft in Beracht gezogen werden.
  3. Der Zugriff (in diesem Fall durch „Orion“) auf die Infrastruktur sollte im Sinne einer privilegierten Maßnahme entsprechend administriert werden: Dies betrifft einerseits das konsequentes Hinterfragen der Einzelberechtigungen nach dem Minimal-Prinzip, andererseits die fortlaufende Änderung von Kennwörtern für privilegierte Dienstkonten über eine Privileged Access Management Lösung (PAM)
  4. Die Datensammlung sollte optimal definiert und gefiltert werden. Wenn möglich sollten Daten die Rückschlüsse auf sensible Daten wie bspw. Benutzernamen und/oder Kennwörter zulassen, vermieden werden.
Das Thema IT-Security immer weiter in den Fokus

Sollte es zu einem Datenverlust kommen, besteht nur die Möglichkeit die Verwendung der Daten einzuschränken. Gerade Benutzername und Kennwort sind hochsensible und sehr kritische Informationen. Da der Hacker sich selten innerhalb des Unternehmensnetzwerks befindet, ist meine Empfehlung die Strategie für Access Security anzupassen. Ein sehr probates Mittel ist die Mehrfaktorauthentifizierung, damit wird die alleinige Kenntnis des Benutzernamens und Kennwortes wertlos, da ein weiterer Faktor erforderlich ist, der dem Hacker unbekannt ist, bspw. ein SMS-Token oder Einmalpasscode.

Fazit

Es gibt kein allumfassendes Patentrezept. Vielmehr gilt es sich eine Strategie entsprechend der unternehmensspezifischen Eventualitäten zu erarbeiten und umzusetzen. Die Leitlinien sollten immer sein:

  • Nichts ist perfekt, Fehler können immer passieren. 100% Sicherheit erreicht man nicht, aber man kann sich annähern.
  • Vertrauen ist gut, Kontrolle ist besser. Eingesetzte Lösungen für neuralgische Themen sollten immer mehrfach abgesichert sein.
  • IT-Security ist nicht der Einsatz einer einzigen Lösung, sondern ein bedarfsgerechter Architekturansatz, der die Gesamtheit der IT-Infrastruktur, der beteiligten Personen und Systeme, sowie der individuellen neuralgischen Punkte inkludiert.

Sollte Ihr Interesse geweckt worden sein: Sprechen Sie uns an. 

 
Unternehmen

Warum mit synaigy?

Wir leben im Zeitalter des Kunden. Die Veränderungen durch Digitalisierung und Vernetzung haben vor allem eines bewirkt: Der Kunde ist noch mehr in den Fokus gerückt. Er hat bislang nie dagewesene Bedeutung erlangt und ist als Marktteilnehmer mächtiger denn je geworden.

Referenz

Warum Performance ausschlaggebend ist

Um die Leistungsfähigkeit einer Atlassian Toolchain messbar machen zu können, müssen individuelle Untersuchungen durchgeführt werden. catworkx setzt beim Controlling von Performance-Werten auf die Paarung von Open-Source-Software und eigenen, internen Werkzeugen, z.B. catworkx SPIN (Stress-App).
Blog 07.11.24

Warum der Cultural Change so schwer für uns ist

In unserem Gespräch ging es um Wandel und Transformation in Unternehmen. Ein kleiner Spoiler: Veränderungen sind oft unbequem, aber genau da beginnt der spannende Change-Prozess!

Blogbeitrag zur Authentifizierung als Schutz von Unternehmen
Blog 17.08.20

Warum Authentifizierung unser ständiger Begleiter ist

Eine der wichtigsten Grundlage zum Schutz Ihres Unternehmens ist die Authentifizierung. Daher wollen wir Ihnen in diesem Blogbeitrag die Bedeutung des Authentifizierungsverfahren vorstellen.
Blog 20.04.23

Warum dein Onlineshop ohne Personalisierung scheitern wird

Im Rahmen unseres zweiten gemeinsamen ,,insights!‘‘-Podcasts stürze ich mich gemeinsam mit UX-Expertin Katja Moritz auf das Thema Informationsverarbeitung im menschlichen Gehirn. Aus diesem Wissen lässt sich für Onlineshop-Betreiber ableiten, welche Fehler beim Aufbau einer Seite vermieden werden können, damit der Kunde sich nicht vorzeitig ausklingt. Eine breite Produktpalette mag durchaus seine Vorzüge haben, überfordert sie den Surfer jedoch, winkt der erfahrungsgemäß schnell ab und verabschiedet sich. Damit der Kunde bis zum Check-out an der Stange bleibe, müssten sich Shop-Betreiber etwas einfallen lassen, sagt die für das Kölner Unternehmen brytes tätige User Experience Managerin.
Blog 04.07.24

Warum Shift Left jetzt unverzichtbar ist

Erfahren Sie, warum Shift Left und Feedbackschleifen unverzichtbar für eine erfolgreiche Softwareentwicklung sind. Verbessern Sie Qualität, Sicherheit und Effizienz in Ihrem Unternehmen.
Blog

Warum hat Atlassian die Nase vorn?

