Die Sicherheitslücke der Sicherheitsfirma Professor Konrad Rieck zum Hack der Firma SolarWinds
Der Name „SolarWinds“ bleibt wohl noch für längere Zeit mit der größten Cyberattacke des letzten Jahres verbunden. SolarWinds ist ein amerikanisches Unternehmen, das Softwarelösungen für das IT- und Netzwerkmanagement anbietet. Über ein Update entstand eine Sicherheitslücke für mindestens 18.000 ihrer Kundinnen und Kunden. Da auch deutsche Ministerien, Firmen und Einrichtungen Software von SolarWinds bezogen, stellt sich die Frage: Was steckt hinter dem Hack? Im Interview erklärt Konrad Rieck, Professor für Systemsicherheit an der Technischen Universität Braunschweig, was die Sicherheitslücke ausmacht.
Herr Professor Rieck, zum Teil wird der Hackerangriff auf SolarWinds als „historisches Ereignis“ bezeichnet. Was ist denn eigentlich passiert?
Grundsätzlich klingt ‚gehackt‘ eindeutiger als es ist. Die Angreifenden nutzten die Softwareplattform „Orion“ von SolarWinds, um eine Art Hintertür in die Systeme und Netzwerke von Nutzerinnen und Nutzern einzuschleusen. Ob aber ein System vollständig kompromittiert ist, hängt immer von den ergatterten Zugriffsrechten ab. Denn die Schadsoftware hat in der Regel lediglich die Rechte ihres Trägers. Orion, das Produkt von SolarWinds, hatte als Sicherheitsprogramm allerdings sehr umfangreiche Rechte. Wenn also tausende Systeme auf diese Weise mit Schadsoftware versorgt werden, ist das auf jeden Fall ein großer Vorfall.
Vor allem ist es aber ein unnötiger Vorfall. Denn es sind dabei viele Dinge passiert, die wir in der Forschung schon lange gewusst haben. Beispielsweise hat SolarWinds den Kundinnen und Kunden mitgeteilt, dass man ihre Produkte nicht auf Schadsoftware scannen soll. Das ist ungeschickt, da jede Person, die das Produkt kennt, weiß, dass es einen Ordner in jedem Kundensystem gibt, der nicht geprüft wird.
Heißt das, der Hack wäre durchaus vermeidbar gewesen?
Ganz so einfach ist es natürlich nicht. Als Wissenschaftler habe ich den Vorteil, mir Dinge auszudenken, die in der Praxis kompliziert oder umständlich und damit teuer sind. Unternehmen möchten dagegen in erster Linie Geld verdienen. Wenn man allerdings andere Systeme mit automatisierten Updates versorgt, sind besondere Sicherheitsvorkehrungen notwendig. SolarWinds hat hier am falschen Ende gespart und offenbar die eigenen Produkte nicht auf Sicherheit geprüft.
Wenn eine Sicherheitsfirma die eigenen Produkte nicht auf Sicherheit prüft, klingt das einfach nicht gut. Dabei ist das mit Kryptographie durchaus lösbar. Alles was SolarWinds gebraucht hätte, wäre eine unabhängige Stelle innerhalb der Firma, die die Integrität der eigenen Updates überprüft.
Ich will damit nicht sagen, dass man so einen Hack immer verhindern kann. Aber man kann sich dagegen wappnen. Denkbar wäre, seine Systeme regelmäßig zu prüfen, um dann schnell einem Angriff entgegenzuwirken. Im Fall von SolarWinds hat es Monate gedauert, bis überhaupt etwas bemerkt wurde.
Zu den Kunden von SolarWinds gehörten deutsche Behörden und Unternehmen. Gibt es Grund zur Sorge?
Die Frage, die dahinter steht ist: Wer ist oder vielleicht auch wer sind die Angreifenden? Leider haben diese vieles richtig gemacht. So hat die eingeschleuste Schadsoftware nicht direkt am ersten Tag losgelegt. Stattdessen hat sie erstmal geschwiegen, um dann über einen langen Zeitraum unbemerkt Daten zu stehlen. Die Angreifenden hatten offenbar viel Zeit – und kein monetäres Motiv. Kriminelle hätten gleich zu Beginn alle Dateien und Systeme verschlüsselt und Geld erpresst.
Das einzige Szenario, was daher für mich Sinn ergibt, ist wirtschaftliche und staatliche Spionage. Wer es am Ende war, ist beinahe unmöglich festzustellen. Wenn etwa ein Teil der Software auf Kyrillisch ist, kann das sowohl für als auch gegen Russland sprechen. Wer auch immer es ist, hat jetzt eventuell Daten aus deutschen Einrichtungen. Zwar sind wir nicht im Krieg und müssten fürchten, dass die Daten direkt gegen uns verwendet werden. Aber die Daten sind trotzdem sensibel. Im Zweifelsfall weiß ein Staat mehr über uns, als wir möchten. Beziehungsweise kennt jetzt Internes aus Unternehmen, die im internationalen Wettbewerb stehen.
Nichtsdestotrotz kann aus dem Hack durchaus auch Gutes entstehen. Beim Fall SolarWinds hat ein Angriff über Bande gereicht, um eine Vielzahl an Behörden und Unternehmen zu hacken. Das sollte alle potenziellen Ziele (und das sind viele) nachdenklich machen: Was nutzen wir für Dienstleistungen? Welche Software haben wir gekauft? Wie können wir nicht nur uns, sondern auch unsere Dienstleister schützen? Wenn dieses Bewusstsein steigt, dann ist das eigentlich positiv.