Was der Fall Solarwinds über neue Bedrohungen aus dem Netz verrät

Hoppe, Till Kerkmann, Christof

31. Januar 2021 um 11:00 PM·Lesedauer: 7 Min.

Der Hackerangriff auf US-Regierungsstellen zeigt: Lieferanten sind oft die Schwachstelle in an sich gut gesicherten Netzen. Politik und Experten suchen nun nach Auswegen.

Für die USA war es der größte anzunehmende Cyberunfall: Über ein Update des texanischen Softwarelieferanten Solarwinds konnten hochprofessionelle Hacker in die Computersysteme von rund 18.000 Unternehmen und Behörden eindringen, darunter sensible Regierungsstellen wie die Atomwaffenbehörde oder das Justizministerium. Auch etliche IT-Anbieter, deren Software weit verbreitet ist, wurden von den Angreifern attackiert, etwa Microsoft und Fireeye. Die US-Regierung macht eine Gruppe des russischen Geheimdienstes verantwortlich.

In Deutschland scheinen die Angreifer weniger Schaden angerichtet zu haben. Das Bundesinnenministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) gehen davon aus, dass bei den drei betroffenen Bundesbehörden keine Daten abgeflossen sind. Offenbar habe man Glück gehabt und sei nicht interessant genug gewesen für die Angreifer, sagte Innenstaatssekretär Günter Krings im Innenausschuss des Bundestags. Die betroffene Software kam indes auch bei Telekom und Siemens zum Einsatz.

Entwarnung gibt niemand, im Gegenteil: Der Fall Solarwinds hat den IT-Verantwortlichen in Regierung und Industrie vor Augen geführt, wie verwundbar selbst aufwendig gesicherte Netze sein können, wenn die Angreifer das schwächste Glied in der Kette der Hard- und Softwarelieferanten attackieren. „Angesichts des Potenzials dieses Angriffswegs ist derzeit nicht anzunehmen, dass Solarwinds der letzte Fall von Supply-Chain-Angriffen gewesen sein wird“, warnt BSI-Präsident Arne Schönbohm im Handelsblatt.

Manuel Atug, Cybersicherheitsexperte der Beratungsfirma HiSolutions, geht sogar davon aus, dass es bereits „weitere solcher Angriffe gibt, die bislang nicht bekannt wurden“. So gibt es Anzeichen dafür, dass die – mutmaßlich russischen – Hacker , sich auch auf andere Weise Zugang zu IT-Netzwerken verschafft haben. Die amerikanische Behörde CISA, die Abwehrmaßnahmen in den USA koordiniert, erklärte im „Wall Street Journal“, dass die Operation nicht mehr als reiner Solarwinds-Fall angesehen werden sollte.

Politik und Experten suchen nun nach Wegen, das Risiko zu begrenzen. Beim IT-Sicherheitskongress des BSI am Dienstag und Mittwoch mit Kanzlerin Angela Merkel steht das Thema auf der Agenda. Einfache Antworten aber hat niemand parat.

Das Problem: Die Nutzer, ob Unternehmen, Regierungsstellen oder private Anwender, sind auf diese Art der Unterwanderung kaum vorbereitet. Die Angreifer nutzten „eine sehr menschliche Eigenschaft aus, nämlich Vertrauen“, sagt Schönbohm. Die Kunden gingen davon aus, dass von vertrauenswürdigen Lieferanten bezogene Software und deren Updates sauber seien. Wenn aber die Hersteller selbst vorher erfolgreich angegriffen worden seien, öffnen Nutzer ihnen ungewollt eine Hintertür.

Hinzu kommt: Viele der etablierten Sicherheitsmechanismen greifen bei dieser Form von Angriffen ins Leere. So schützen die Hersteller ihre Software üblicherweise über eine digitale Signatur. Um sie zu manipulieren, brauchen Angreifer Zugriff auf den kryptografischen Schlüssel.

Die Solarwinds-Hacker aber umgingen diese Hürde, indem sie in den Programmierprozess eingriffen und darüber den schädlichen Code in die Software einpflanzten. Laut Experten stellen solche Signaturen für ausgebuffte Cyberkriminelle keine allzu hohe Hürde mehr dar. Was also tun?

Höhere Sicherheitsstandards in kritischen Bereichen

So professionell die Staatshacker im Fall von Solarwinds gewesen sein mögen, es gibt Anzeichen dafür, dass das Unternehmen beim Schutz gegen Cyberangriffe eklatante Schwachstellen hatte. Der SPD-Digitalpolitiker Jens Zimmermann fordert daher, die Anforderungen an die Anbieter zumindest in kritischen Anwendungsgebieten zu erhöhen: „Wenn Logistikfirmen einen Flughafen beliefern, müssen sie die gleichen hohen Sicherheitsstandards erfüllen wie der Flughafen selbst“, sagt er. Für Softwarehersteller solle dieses Prinzip auch gelten.

