Deutsche Märkte öffnen in 48 Minuten
  • Nikkei 225

    28.864,32
    -65,79 (-0,23%)
     
  • Dow Jones 30

    30.924,14
    -345,95 (-1,11%)
     
  • BTC-EUR

    39.709,16
    -2.271,72 (-5,41%)
     
  • CMC Crypto 200

    950,87
    -36,34 (-3,68%)
     
  • Nasdaq Compositive

    12.723,47
    -274,28 (-2,11%)
     
  • S&P 500

    3.768,47
    -51,25 (-1,34%)
     

Was der Fall Solarwinds über neue Bedrohungen aus dem Netz verrät

Hoppe, Till Kerkmann, Christof
·Lesedauer: 7 Min.

Der Hackerangriff auf US-Regierungsstellen zeigt: Lieferanten sind oft die Schwachstelle in an sich gut gesicherten Netzen. Politik und Experten suchen nun nach Auswegen.

Für die USA war es der größte anzunehmende Cyberunfall: Über ein Update des texanischen Softwarelieferanten Solarwinds konnten hochprofessionelle Hacker in die Computersysteme von rund 18.000 Unternehmen und Behörden eindringen, darunter sensible Regierungsstellen wie die Atomwaffenbehörde oder das Justizministerium. Auch etliche IT-Anbieter, deren Software weit verbreitet ist, wurden von den Angreifern attackiert, etwa Microsoft und Fireeye. Die US-Regierung macht eine Gruppe des russischen Geheimdienstes verantwortlich.

In Deutschland scheinen die Angreifer weniger Schaden angerichtet zu haben. Das Bundesinnenministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) gehen davon aus, dass bei den drei betroffenen Bundesbehörden keine Daten abgeflossen sind. Offenbar habe man Glück gehabt und sei nicht interessant genug gewesen für die Angreifer, sagte Innenstaatssekretär Günter Krings im Innenausschuss des Bundestags. Die betroffene Software kam indes auch bei Telekom und Siemens zum Einsatz.

Entwarnung gibt niemand, im Gegenteil: Der Fall Solarwinds hat den IT-Verantwortlichen in Regierung und Industrie vor Augen geführt, wie verwundbar selbst aufwendig gesicherte Netze sein können, wenn die Angreifer das schwächste Glied in der Kette der Hard- und Softwarelieferanten attackieren. „Angesichts des Potenzials dieses Angriffswegs ist derzeit nicht anzunehmen, dass Solarwinds der letzte Fall von Supply-Chain-Angriffen gewesen sein wird“, warnt BSI-Präsident Arne Schönbohm im Handelsblatt.

Manuel Atug, Cybersicherheitsexperte der Beratungsfirma HiSolutions, geht sogar davon aus, dass es bereits „weitere solcher Angriffe gibt, die bislang nicht bekannt wurden“. So gibt es Anzeichen dafür, dass die – mutmaßlich russischen – Hacker , sich auch auf andere Weise Zugang zu IT-Netzwerken verschafft haben. Die amerikanische Behörde CISA, die Abwehrmaßnahmen in den USA koordiniert, erklärte im „Wall Street Journal“, dass die Operation nicht mehr als reiner Solarwinds-Fall angesehen werden sollte.

Politik und Experten suchen nun nach Wegen, das Risiko zu begrenzen. Beim IT-Sicherheitskongress des BSI am Dienstag und Mittwoch mit Kanzlerin Angela Merkel steht das Thema auf der Agenda. Einfache Antworten aber hat niemand parat.

Das Problem: Die Nutzer, ob Unternehmen, Regierungsstellen oder private Anwender, sind auf diese Art der Unterwanderung kaum vorbereitet. Die Angreifer nutzten „eine sehr menschliche Eigenschaft aus, nämlich Vertrauen“, sagt Schönbohm. Die Kunden gingen davon aus, dass von vertrauenswürdigen Lieferanten bezogene Software und deren Updates sauber seien. Wenn aber die Hersteller selbst vorher erfolgreich angegriffen worden seien, öffnen Nutzer ihnen ungewollt eine Hintertür.

