Wieso es Hacker auf die Firma SolarWinds abgesehen haben

Der Konzern listet führende US-Firmen und auch die Dax-Konzerne Siemens und Telekom als seine Kunden. Das nutzten Hacker aus – mit weitreichenden Folgen.

Eigentlich soll Solarwinds Firmen und Behörden sicherer machen. Das Unternehmen aus Texas besetzt eine wichtige Nische in der IT-Industrie. Mit immer komplexeren Computersystemen müssen Firmen und deren IT-Administratoren den Überblick behalten. Solarwinds liefert Programme, mit denen sich die IT-Infrastruktur überwachen lässt. So sollen potenzielle Sicherheitslücken frühzeitig erkannt und geschlossen werden.

Doch nun ist Solarwinds selbst zum Opfer eines Cyberangriffs geworden. Der Konzern warnte, dass 18.000 seiner Kunden über ein manipuliertes Update seiner Systeme von Hackern infiltriert sein könnten. Das betroffene Produkt Orion machte in den ersten neun Monaten dieses Jahres rund die Hälfte des Umsatzes von 754 Millionen Dollar der Firma aus.

Solarwinds ist zwar kein bekannter Markenname wie Microsoft oder Google, aber das Unternehmen ist ein wichtiger Technologielieferant von Behörden und Unternehmen geworden. Gerade der umfassende Zugang zu den Computersystemen der Kunden machte Solarwinds zu einem attraktiven Ziel. „Das war ein klassischer Angriff auf die Lieferkette. Über Solarwinds konnten deren Kunden kompromittiert werden“, sagt Mike Hart von der Cybersicherheitsfirma Fireeye. Hart spricht aus Erfahrung. Denn Fire‧eye ist selbst Kunde bei Solarwinds und hatte den Angriff im eigenen System festgestellt und dann zurückverfolgt.

Mittlerweile mehren sich die Hinweise, dass Solarwinds offenbar selbst frühe Hinweise auf Schwachstellen nicht ernst genug genommen hatte. Bereits im Januar hatten Sicherheitsexperten eine Schwachstelle im Solarwinds-System aufgedeckt. Die Firma hatte daraufhin versprochen, alle Lücken zu schließen und ihre eigenen Sicherheitsvorkehrungen zu verstärken.

Der Sicherheitsexperte Vinoth Kumar wies darauf hin, dass bereits im November 2019 Zugangsdaten für einen Solarwinds-Updateserver im Klartext im Internet gelandet seien. Unter dem extrem unsicheren Passwort „solarwinds123“ habe er in einem Test Ende 2019 Zugang zum System des Unternehmens erhalten können. Er habe Solarwinds daraufhin auf die Schwachstelle aufmerksam gemacht. Ob dieses Problem mit der aktuellen Attacke in Verbindung steht, ist jedoch unklar.

Das Tech-Unternehmen wurde 1999 gegründet. Damals kursierte die Sorge, Millionen Computersysteme könnten durch einen Programmierfehler mit dem Jahreswechsel 2000 scheitern, dem sogenannten Y2K-Bug. Hinter Solarwinds stand Ex-Walmart-Manager Donald Yonce, der das Unternehmen zusammen mit seinem Bruder gegründet hatte. Bis 2006 steuerte Yonce das Geschäft und wechselte dann in den Aufsichtsrat, 2009 brachte er das Unternehmen an die Börse.

Im Oktober 2015 gab Solarwinds schließlich bekannt, dass die Investoren Silver Lake Partners und Thoma Bravo die Mehrheit an der Firma übernommen haben. Yonce soll dabei 562 Millionen Dollar verdient haben. 2018 brachten die Investoren die Firma erneut an die Börse.

Vor wenigen Monaten hatte der langjährige CEO Kevin Thompson angekündigt, seinen Posten zum Jahresende aufgeben zu wollen. Im November soll er laut einem Bericht Aktien im Wert von 15 Millionen Dollar verkauft haben. Die beiden Großinvestoren der Firma, Silver Lake Partners und Thoma Bravo, sollen darüber hinaus nur sieben Tage vor Veröffentlichung des Cyberangriffs Aktien im Wert von 280 Millionen Dollar verkauft haben.

Mehr: Großangelegter Hackerangriff betrifft auch Deutschland.