Zimmermann sieht sich bestätigt im Drängen der Sozialdemokraten, strenge Prüfverfahren für Lieferanten kritischer Komponenten für den Aufbau der neuen Mobilfunknetze vorzuschreiben: „Wir sind jetzt in genau jenem Szenario, vor dem wir im Kontext 5G und Huawei gewarnt haben.“

Die Bundesregierung hatte lange um den Umgang mit den chinesischen Netzausrüstern gerungen. Im Entwurf des neuen IT-Sicherheitsgesetzes hat sie nun eine Klausel vorgesehen, die die Anbieter stärker in die Pflicht nimmt: Wer die Netzbetreiber mit kritischen Komponenten beliefert, muss diese vom BSI prüfen lassen und per Garantieerklärung die Vertrauenswürdigkeit der eigenen Produkte sowie der Lieferanten versichern. Dieser Mechanismus gilt zunächst nur für den Telekomsektor, könnte später aber auf andere wichtige Infrastrukturen wie die Strom- und Wasserversorgung ausgedehnt werden.

Doch auch dieser Ansatz hat seine Grenzen: „Auch Experten können nur etwas finden, wenn sie wissen, wonach sie suchen müssen“, sagt der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP). Haben die Sicherheitsbehörden also noch keine Hinweise auf neue Schadprogramme, dürften sie kaum fündig werden.

Sicherheitsexperte Atug warnt zudem, dass die neue Klausel in Fällen wie Solarwinds wenig helfe: Dort sei eine Standardsoftware für das IT-Monitoring angegriffen worden, die nicht als kritisch eingestuft würde. Ähnlich war es bei Hackerangriffen in der Ukraine 2017, als das Update eines weitverbreiteten Buchhaltungsprogramms den Erpressungstrojaner Notpetya enthielt.

Die geplanten gesetzlichen Vorgaben gelten ohnehin nur für einen sehr eingeschränkten Kreis. Andere Unternehmen können von Zulieferern verlangen, dass sie sich zertifizieren lassen. Verbreitet ist der Standard ISO 27001, der Anforderungen für das Management der Informationssicherheit stellt. Der Verband der Automobilindustrie (VDA) hat auf dieser Grundlage eine eigene Norm namens Tisax entwickelt, die Zulieferer einhalten müssen.

„Eine Zertifizierung kann die IT-Sicherheit auf der organisatorischen Ebene verbessern“, sagt Dror-John Röcher, Vorstandsmitglied bei der DCSO (Deutsche Cyber-Sicherheitsorganisation), die Allianz, BASF, Bayer und Volkswagen gegründet haben. „Aber nur weil ein Unternehmen einen Standard einhält, ist es noch lange nicht sicher“, warnt Röcher. Das könnten Regeln allein nicht gewährleisten.

Einfluss nehmen können Unternehmen außerdem, indem sie in ihren ‧Ausschreibungen Anforderungen an die IT-Sicherheit stellen, beispielsweise regelmäßige Überprüfungen des Programmcodes, sogenannte Audits, und die Verpflichtung zu regelmäßigen Updates. Siemens hat solche Mindestanforderungen formuliert, die sich vor allem an Lieferanten von sicherheitskritischen Komponenten wie Software und Prozessoren richten.

Gängige Praxis ist das allerdings nicht. Bisher gebe es nur selten Ausschreibungen, die Zulieferer zu gewissen Standards in Sachen IT-Sicherheit verpflichteten, beobachtet DCSO-Manager Röcher. „Diese Anforderungen kosten Geld“, betont er. „Wenn sie in den Ausschreibungen nicht drinstehen, werden sie nicht erfüllt.“

Schwierige Diskussion um Produkthaftung

Die Sicherheit von Software hat für IT-Anbieter nicht unbedingt Priorität, zumindest kommerziell gesehen. Das Problembewusstsein und die Zahlungsbereitschaft der Kunden sind oft gering. Auch gibt es nur wenige gesetzliche Verpflichtungen. „Als BSI wünschen wir uns natürlich, dass Hersteller mehr für die IT-Sicherheit ihrer Produkte tun, als sie es derzeit müssen“, sagt Schönbohm.