Hinzu kommt: Viele der etablierten Sicherheitsmechanismen greifen bei dieser Form von Angriffen ins Leere. So schützen die Hersteller ihre Software üblicherweise über eine digitale Signatur. Um sie zu manipulieren, brauchen Angreifer Zugriff auf den kryptografischen Schlüssel.

Die Solarwinds-Hacker aber umgingen diese Hürde, indem sie in den Programmierprozess eingriffen und darüber den schädlichen Code in die Software einpflanzten. Laut Experten stellen solche Signaturen für ausgebuffte Cyberkriminelle keine allzu hohe Hürde mehr dar. Was also tun?

Höhere Sicherheitsstandards in kritischen Bereichen

So professionell die Staatshacker im Fall von Solarwinds gewesen sein mögen, es gibt Anzeichen dafür, dass das Unternehmen beim Schutz gegen Cyberangriffe eklatante Schwachstellen hatte. Der SPD-Digitalpolitiker Jens Zimmermann fordert daher, die Anforderungen an die Anbieter zumindest in kritischen Anwendungsgebieten zu erhöhen: „Wenn Logistikfirmen einen Flughafen beliefern, müssen sie die gleichen hohen Sicherheitsstandards erfüllen wie der Flughafen selbst“, sagt er. Für Softwarehersteller solle dieses Prinzip auch gelten.

Zimmermann sieht sich bestätigt im Drängen der Sozialdemokraten, strenge Prüfverfahren für Lieferanten kritischer Komponenten für den Aufbau der neuen Mobilfunknetze vorzuschreiben: „Wir sind jetzt in genau jenem Szenario, vor dem wir im Kontext 5G und Huawei gewarnt haben.“

Die Bundesregierung hatte lange um den Umgang mit den chinesischen Netzausrüstern gerungen. Im Entwurf des neuen IT-Sicherheitsgesetzes hat sie nun eine Klausel vorgesehen, die die Anbieter stärker in die Pflicht nimmt: Wer die Netzbetreiber mit kritischen Komponenten beliefert, muss diese vom BSI prüfen lassen und per Garantieerklärung die Vertrauenswürdigkeit der eigenen Produkte sowie der Lieferanten versichern. Dieser Mechanismus gilt zunächst nur für den Telekomsektor, könnte später aber auf andere wichtige Infrastrukturen wie die Strom- und Wasserversorgung ausgedehnt werden.

Doch auch dieser Ansatz hat seine Grenzen: „Auch Experten können nur etwas finden, wenn sie wissen, wonach sie suchen müssen“, sagt der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP). Haben die Sicherheitsbehörden also noch keine Hinweise auf neue Schadprogramme, dürften sie kaum fündig werden.

Sicherheitsexperte Atug warnt zudem, dass die neue Klausel in Fällen wie Solarwinds wenig helfe: Dort sei eine Standardsoftware für das IT-Monitoring angegriffen worden, die nicht als kritisch eingestuft würde. Ähnlich war es bei Hackerangriffen in der Ukraine 2017, als das Update eines weitverbreiteten Buchhaltungsprogramms den Erpressungstrojaner Notpetya enthielt.

Die geplanten gesetzlichen Vorgaben gelten ohnehin nur für einen sehr eingeschränkten Kreis. Andere Unternehmen können von Zulieferern verlangen, dass sie sich zertifizieren lassen. Verbreitet ist der Standard ISO 27001, der Anforderungen für das Management der Informationssicherheit stellt. Der Verband der Automobilindustrie (VDA) hat auf dieser Grundlage eine eigene Norm namens Tisax entwickelt, die Zulieferer einhalten müssen.

„Eine Zertifizierung kann die IT-Sicherheit auf der organisatorischen Ebene verbessern“, sagt Dror-John Röcher, Vorstandsmitglied bei der DCSO (Deutsche Cyber-Sicherheitsorganisation), die Allianz, BASF, Bayer und Volkswagen gegründet haben. „Aber nur weil ein Unternehmen einen Standard einhält, ist es noch lange nicht sicher“, warnt Röcher. Das könnten Regeln allein nicht gewährleisten.

