{"id":1044,"date":"2021-04-27T13:21:19","date_gmt":"2021-04-27T13:21:19","guid":{"rendered":"https:\/\/network-king.net\/was-der-fall-solarwinds-uns-gelehrt-hat\/"},"modified":"2022-03-22T15:12:06","modified_gmt":"2022-03-22T15:12:06","slug":"was-der-fall-solarwinds-uns-gelehrt-hat","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/was-der-fall-solarwinds-uns-gelehrt-hat\/","title":{"rendered":"Was der Fall SolarWinds uns gelehrt hat"},"content":{"rendered":"\n

Ein Cyberangriff, den manche Experten als den komplexesten und am l\u00e4ngsten andauernden Angriff aller Zeiten bezeichnet haben, machte in den letzten Tagen des Jahres 2020 Schlagzeilen. Das prim\u00e4re Ziel des Angriffs war die SolarWinds Orion platform<\/a>.<\/p>\n\n\n\n

Obwohl der Angriff schon seit mindestens M\u00e4rz 2020 stattfand, tauchte erst im Dezember die erste \u00f6ffentliche Meldung vom Unternehmen FireEye<\/a> auf, das Malware in SolarWinds Orion identifiziert hatte. Das Unternehmen f\u00fcr Cybersicherheit war selbst Opfer des Angriffs geworden. Seitdem gab es eine Reihe von F\u00e4llen kompromittierter Systeme in Unternehmen, aber vor allem in wichtigen Bundesbeh\u00f6rden der USA. Es war nur die Spitze des Eisbergs, die offen legte, was zur schlimmsten Cyberattacke des Landes h\u00e4tte werden k\u00f6nnen.<\/p>\n\n\n\n

\u201eDer Cyberangriff war technisch und strategisch sehr gut abgestimmt und zielte vor allem auf die US-Regierung ab\u201c, sagte Thiago Bordini, Cyber Intelligence Director bei der New Space Group, die vom brasilianischen Verteidigungsministerium f\u00fcr die Erbringung von Dienstleistungen zugelassen ist, die die nationale Souver\u00e4nit\u00e4t hinsichtlich Betrugspr\u00e4vention und Cyber-Risikoanalyse gew\u00e4hrleisten.<\/p>\n\n\n\n

Bordini zufolge gelang es den Angreifern, den Erstellungsprozess der Orion-Updates zu infiltrieren, ohne eine Spur zu hinterlassen. Dabei handelt es sich um ein hochentwickeltes technisches Verfahren. CrowdStrike<\/a> und KPMG unterst\u00fctzten SolarWinds bei der Untersuchung und Analyse der Ereignisse, die zur Einbindung schadhafter Codes in den Entwicklungsprozess des Unternehmens f\u00fchrten. Aus strategischer Sicht geschah dies mittels der Orion-Plattform, die den gesamten IT-Stack von einem einzigen Punkt aus \u00fcberwacht, analysiert und verwaltet und dazu einen privilegierten Zugang erfordert. Zudem wird die Plattform von vielen US-Regierungsstellen verwendet.<\/p>\n\n\n\n

Nicht umsonst erkl\u00e4rte die Kongressabgeordnete Yvette Clarke, seit Anfang 2021 neue Vorsitzende des Cybersecurity-Ausschusses des US-Repr\u00e4sentantenhauses, in einem ihrer ersten Interviews<\/a>, dass sie sich drei schweren Herausforderungen in der Cybersicherheit stellen m\u00f6chte, wobei die ersten beiden eine effektive Antwort auf die Cyberangriffe in Zusammenhang mit SolarWinds Orion sein w\u00fcrden; die andere beziehe sich auf die Sicherheit von Wahlen.<\/p>\n\n\n\n

W\u00e4hrend viele dokumentierte Angriffe auf Kunden- und B\u00fcrgerdaten abzielen, beispielsweise auf Kreditkarten- und Sozialversicherungsnummern, scheint im Fall SolarWinds Spionage das Hauptziel gewesen zu sein. Staatsgeheimnisse k\u00f6nnten ein Ziel der Angreifer sein. Andererseits hat bisher kein Unternehmen zugegeben, schwer betroffen zu sein. Um ein Beispiel aus der Technologiebranche zu nennen: Microsoft best\u00e4tigte Ende 2020, dass Angreifer zwar Zugriff auf Teile des Quellcode-Repositorys hatten, aber keine \u00c4nderungen vorgenommen wurden.<\/p>\n\n\n\n