In der Politik wird deshalb seit Längerem darüber diskutiert, eine Produkthaftung für die Hersteller einzuführen. „Wenn IT-Unternehmen durch grobe Fahrlässigkeit Angriffen Vorschub leisten, sollten sie für entstandene Schäden haften“, fordert etwa FDP-Politiker Höferlin. Ein Anwender könne schließlich nichts dafür, wenn ein Softwarehersteller verspätete Sicherheitspatches liefere.

Allerdings ist eine Produkthaftung für Software mit einigen Unwägbarkeiten verbunden. So stellt sich die Frage, wann die Schwelle erreicht ist – manchmal reicht schon ein fehlendes Semikolon, um eine Sicherheitslücke aufzureißen. HiSolutions-Manager Atug warnt zudem: Eine Produkthaftung sei mit – häufig genutzter – Open-Source-Software unvereinbar, da für diese niemand die Haftung übernehmen könne.

IT-Sicherheitsexperten sind sich einig, dass es trotz aller Zertifikate und Verpflichtungen keine 100-prozentige Sicherheit geben kann. Daher verbreitet sich in der Szene das Paradigma der Resilienz. „Jede Organisation muss davon ausgehen, dass sie irgendwann gehackt wird, und sich darauf vorbereiten“, sagt Sven Herpig von der Stiftung Neue Verantwortung. Dabei gehe es um eine sinnvolle Risikoabwägung. Dafür gibt es eine Reihe von Maßnahmen:

Ein System zur Überwachung des IT-Betriebs kann – wie eine Alarmanlage – digitale Zugriffe von außen wie auch ungewöhnliche Vorgänge innerhalb des Netzwerks melden.
Eine Strategie für die Sicherung und Wiederherstellung von Daten greift dann, wenn beispielsweise Erpresser das Netzwerk lahmlegen und Lösegeld verlangen.
Die Unterteilung des Netzwerks in kleine Segmente erschwert Kriminellen und Spionen die Ausbreitung.
Cyberversicherungen sichern gewisse Risiken ab – „sie sind dann relevant, wenn sie das versichernde Unternehmen dazu bringen, den Status quo ihrer IT-Sicherheit zu erhöhen“, sagt Herpig.

Das Bild in der deutschen Wirtschaft ist jedoch bestenfalls gemischt. Zwar investieren die Unternehmen mehr in die Cyberabwehr, durchschnittlich rund elf Prozent, wie Accenture im Sommer 2020 erhoben hat. Als resilient schätzt die Beratungsgesellschaft jedoch nur sieben Prozent der Unternehmen ein – die Investitionen „konzentrieren sich meist nur auf unverzichtbare Grundlagen“.

Die Krux: Investitionen in die IT-Sicherheit machen sich selten direkt bezahlt, womit das Management vor einem Problem steht. „Resilienz kostet Geld und Anstrengung“, betont Röcher – „da muss im Unternehmen schon der Wille vorhanden sein“.