Was ist dran - an Atlassian. Warum ist Atlassian cool? Das hast Du Dich als angehender oder berufserfahrender IT'ler schon gefragt? Warum wir an Atlassian nicht vorbeikommen, warum wir uns damals für diese und keine anderen Produkte entschieden haben, das möchten wir Euch heute erzählen.

Blog 04.10.23

Warum sollte eine Multi Cloud mit der OVHcloud ergänzt werde

Dieser Blogbeitrag beschreibt das Konzept der Multi Cloud im Cloud Computing, bei dem Dienste und Ressourcen von verschiedenen Cloud-Anbietern kombiniert werden. Wir erläutern dir die Vorteile einer Multi-Cloud-Strategie und stellen verschiedene Cloud-Anbieter wie Amazon Web Services, Microsoft Azure, Google Cloud Platform und OVHcloud vor. Im Anschluss zeigen wir dir ein mögliches Szenario für die Integration von OVH-Leistungen in eine bestehende Multi-Cloud-Umgebung, um deine Datensouveränität zu gewährleisten.
Blog 19.09.23

Diversifizierung des Vertriebs - warum D2C nur ein Baustein

In der heutigen Zeit ist der Erfolg eines Unternehmens nicht nur vom Angebot und seiner Vielfalt abhängig, sondern auch von seiner Verfügbarkeit auf den verschiedenen Plattformen für die Kundinnen und Kunden. In dieser Folge erfährst du, wie die Nutzung eines Multichannel-Systems dir dabei helfen kann, neue Potenziale zu erschließen und deine Reichweite zu erweitern und warum die Diversifizierung deiner Vertriebswege essenziell für deinen Erfolg ist.
Blog 17.01.25

Warum Barrierefreiheit auch ohne IT-Abteilung relevant ist

Barrierefreiheit ist nicht nur eine gesetzliche Pflicht, sondern eine Chance, neue Zielgruppen zu erschließen und die Nutzererfahrung zu verbessern – unabhängig von IT-Kompetenz.
CLOUDPILOTS, Google Workspace, G Suite, Google Cloud, GCP, MeisterTask, MindMeister, Freshworks, Freshdesk, Freshsales, Freshservice, Looker, VMware Engine
Blog 19.12.19

Warum der Weihnachtsmann die G Suite nutzt

Event Archive 31.05.22

„Warum Order Management Systeme Nachhaltigkeit fördern"

Auf dem IBM Event erfahren Sie, wie Sie mit einem OMS Ressourcen besser nutzen, Transportwege reduzieren und Retouren minimieren.
Blog 10.10.24

DevOps? Warum APIOps der nächste logische Schritt ist

APIOps erweitert DevOps-Praktiken auf APIs, um deren Entwicklung zu automatisieren und zu optimieren. Dieser Ansatz verbessert Qualität, Sicherheit und Geschwindigkeit im API-Management.
News 22.04.25

Warum ein Atlassian Solution Partner mit ISO 27001

Als Atlassian Solution Partner mit ISO 27001:2022 sichern wir Ihre Daten mit einem strukturierten ISMS. Erfahren Sie, wie wir Risiken minimieren und Ihre Informationssicherheit gewährleisten.
Event 06.05.20

Webcast: Versicherung und Data Science

Marc Bastian zeigt Ihnen ein Beispiel einer analytischen Infrastruktur für KI Anwendungsfälle, praktische Projekterfahrung und Erfolgsfaktoren.
Event

Webcast: Cloud Transformation & "run your App"

Lernen Sie mit Jochen Schneider die Cloud 1.0 (Cloud 1.0 (Lift&Shift), Cloud 2.0 (Microservices, Big Data) und Cloud 3.0 (Multi Cloud Management, Big Compute) kennen.

Event

Webcast: Das kognitive Versicherungsunternehmen

Lernen Sie von Dr. Jürgen Huschens das Konzept des Kognitive Enterprise kennen, die Adaption auf die Versicherungsindustrie und vieles mehr.
Event

Webcast: Smarte Erkennung von Kostennoten

Unsere Speaker Madeline Jolk und Frank Trila von der TIMETOACT berichten Ihnen alles rund um das Thema Erkennung von Kostennoten.
Event

Webcast: Regresspotenziale nutzbar mit KI

André Ullrich von der Roland Rechtsschutz AG erzählt Ihnen in einem Praxisbericht, wie Regresspotenziale mit KI nutzbar gemacht werden können.
Event

Webcast: VA-IT Anforderungen umsetzen

Unsere Experten Kerstin Gießer und Carsten Hufnagel von der TIMETOACT berichten Ihnen, wie VA-IT-Anforderungen schnell und Modular umgesetzt werden können.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!