Sunburst-Hack: die Kollateralschäden in der Schweiz

18. Dezember 2020 um 15:24
image

Der Angriff zielte wohl auf die USA, die kompromittierte Software ist aber global im Einsatz. Was Kunden tun (sollten), erklären uns Swisscom und Switch.

Die US-Behörde für Cyber- und Infrastruktursicherheit (Cisa) stuft den jüngsten Hackerangriff auf amerikanische Regierungseinrichtungen als "ernste Gefahr" ein. Sie schreibt in einer Warnmitteilung, das Entfernen des Angreifers aus betroffenen Systemen werde voraussichtlich "hochkomplex" sein. Der als Sunburst bezeichnete Cyberangriff dauere mindestens seit März an. Der oder die Täter hätten "Geduld, operative Sicherheit und komplexe Handwerkskunst" bewiesen, so die amerikanische Behörde.
Die 'Washington Post' und die 'New York Times' hatten berichtet, bei den Angreifern handle es sich um Hacker mit Verbindungen zum russischen Geheimdienst. Die russische Regierung weist dies zurück .
Der Hack gelang durch einen Supply-Chain-Angriff auf den Software-Hersteller Solarwinds. In den USA sind unter anderem das Aussenministerium, das Ministerium für Innere Sicherheit und Teile des Pentagons kompromittiert worden. Zudem könnten weltweit 18'000 weitere Solarwinds-Kunden betroffen sein, die mit Backdoors versehene Updates für Solarwinds Orion heruntergeladen haben.
Frank Herberg, Leiter Switch-Cert (Commercial Sectors), erklärt uns, man gehe derzeit davon aus, dass der Angriff vor allem gezielt Einrichtungen in den USA gegolten habe. Viele Unternehmen, an die die Malware verteilt wurde, seien nicht im Fokus des eigentlichen Angriffs gestanden. Diese Einschätzung könne sich aber noch ändern, fügt der Security-Experte an.
Jüngsten Berichten zufolge ist auch Microsoft vom Angriff betroffen. Laut 'Reuters' nutzt das Unternehmen die Netzwerkmanagement-Software von Solarwinds. Unklar bleibt, ob und wie viele Microsoft-Nutzer von dem Angriff in Mitleidenschaft gezogen wurden. Die Redmonder schreiben in einer Stellungnahme, dass die bisherigen Ermittlungen keine Erkenntnisse geliefert hätten, dass die Angreifer die Microsoft-Systeme genutzt hätten, um Kunden zu attackieren.

Schweizer Kunden müssen patchen und überwachen

Selbst wenn sie nicht direkt im Visier der Angreifer standen, müssen Kunden von Solarwind nun schnell patchen und analysieren, ob sie kompromittiert wurden. Solarwinds hat laut unseren Informationen 30 Schweizer Konzerne als Kunden, allerdings weiss man nicht, ob sie ebenfalls Orion im Einsatz haben oder die Updates heruntergeladen haben.
Swisscom bestätigt uns auf Anfrage, dass man Kunde von Solarwinds sei. Die kompromittierte Softwarekomponente von Solarwinds überwache eine Virtualisierungs-Infrastruktur, auf der Microsoft-Produkte für Geschäftskunden laufen. Der Hersteller habe zwei Hotfixes zur Verfügung gestellt und man habe diese Patches bereits installiert.
Unabhängig davon habe Swisscom die Überwachung erweitert. "Unsere Sicherheitsexperten analysieren die betroffenen Systeme und haben keine Indizien für einen Missbrauch gefunden. Die Analysen werden weitergeführt", so Swisscom-Mediensprecher Armin Schädeli.

Zulieferer auch nach dem Sicherheitsniveau bewerten

Sunburst zeige auf, wie abhängig Unternehmen von der Sicherheit bei den Zulieferern geworden sind, so Switch-Mann Herberg. "Wenn Malware als Software-Update, per Update-Mechanismus grossflächig verteilt wird, ist das perfide, da man dieses Updates ja gerade einspielt, um die Sicherheit zu erhöhen."
Angriffe auf Update-Mechanismen, seien aber nicht neu. Durch die starke Verzahnung mit Zulieferern nehme die Komplexität im Unternehmen und das damit verbundene Risiko zu. Firmen seien gut beraten, die Zulieferer auch nach deren Sicherheitsniveau zu beurteilen und nicht nur nach dem Produkt und dessen Preis – Stichwort: Supplier Risk Management. Jedes Unternehmen solle dazu Kriterien entwickeln und im Einkaufsprozess berücksichtigen. Und auch über die Zeit solle man das Sicherheitsniveau der Zulieferer monitoren, so gut es gehe, rät Herberg.
Nachdem ein solcher Angriff bekannt geworden sei, gelte es, schnell zu reagieren und entsprechende Massnahmen einzuleiten. In der Regel entwickle sich die Einschätzung der Lage über mehrere Tage. Es brauche also Personal, das in der Lage sei, die Situation zu verfolgen und Prozesse, die im Zweifelsfall schnelle Entscheidungen ermöglichten.
Es empfehle sich in einer solchen Situation nicht alleine zu agieren, sondern mit anderen zusammenzuarbeiten, etwa mit einem Branchen-Cert. Diese verfügten über viele Informationen und seien früher informiert als die Unternehmen. Ausserdem könnten sie dabei helfen, die Situation schnell einzuschätzen, entsprechende Gegenmassnahmen zu entwickeln und die Lage weiter analysieren.

Loading

Mehr zum Thema

image

Schlag gegen illegalen Online-Marktplatz

Der mutmassliche Administrator von "Crimenetwork", der grössten deutschsprachigen Handelsplattform für gestohlene Daten und illegale Waren, wurde festgenommen.

publiziert am 3.12.2024
image

#Security: DNS Firewall – A lot of Bang for the Buck

Eine DNS-Firewall greift an einer entscheidenden Stelle ein – nämlich dort, wo ein Cyberangriff beginnt. Aber wie entscheidet man, was die Firewall blockieren soll und was nicht?

publiziert am 3.12.2024
image

Basel-Land ruft zur Deinstallation von Easytax auf

Nach der Entdeckung einer Schwachstelle warnt der Kanton. Basel-Land hat die Software im Gegensatz zum Aargau aber bereits abgelöst.

publiziert am 2.12.2024
image

Vom schwächsten Glied zum Sicherheits­faktor

Es greife zu kurz, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen, schreibt Verena Zimmermann. Vielmehr sollten die Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.

publiziert am 2.12.2024