Business Insider
Ich habe ein verlassenes Haus gekauft und versucht, es zu renovieren – darum würde ich es nie wieder tun
Die Autorin kaufte ein großes Grundstück mit einem verlassenen Haus. Doch die Renovierung gestaltete sich schwieriger als gedacht.
AFP
Teilnahme der Niederlande am ESC-Finale nach Vorfall weiter offen
Nach einem nicht näher benannten Vorfall bleibt die Teilnahme der Niederlande am Finale des Eurovision Song Contest (ESC) weiter offen.Klein zählt mit seinem Lied "Europapa" zum erweiterten Favoritenkreis des ESC. Der Sieger im Finale wird zwar Samstagabend ermittelt, die Hälfte der Punkte kommt aber von der Jury.
dpa-AFX
Devisen: Euro gerät nach US-Verbraucherumfrage unter Druck
Den Euro hat am Freitag eine US-Verbraucherumfrage belastet. Im New Yorker Handel kostete die Gemeinschaftswährung zuletzt 1,0771 US-Dollar. Die Europäische Zentralbank (EZB) hatte den Referenzkurs auf 1,0779 (Mittwoch: 1,0743) Dollar festgesetzt, der Dollar damit 0,9277 (0,9308) Euro gekostet.
spot on news
Welche sind die Richtigen? Blumen und ihre Bedeutung für den Muttertag
Ein Blumenstrauß darf am Muttertag nicht fehlen - er drückt unsere Zuneigung für die wichtigsten Frauen in unserem Leben aus. Aber Blume ist nicht gleich Blume: Jede hat eine andere Bedeutung.
SID
Mbappe macht seinen Abschied bei PSG offiziell
Monatelang war es ein offenes Geheimnis, nun hat Kylian Mbappe seinen Abschied offiziell gemacht - seinen neuen Klub verriet der Weltmeister von 2018 aber noch nicht.Mbappe, einst als 18-Jähriger für sagenhafte 180 Millionen Euro vom Ligue-1-Rivalen AS Monaco verpflichtet, verlässt den Klub als einer der wertvollsten Spieler des Planeten - und ablösefrei.
Business Insider
US-Kultmarken Taco Bell und Krispy Kreme eröffnen erstmals Standorte in Deutschland
Die Franchise-Firma İş Holding verhandelt bereits über zehn Standorte der beiden Marken in Berlin, wie das Unternehmen mitteilt.
AFP
UN-Vollversammlung spricht sich für Vollmitgliedschaft von Palästinensern aus
Die UN-Vollversammlung hat sich in einer rein symbolischen Abstimmung mit großer Mehrheit für eine Aufnahme der Palästinenser in die Vereinten Nationen ausgesprochen. 143 Staaten stimmten am Freitag für eine Resolution, nach der die Palästinenser in die UNO aufgenommen werden sollten und ihnen einige zusätzliche Rechte neben ihrem bisherigen Beobachterstatus gewährt werden.Jedoch räumt die von der Vollversammlung beschlossene Resolution den Palästinensern zusätzliche Rechte und Privilegien ein.
spot on news
Eklat beim Eurovision Song Contest: Wird Joost Klein disqualifiziert?
Wird der niederländische ESC-Beitrag kurzfristig ausgeschlossen? Es liegen schwere Vorwürfe gegen den Sänger Joost Klein vor, der in eine gewalttätige Auseinandersetzung verwickelt gewesen sein soll. Aktuell laufen Krisensitzungen.
SID
HSV vergibt letzte Möglichkeit auf den Aufstieg
Der Hamburger SV hat seine letzte Chance auf die Rückkehr in die Fußball-Bundesliga verspielt und wird im kommenden Jahr in der 2.Minute hatte Hamburg durch Jean-Luc Dompe einen ersten gefährlichen Abschluss.
PR Newswire
Sanad kündigt strategische Verkaufstransaktion mit CFM Materials zur weiteren Förderung der Zusammenarbeit mit der Luftfahrtindustrie an
Sanad, der weltweit führende Anbieter von Engineering- und Leasinglösungen für die Luft- und Raumfahrt, der sich zu 100 % im Besitz des staatlichen Investors Mubadala Investment Company PJSC (Mubadala) aus Abu Dhabi befindet, gab auf der International Society of Transport Aircraft Trading (ISTAT) Asien in Hongkong eine strategische Transaktion zwischen Sanad und CFM Materials, dem weltweit größten Anbieter von gebrauchten, wartungsfähigen Komponenten für Triebwerke von CFM International, bekannt
SID
HSV verspielt letzte Aufstiegschance
Die letzte Chance vergeben, alle Hoffnung dahin: Der Hamburger SV wird nach einem ernüchternden 0:1 (0:1) beim SC Paderborn auch in der kommenden Saison in der 2.Der Treffer beflügelte die Paderborner im letzten Heimspiel der Saison noch: Kostons (13.) und Raphael Obermair (16.) hätten bereits früh das 2:0 erzielen können, der HSV dagegen fand überhaupt nicht in den Rhythmus.
PR Newswire
Dematic wird im Gartner® Magic Quadrant™ für Lagerverwaltungssysteme 2024 als Nischenplayer eingestuft
Dematic gab heute bekannt, dass das Unternehmen im Gartner® Magic Quadrant™ für Lagerverwaltungssysteme (WMS) 2024 als Nischenplayer eingestuft wurde.
dpa-AFX
Aktien New York: Knapp im Plus gegen Ende einer starken Börsenwoche
Neu veröffentlichte Inflationserwartungen und eine skeptische Haltung von Fed-Mitgliedern gegenüber erhofften Zinssenkungen haben am Freitag den US-Börsen etwas den Wind aus den Segeln genommen. Gleichwohl hielten sich die wichtigsten Indizes knapp im Plus.
AFP
Kanada stockt deutschen Fonds für Luftabwehr in der Ukraine auf
Der kanadische Verteidigungsminister Bill Blair hat angekündigt, 76 Millionen kanadische Dollar (rund 52 Millionen Euro) zur deutschen Initiative zur Stärkung der ukrainischen Luftabwehr beizusteuern.Deutschland hatte die Initiative Immediate Action on Air Defense (IAAD) im April gestartet und Verbündete aufgefordert, mehr Luftabwehr an die Ukraine zu liefern und zu finanzieren.
Business Insider
Billiger und nützlicher als GPT-4? Dieses Unternehmen will OpenAI Konkurrenz machen
Der OpenAI-Konkurrent Cohere hat ein aktualisiertes KI-Modell vorgestellt, das nach eigenen Angaben nützlicher und billiger sein soll als GPT-4.
dpa-AFX
US-Regierung kündigt weiteres Militärpaket für Ukraine an
Nach der jüngsten Freigabe neuer Mittel für die Ukraine durch den Kongress hat die US-Regierung ein weiteres Paket mit Militärhilfen für Kiew angekündigt. Das US-Außenministerium teilte am Freitag in Washington mit, das Paket habe einen Umfang von rund 400 Millionen US-Dollar (rund 371 Millionen Euro). Es beinhalte unter anderem Munition für das Luftabwehrsystem Patriot, weitere Mehrfachraketenwerfer vom Typ Himars mit Munition sowie Stinger-Flugabwehrraketen und Artilleriemunition mit den Kalib
spot on news
Prinz William gibt Update: So geht es Prinzessin Kate
Prinz William gewährt Einblick in den aktuellen Gesundheitszustand von Prinzessin Kate. Bei dem Besuch eines Krankenhauses auf den Scilly-Inseln wurde er direkt darauf angesprochen: Seiner Ehefrau gehe es "gut".
SID
Zverev nimmt Auftakthürde in Rom souverän
Tennis-Olympiasieger Alexander Zverev hat seine Auftakthürde beim ATP-Masters in Rom souverän genommen.Zverevs letzter Turniersieg datiert vom vergangenen September.
SID
Medien: BVB ohne vier Helden von Paris nach Mainz
Champions-League-Finalist Borussia Dortmund reist offenbar ohne vier Helden vom Halbfinal-Rückspiel bei Paris St. Germain (1:0) zum Bundesligamatch nach Mainz.Beim BVB, der Bundesligafünfter ist und das Königsklassenticket für die kommende Saison bereits gelöst hat, ist alles dem Champions-League-Endspiel gegen Rekordsieger Real Madrid am 1.
Teleschau
"Dinner"-Gäste bekommen Pferdefleisch serviert: "Schmeckt hervorragend"
Die "Woche der Vielfalt" endet im Rheinland so, wie schon Christians Oma das "perfekte Dinner" gekocht hätte: Mit wenigen Mitteln und den Zutaten, die sie damals zur Verfügung gehabt hätte. Dass deshalb Pferdebraten auf den Tisch kommt, trifft die Gäste unerwartet ...

