E-mail senden E-Mail Adresse kopieren

2021-05-11
Annabelle Theobald

Vom Hütehund zum Opferlamm

CISPA-Faculty Christian Rossow spricht über erste Lehren aus dem SolarWinds-Angriff 

Wie raffiniert und gefährlich Cyberattacken sein können, zeigt der Fall des im Dezember 2020 bekanntgewordenen SolarWinds-Angriffes. Hacker:innen war es gelungen, in die Netzwerküberwachungssoftware Orion des texanischen IT-Dienstleisters SolarWinds Schadcode einzuschleusen und auf sensible Daten ihrer Nutzer:innen zuzugreifen. Dazu zählten neben staatlichen Behörden weltweit auch große Unternehmen wie Microsoft und Intel. Wie viele Daten von den Angreifer:innen tatsächlich erbeutet oder manipuliert wurden, ist noch unklar. Amerikanische Sicherheitsbehörden vermuten eine Gruppe des russischen Geheimdienstes hinter der Attacke. CISPA-Faculty Professor Dr. Christian Rossow erklärt, wie die Angreifer:innen vorgegangen sind und wie man sich gegen solche Angriffe wehren kann.

Der IT-Angriff auf die SolarWinds-Software Orion, die eigentlich dazu dient, Fehler und Schwachstellen in Netzwerken aufzuspüren, machte das Programm ungewollt vom Bewacher zum Handlanger von Cyberkriminellen. Was war passiert? „Cyberangreifern ist es gelungen, schadhaften Code über ein manipuliertes Update in das etablierte Sicherheitsprodukt einzuschleusen. Sie erlangten somit Kontrolle über IT-Systeme, auf denen die SolarWinds-Software zur zentralen Netzwerküberwachung installiert war.“ Dass der Vorfall so hohe Wellen geschlagen hat, liegt nach Einschätzung von Christian Rossow nicht nur an der enormen Tragweite des Angriffs – die Software kommt weltweit in mehr als 18 000 staatlichen Stellen und Konzernen zum Einsatz – sondern auch daran, dass er so ausgeklügelt war.

„Durch die zentrale Position der Software sind etliche Firmen und Behörden an einer sehr verwundbaren Stelle in ihren Netzwerken getroffen worden“, erklärt Rossow. Das und die weite Verbreitung der Software habe es Angreifern ermöglicht, höchst sensible Daten abzugreifen. Auch wenn die ursprüngliche Sicherheitslücke längst geschlossen ist, ist die grundsätzliche Gefahr damit nicht gebannt. „Ähnliche Angriffe können sich – die Professionalität der Angreifer vorausgesetzt – prinzipiell wiederholen, da Updates gewöhnlich gemäß der allgemeinen Empfehlung automatisiert eingespielt werden.“

Beim SolarWinds-Angriff handelte es sich um einen sogenannten Supply-Chain-Angriff, bei dem Angreifer:innen versuchen, zunächst Schadsoftware in ein Softwaresystem einzuschleusen und es dann über Updates auch bei den Kund:innen zu verteilen. Die Software-Hersteller:innen müssten stärker in die Pflicht genommen werden, ihre Schutzmaßnahmen für die Erstellung, Prüfung und Verteilung von Updates zu optimieren, sagt Rossow. Zudem sei es ratsam Software einzusetzen, die in der Lage ist, Anomalien und schadhaftes Verhalten schnell zu entdecken. „Das nützt natürlich nichts, wenn wie im vorliegenden Fall ein solches Überwachungssystem selbst Opfer des Angriffs wird“, sagt Rossow.

Ganz allgemein gelte, dass Software vor ihrer Ausführung erst auf Schadverhalten geprüft werden sollte. Das sei zum Beispiel mit einer sogenannten Schadsoftware-Sandbox möglich. Ähnlich wie in einem biologischen Virenlabor werde darin ein virtueller Computer mit der potentiell schadhaften Software „infiziert“, um ihr Verhalten zu beobachten. „Der SolarWinds-Fall legt nahe, dass man diese Prüfung nicht nur für potenziell schadhafte E-Mail-Anhänge und USB-Stick-Inhalte durchführen sollte, sondern prinzipiell auch für Software-Updates“, sagt Rossow.

„Einen 100-prozentigen Schutz vor Cyberangriffen wird es aber nie geben“, ist der Forscher überzeugt. „Es gibt zu viele absolut notwendige Funktionen, die als Einfallstor missbraucht werden können, zum Beispiel der oft schnelllebige Datenaustausch, die Kommunikation oder die Bedienung eines IT-Systems.“ Hier gelte es die Funktionen auf ein absolutes Minimum zu reduzieren, Personal gezielt und kontinuierlich in IT-Sicherheit zu schulen und ergänzend sinnvolle Schutzmaßnahmen zur Dienste- und Netzwerküberwachung einzusetzen. Die Corona-Krise bringe nochmal ganz eigene Herausforderungen mit sich, denn mit der Verlagerung vieler Tätigkeiten ins Homeoffice gehe auch der Verlust von Kontrolle über die Vertrauenswürdigkeit von IT-Systemen einher. „Die Umstrukturierung von IT-Netzwerken hilft dabei, den Schaden zu minimieren, den einzelne Systeme einer gesamten Organisation zufügen können.“