Einfluss nehmen können Unternehmen außerdem, indem sie in ihren ‧Ausschreibungen Anforderungen an die IT-Sicherheit stellen, beispielsweise regelmäßige Überprüfungen des Programmcodes, sogenannte Audits, und die Verpflichtung zu regelmäßigen Updates. Siemens hat solche Mindestanforderungen formuliert, die sich vor allem an Lieferanten von sicherheitskritischen Komponenten wie Software und Prozessoren richten.

Gängige Praxis ist das allerdings nicht. Bisher gebe es nur selten Ausschreibungen, die Zulieferer zu gewissen Standards in Sachen IT-Sicherheit verpflichteten, beobachtet DCSO-Manager Röcher. „Diese Anforderungen kosten Geld“, betont er. „Wenn sie in den Ausschreibungen nicht drinstehen, werden sie nicht erfüllt.“

Schwierige Diskussion um Produkthaftung

Die Sicherheit von Software hat für IT-Anbieter nicht unbedingt Priorität, zumindest kommerziell gesehen. Das Problembewusstsein und die Zahlungsbereitschaft der Kunden sind oft gering. Auch gibt es nur wenige gesetzliche Verpflichtungen. „Als BSI wünschen wir uns natürlich, dass Hersteller mehr für die IT-Sicherheit ihrer Produkte tun, als sie es derzeit müssen“, sagt Schönbohm.

In der Politik wird deshalb seit Längerem darüber diskutiert, eine Produkthaftung für die Hersteller einzuführen. „Wenn IT-Unternehmen durch grobe Fahrlässigkeit Angriffen Vorschub leisten, sollten sie für entstandene Schäden haften“, fordert etwa FDP-Politiker Höferlin. Ein Anwender könne schließlich nichts dafür, wenn ein Softwarehersteller verspätete Sicherheitspatches liefere.

Allerdings ist eine Produkthaftung für Software mit einigen Unwägbarkeiten verbunden. So stellt sich die Frage, wann die Schwelle erreicht ist – manchmal reicht schon ein fehlendes Semikolon, um eine Sicherheitslücke aufzureißen. HiSolutions-Manager Atug warnt zudem: Eine Produkthaftung sei mit – häufig genutzter – Open-Source-Software unvereinbar, da für diese niemand die Haftung übernehmen könne.

IT-Sicherheitsexperten sind sich einig, dass es trotz aller Zertifikate und Verpflichtungen keine 100-prozentige Sicherheit geben kann. Daher verbreitet sich in der Szene das Paradigma der Resilienz. „Jede Organisation muss davon ausgehen, dass sie irgendwann gehackt wird, und sich darauf vorbereiten“, sagt Sven Herpig von der Stiftung Neue Verantwortung. Dabei gehe es um eine sinnvolle Risikoabwägung. Dafür gibt es eine Reihe von Maßnahmen:

  • Ein System zur Überwachung des IT-Betriebs kann – wie eine Alarmanlage – digitale Zugriffe von außen wie auch ungewöhnliche Vorgänge innerhalb des Netzwerks melden.

  • Eine Strategie für die Sicherung und Wiederherstellung von Daten greift dann, wenn beispielsweise Erpresser das Netzwerk lahmlegen und Lösegeld verlangen.

  • Die Unterteilung des Netzwerks in kleine Segmente erschwert Kriminellen und Spionen die Ausbreitung.

  • Cyberversicherungen sichern gewisse Risiken ab – „sie sind dann relevant, wenn sie das versichernde Unternehmen dazu bringen, den Status quo ihrer IT-Sicherheit zu erhöhen“, sagt Herpig.

Das Bild in der deutschen Wirtschaft ist jedoch bestenfalls gemischt. Zwar investieren die Unternehmen mehr in die Cyberabwehr, durchschnittlich rund elf Prozent, wie Accenture im Sommer 2020 erhoben hat. Als resilient schätzt die Beratungsgesellschaft jedoch nur sieben Prozent der Unternehmen ein – die Investitionen „konzentrieren sich meist nur auf unverzichtbare Grundlagen“.

Die Krux: Investitionen in die IT-Sicherheit machen sich selten direkt bezahlt, womit das Management vor einem Problem steht. „Resilienz kostet Geld und Anstrengung“, betont Röcher – „da muss im Unternehmen schon der Wille vorhanden sein“.