DAX

Euro Stoxx 50

Dow Jones 30

Gold

EUR/USD

Bitcoin EUR

CMC Crypto 200

Öl (Brent)

MDAX

TecDAX

SDAX

Nikkei 225

FTSE 100

CAC 40

Nasdaq Compositive

Was der Fall Solarwinds über neue Bedrohungen aus dem Netz verrät

Aktuelle Artikel

Ich habe ein verlassenes Haus gekauft und versucht, es zu renovieren – darum würde ich es nie wieder tun

Teilnahme der Niederlande am ESC-Finale nach Vorfall weiter offen

Devisen: Euro gerät nach US-Verbraucherumfrage unter Druck

Welche sind die Richtigen? Blumen und ihre Bedeutung für den Muttertag

Mbappe macht seinen Abschied bei PSG offiziell

US-Kultmarken Taco Bell und Krispy Kreme eröffnen erstmals Standorte in Deutschland

UN-Vollversammlung spricht sich für Vollmitgliedschaft von Palästinensern aus

Eklat beim Eurovision Song Contest: Wird Joost Klein disqualifiziert?

HSV vergibt letzte Möglichkeit auf den Aufstieg

Sanad kündigt strategische Verkaufstransaktion mit CFM Materials zur weiteren Förderung der Zusammenarbeit mit der Luftfahrtindustrie an

HSV verspielt letzte Aufstiegschance

Dematic wird im Gartner® Magic Quadrant™ für Lagerverwaltungssysteme 2024 als Nischenplayer eingestuft

Aktien New York: Knapp im Plus gegen Ende einer starken Börsenwoche

Kanada stockt deutschen Fonds für Luftabwehr in der Ukraine auf

Billiger und nützlicher als GPT-4? Dieses Unternehmen will OpenAI Konkurrenz machen

US-Regierung kündigt weiteres Militärpaket für Ukraine an

Prinz William gibt Update: So geht es Prinzessin Kate

Zverev nimmt Auftakthürde in Rom souverän

Medien: BVB ohne vier Helden von Paris nach Mainz

"Dinner"-Gäste bekommen Pferdefleisch serviert: "Schmeckt hervorragend"