Unter Experten aus Unternehmen und der US-Regierung besteht der starke Verdacht, dass der Angriff auf die US-Cyber-Infrastruktur von einem ausl\u00e4ndischen Nationalstaat durchgef\u00fchrt wurde. Der Hauptverdacht ist, dass es sich bei diesem Staat um Russland handelt. Eine von Microsoft erstellte Karte verdeutlicht die nahezu globalen Ausma\u00dfe der angegriffenen Ziele, bei denen es sich um zahlreiche Landeshauptst\u00e4dte au\u00dferhalb Russlands handelt, sowie die hohe Inzidenz in den Vereinigten Staaten von Amerika.<\/p>\n\n\n\n

\"\"
Die Karte basiert auf der Telemetrie von Microsoft Defender Antivirus und bildet Kunden ab, die sowohl Defender als auch von der Malware betroffene Versionen der Orion-Plattform verwenden.<\/figcaption><\/figure><\/div>\n\n\n\n

Einem Reuters-Bericht<\/a> vom Februar 2021 zufolge haben chinesische Hacker im Jahr 2020 ebenfalls Computer der US-Regierung angegriffen. Die ausgenutzte Sicherheitsl\u00fccke, auch in der SolarWinds Software, wurde Supernova<\/a> genannt und weist offenbar keine Verbindung zu derjenigen auf, die den Hackern erlaubte, in den Build-Prozess des Unternehmens einzudringen. Chinesische Hacker nutzten diese Schwachstelle erst, nachdem sie auf anderem Wege in das Netzwerk eingedrungen waren. Dann nutzten sie die Schwachstelle, um tiefer einzudringen. SolarWinds beseitigte diese Sicherheitsl\u00fccke im Dezember.<\/p>\n\n\n\n

Die Aufgabe, IT-Umgebungen von Unternehmen, die die Orion-Plattform nutzen oder nicht nutzen, zu durchforsten und Beweise f\u00fcr das Eindringen, f\u00fcr Datenmanipulation und f\u00fcr offene Sicherheitsl\u00fccken im Hinblick auf zuk\u00fcnftige Angriffe zu finden, steht erst am Anfang. Sie kostet viel Zeit und viele Ressourcen. Bei der Betrachtung des Ausma\u00dfes des Falles SolarWinds und der Analyse-Initiative, wurden drei weitere Schwachstellen in weniger als zwei Monaten identifiziert. Trustwave<\/a>, das mit Geheimdiensten zusammenarbeitet, um Cyber-Angriffe zu bek\u00e4mpfen, entdeckte weitere Sicherheitsl\u00fccken in der Orion-Plattform und den SolarWinds FTP Serv-U-Systemen f\u00fcr Windows-Umgebungen. Diese drei Sicherheitsl\u00fccken wurden bereits behoben.<\/p>\n\n\n\n

Wie der Angriff geplant und durchgef\u00fchrt wurde<\/h2>\n\n\n\n

Angriffe auf die Supply Chain zerst\u00f6ren einen bestimmten Prozess und verbreiten Probleme \u00fcber eine ganze Industrie hinweg, beispielsweise den Finanzsektor, den Handel oder die Regierung. Im Fall von SolarWinds<\/a> richtete sich der Angriff auf die Supply Chain der Software und deren Update-Build-Prozess.<\/p>\n\n\n\n

Die Hacker bauten die Malware (SUNSPOT) in die SolarWinds Entwicklungsumgebung ein, um durch eine Hintert\u00fcr (SUNBURST) in die Builds der Orion-Plattform zu gelangen, ohne einen Verdacht zu wecken. SUNSPOT \u00fcberwachte die Prozesse im Zusammenhang mit Orion-Builds und ersetzte Quelldateien, um den SUNBURST Code einzuf\u00fcgen. Mehrere Schutzmechanismen in SUNSPOT verhinderten Fehler im Build-Prozess, die Entwickler auf die Hacker h\u00e4tten aufmerksam machen k\u00f6nnen.<\/p>\n\n\n\n

So konnten die Hacker verf\u00e4lschte Orion-Updates entwickeln. Sch\u00e4tzungsweise 18.000 Orion-Benutzer luden diese Dateien unter Annahme deren Echtheit herunter. Nach der Installation \u00f6ffneten die Dateien die T\u00fcr f\u00fcr weitere Angriffe und kriminelle Aktivit\u00e4ten wie Spionage und den Diebstahl von Staatsgeheimnissen. Nach Angaben der US-Beh\u00f6rde f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA)<\/a> befanden sich bis Anfang Januar 2021 weniger als zehn Bundesbeh\u00f6rden in dieser Situation.<\/p>\n\n\n\n

In einer CISA Notfalldirektive<\/a> wurde gewarnt, dass Bundesbeh\u00f6rden s\u00e4mtliche SolarWinds Orion-Systeme und -Server als gef\u00e4hrdet einstufen und sie daher sofort vom Netz trennen oder herunterfahren sollten, um die Bundesnetzwerke keinen inakzeptablen Risiken auszusetzen.<\/p>\n\n\n\n

