Von Anja Hirschel, Themenbeauftragte Digitaler Wandel und Alexander Kohler, Themenbeauftragter für Außen- & Sicherheitspolitik

Aktuell wird im EU-Ministerrat eine Initiative erarbeitet, die Behörden Zugang zu privater Kommunikation gestatten soll und damit sichere Kommunikation einschränkt. Dies ignoriert offensichtlich die Tatsache, dass solche Zugänge ein Einfallstor für Hacker jedweder Art ist. Denn auch Behörden selbst sind nicht vor Hacks sicher, wie das Beispiel des SolarWinds Hacks zeigt.

Gerade während der aktuellen Pandemie zeigt sich deutlich, wie wichtig die Digitalisierung ist. Es zeigt sich aber auch, wie abhängig wir von den kritischen Infrastrukturen im „Digitalen“ Raum sind, um Unternehmen am Laufen zu halten und die Kommunikation zu gewährleisten. Gleichzeitig müssen der breiten Öffentlichkeit auch die Gefahren bewusster werden, also welche Gesetzmäßigkeiten im „Neuland Internet“ herrschen und wie wichtig besonders die Resilienz an dieser Stelle für uns alle ist.

Gegen Ende 2020 kamen Meldungen über einen Hack der ZS Firma SolarWinds auf. Dies führte dazu, dass sehr viele Verantwortliche großer US Konzerne und Ministerien in Panik gerieten. Doch worum geht es dabei genau? Und inwiefern ist es relevant für jeden von uns?

Die Bedeutung dieses Vorfalls wird deutlich sichtbar wenn man das Unternehmen im Zentrum der Meldung, die Firma SolarWinds aus Austin, Texas (USA), genauer betrachtet. SolarWinds ist ein Dienstleister für Softwarelösungen im IT- und Netzwerkmanagement, insbesondere im Sektor IT-Sicherheit. Mit den Produkten von SolarWinds können Datenbanken und Systeme verwaltet, sowie Datenflüsse optimiert und verfolgt werden.

Neben US-Regierungsbehörden wie dem Pentagon, Nuklearforschungseinrichtungen und diverser US-Geheimdienste befinden sich auch die 500 größten US-Unternehmen unter den 300.000 Kunden dieses Anbieters. Die Angreifer haben sich damit also nicht nur ein einzelnes Ziel herausgesucht, sondern sich sehr geschickt den Zugriff auf viele Kunden von SolarWinds, inklusive Geheimdiensten, gleich mit gesichert. Die Angreifer sind, bildlich dargestellt, bei einem „Schlüsseldienst“ eingebrochen und haben nicht nur nur einen Schlüssel, sondern gleich den Generalschlüssel zu den Kundensystemen mehrerer Unternehmen erbeutet. Dadurch hatten sie die Möglichkeit, dort überall Zugriff zu erlangen.

Laut SolarWinds sind etwa 18.000 der 33.000 Nutzer der Plattform Orion betroffen. Diese hatten ein Update, das mit der sogenannten „Sunburst“ Hintertür kompromittiert war, eingespielt (Update des Zeitraums März-Juni 2019). Immerhin wurden bereits kurze Zeit später, im September 2019, erste Anzeichen für einen Angriff auf SolarWinds festgestellt. So wurde die Firma von einem Sicherheitsfachmann explizit gewarnt, dass man mit dem Passwort „solarwinds123“ jederzeit Zugriff auf den Updateserver von SolarWinds erlangen könne. Zudem wurden diverse potenzielle Zugriffsmöglichkeiten auf SolarWinds schon 2017, also zwei Jahre zuvor, auf einem Exploit-Forum zum Kauf angeboten.

Doch wie genau sind die Hacker nun vorgegangen, um so viele Systeme infiltrieren zu können? Sie haben direkt am Build-Prozess angesetzt, also dort, wo mehrere Quelldateien zusammengeführt und in ein lauffähiges Konstrukt konvertiert werden. Die „Sunburst“ Schadsoftware wurde über die Orion-Plattform eingeschleust, und mit gültigen Schlüsseln von SolarWinds zertifiziert. Nach der Installation des Updates wurde der Trojaner nicht sofort, sondern erst nach einer Ruhezeit von zwei Wochen aktiv. Er verband sich mit dem Internet, analysierte das Netzwerk, sammelte Daten, und lud weiteren Schadcode herunter.

Auch deutsche Unternehmen und Behörden sind von der Attacke betroffen, zum Beispiel das Kraftfahrt-Bundesamt (KBA), das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Wehrtechnische Dienststelle (WTD) und das Robert-Koch-Institut (RKI) [6], Wenn nun aber Behörden Zugang zu privater Kommunikation haben, kann durch solche Hacks in der Folge kaskadenartig auch gleich die private Kommunikation einer Vielzahl von Nutzern kompromittiert werden. Sowohl fremde Regierungs- als auch sonstige Organisationen mit Hacker-Wissen könnten dies via „Backdoors“ oder „Frontdoors“ angreifen und ausnutzen, wie am Beispiel des SolarWinds Hacks nun eindrucksvoll exemplarisch demonstriert wurde.

Die Lehre aus diesem Angriff ist daher, dass IT-Sicherheit nur dann gewährleistet ist, wenn bekanntgewordene Verwundbarkeiten von IT-Systemen konsequent geschlossen statt bewusst offen gehalten werden.