Bordini h\u00e4lt es f\u00fcr unwahrscheinlich, dass Hacker diese offenen T\u00fcren in Unternehmen ausnutzen w\u00fcrden. \u201eWir sind uns nahezu sicher, dass ihr Ziel ein anderes ist, aber es wird f\u00fcr immer ihr gro\u00dfes Geheimnis bleiben\u201c, so Bordini.<\/p>\n\n\n\n

Der Tag danach<\/h2>\n\n\n\n

Nachdem SolarWinds von FireEye \u00fcber den Angriff alarmiert wurde, unternahm das Unternehmen Untersuchungen und ver\u00f6ffentlichte innerhalb weniger Tage Hotfixes, um die Schwachstellen der Orion-Plattform zu beheben. Im Januar 2021 k\u00fcndigte das Unternehmen zudem einen Plan<\/a> an, sowohl das Unternehmen als auch die Kundengemeinschaft besser abzusichern.<\/p>\n\n\n\n

Die Installation von Hotfixes ist jedoch nicht gleichbedeutend mit vollst\u00e4ndiger Sicherheit f\u00fcr die Benutzer von Orion. Es handelt sich dabei um einen notwendigen, aber nicht ausreichenden Schritt. Es ist nicht im Detail bekannt, wie die Hacker w\u00e4hrend des aktiven Angriffes vorgegangen sind, doch sie agierten im Dunkeln. Ebenfalls ist nicht bekannt, ob und wie die Angreifer weiterhin durch m\u00f6gliche Hintert\u00fcren agieren, wodurch der Umfang ihrer Aktivit\u00e4ten sich erweitert haben und auch diejenigen erreicht haben k\u00f6nnte, die keine Orion-Benutzer sind.<\/p>\n\n\n\n

Experten f\u00fcr Cybersicherheit bekr\u00e4ftigen, dass die Spione vermutlich weiterhin in den verletzten Netzwerken aktiv<\/a> sind. Es ist wahrscheinlich, dass die Hacker die Microsoft Active Directory Federation Services in den gehackten Umgebungen durch digitale Identit\u00e4tsdokumente, sogenannte \u201eSAML-Token\u201c, manipuliert haben. Diese authentifizierten Token erm\u00f6glichen es Benutzern, sich problemlos von einer Umgebung in eine andere zu bewegen, auch von einem Unternehmen zu einem anderen, beispielsweise zu verschiedenen Cloud-Service-Anbietern. Die M\u00f6glichkeit, Token zu manipulieren und sich schnell zu bewegen, ohne allzu leicht entdeckt zu werden, ist ein gefundes Fressen f\u00fcr Hacker. Gl\u00fccklicherweise k\u00f6nnen Unternehmen gegen diese Taktik gesch\u00fctzt werden, zum Beispiel indem der Zugang zu Computern durch Token limitiert und die Sicherheit der Verschl\u00fcsselungscodes, mit denen die Token erstellt werden, sichergestellt wird.<\/p>\n\n\n\n

Nachfolgend finden Sie weitere Empfehlungen nicht nur f\u00fcr Benutzer der SolarWinds Orion-Plattform:<\/p>\n\n\n\n

1) Immer \u00fcberwachen und aufzeichnen<\/strong> Der Angriff auf SolarWinds Orion dauerte Monate und ist m\u00f6glicherweise noch nicht vorbei. Haben alle betroffenen Organisationen Aufzeichnungen \u00fcber ihre IT-Aktivit\u00e4ten in diesem Zeitraum? Viele Empfehlungen beinhalten die Aufgabe, nach Aufzeichnungen zu suchen, um verd\u00e4chtige Aktionen in Zusammenhang mit dem Hackerangriff zu identifizieren.<\/p>\n\n\n\n

2)<\/strong> Berechtigungen im richtigen Ma\u00df erteilen<\/strong> Viele Organisationen erteilen Benutzern und Anwendungen mehr Berechtigungen als notwendig, weil es schlichtweg einfacher ist. Allerdings muss das Angriffsrisiko geschm\u00e4lert werden, indem Berechtigungen f\u00fcr Lieferanten und Partner limitiert werden. Dies ist der notwendige Schutz, um sich vor Supply-Chain-Angriffen zu sch\u00fctzen. Es ist ein guter Ansatz, Accounts mit vielen Berechtigungen zu evaluieren und zu pr\u00fcfen, ob eine Reduzierung der Befugnisse m\u00f6glich ist. Die meisten Software-Tools erfordern keine Administrationsrechte, um zu funktionieren.<\/p>\n\n\n\n

3) Inventarisierung entscheidender Assets <\/strong>Auf Angriffe zu reagieren ist schwieriger, wenn die Dokumentation kritischer Assets und privilegierter Zugriffe mangelhaft ist. Mit dieser Information k\u00f6nnen Organisationen pr\u00fcfen, ob die Assets im Falle eines Angriffs sicher sind, und zus\u00e4tzliche Ma\u00dfnahmen ergreifen, um aus den F\u00e4ngen der Angreifer zu entkommen. Wenn beispielsweise ein Provider einen privilegierten Zugriff auf das Netzwerk ben\u00f6tigt \u2013 was durchaus passieren kann \u2013 sollten diese Zugriffsrechte dokumentiert werden, um zuk\u00fcnftig bei Verdacht auf einen Angriff wie im Falle von SolarWinds auf die Informationen zur\u00fcckgreifen zu k\u00f6nnen.<\/p>\n\n\n\n

4) \u00dcberpr\u00fcfung der Signatur <\/strong>Das von der Malware verf\u00e4lschte Update enth\u00e4lt ein g\u00fcltiges digitales Zertifikat und wurde von SolarWinds selbst verbreitet. Dies ist ein au\u00dfergew\u00f6hnlicher Aspekt in diesem Fall. Andere Angreifer jedoch verwenden gef\u00e4lschte Signaturen und verbreiten die Dateien mit Trojanern \u00fcber ihre eigenen Kan\u00e4le. Insofern ist empfehlenswert, die Signatur vor der Installation von Dateien zu \u00fcberpr\u00fcfen, zumindest um Unternehmen gegen weniger ausgekl\u00fcgelte Angriffe zu sch\u00fctzen.<\/p>\n\n\n\n

5) \u00dcberpr\u00fcfung der Vertr\u00e4ge<\/strong> Vertr\u00e4ge von Softwareanbietern sollten spezifische Bestimmungen dazu beinhalten, wie ein Cybersecurity-Problem offengelegt wird, welche Informationen darin enthalten sind und wie mit den potenziellen Konsequenzen umgegangen wird.<\/p>\n\n\n\n

Es gibt keine Patentl\u00f6sung, um zu erkennen, wer f\u00fcr diesen oder einen zuk\u00fcnftigen Cyberangriff anf\u00e4llig ist. Jeder \u2013 ob Softwarehersteller oder -anwender \u2013 kann betroffen sein. Das geh\u00f6rt zu Zeiten der st\u00e4ndigen Vernetzung mit dazu. Doch genau wie im echten Leben au\u00dferhalb des Netzwerks, kann man nie genug Pr\u00e4vention und Vorsicht walten lassen.<\/p>\n\n\n\n

\n\n\n\n

Was ist ein Supply-Chain-Angriff?<\/strong><\/h2>\n\n\n\n

Im Allgemeinen bezieht sich der Begriff \u201eSupply Chain\u201c auf die Gruppe von Personen und Unternehmen, die an einer prozessualen Aktivit\u00e4t oder Lieferkette beteiligt sind. Im Falle von Cyberangriffen bietet die gro\u00dfe Anzahl an Variablen zahlreiche M\u00f6glichkeiten f\u00fcr Hacker, in Unternehmen, Netzwerke oder Infrastrukturen einzudringen. Durch diese Vielzahl an Elementen entf\u00e4llt au\u00dferdem die alleinige Verantwortung f\u00fcr den Schutz der gesamten Kette \u2013 nicht ein Akteur alleine, sondern alle Akteure m\u00fcssen die Verantwortung tragen, um einen wirksamen Schutz zu erzielen. Doch auch wenn die meisten \u00fcber strenge Sicherheitsmechanismen verf\u00fcgen, k\u00f6nnen durch eine einzelne Schwachstelle alle ins Fadenkreuz eines Angriffes auf die Supply Chain geraten.<\/p>\n\n\n\n

\n\n\n\n

Zeitachse<\/h2>\n\n\n\n
\"\"
SolarWinds<\/figcaption><\/figure><\/div>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Ein Cyberangriff, den manche Experten als den komplexesten und am l\u00e4ngsten andauernden Angriff aller Zeiten bezeichnet haben, machte in den letzten Tagen des Jahres 2020 Schlagzeilen. Das prim\u00e4re Ziel des Angriffs war die SolarWinds Orion platform. Obwohl der Angriff schon seit mindestens M\u00e4rz 2020 stattfand, tauchte erst im Dezember die erste \u00f6ffentliche Meldung vom Unternehmen…<\/p>\n","protected":false},"featured_media":313,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-1044","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/1044","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=1044"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/313"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=1044"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=1044"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=1044"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=1044"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=1044"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=1044"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}