Die US-Behörde für Cyber- und Infrastruktursicherheit (Cisa) stuft den jüngsten Hackerangriff auf amerikanische Regierungseinrichtungen als "ernste Gefahr" ein. Sie schreibt in einer Warnmitteilung, das Entfernen des Angreifers aus betroffenen Systemen werde voraussichtlich "hochkomplex" sein. Der als Sunburst bezeichnete Cyberangriff dauere mindestens seit März an. Der oder die Täter hätten "Geduld, operative Sicherheit und komplexe Handwerkskunst" bewiesen, so die amerikanische Behörde.
Der Hack gelang durch einen Supply-Chain-Angriff auf den Software-Hersteller Solarwinds. In den USA sind unter anderem das Aussenministerium, das Ministerium für Innere Sicherheit und Teile des Pentagons kompromittiert worden. Zudem könnten weltweit 18'000 weitere Solarwinds-Kunden betroffen sein, die mit Backdoors versehene Updates für Solarwinds Orion heruntergeladen haben.
Frank Herberg, Leiter Switch-Cert (Commercial Sectors), erklärt uns, man gehe derzeit davon aus, dass der Angriff vor allem gezielt Einrichtungen in den USA gegolten habe. Viele Unternehmen, an die die Malware verteilt wurde, seien nicht im Fokus des eigentlichen Angriffs gestanden. Diese Einschätzung könne sich aber noch ändern, fügt der Security-Experte an.
Jüngsten Berichten zufolge ist auch Microsoft vom Angriff betroffen. Laut 'Reuters' nutzt das Unternehmen die Netzwerkmanagement-Software von Solarwinds. Unklar bleibt, ob und wie viele Microsoft-Nutzer von dem Angriff in Mitleidenschaft gezogen wurden. Die Redmonder schreiben in einer Stellungnahme, dass die bisherigen Ermittlungen keine Erkenntnisse geliefert hätten, dass die Angreifer die Microsoft-Systeme genutzt hätten, um Kunden zu attackieren.
Schweizer Kunden müssen patchen und überwachen
Selbst wenn sie nicht direkt im Visier der Angreifer standen, müssen Kunden von Solarwind nun schnell patchen und analysieren, ob sie kompromittiert wurden. Solarwinds hat
laut unseren Informationen 30 Schweizer Konzerne als Kunden, allerdings weiss man nicht, ob sie ebenfalls Orion im Einsatz haben oder die Updates heruntergeladen haben.
Swisscom bestätigt uns auf Anfrage, dass man Kunde von Solarwinds sei. Die kompromittierte Softwarekomponente von Solarwinds überwache eine Virtualisierungs-Infrastruktur, auf der Microsoft-Produkte für Geschäftskunden laufen. Der Hersteller habe zwei Hotfixes zur Verfügung gestellt und man habe diese Patches bereits installiert.
Unabhängig davon habe Swisscom die Überwachung erweitert. "Unsere Sicherheitsexperten analysieren die betroffenen Systeme und haben keine Indizien für einen Missbrauch gefunden. Die Analysen werden weitergeführt", so Swisscom-Mediensprecher Armin Schädeli.
Zulieferer auch nach dem Sicherheitsniveau bewerten
Sunburst zeige auf, wie abhängig Unternehmen von der Sicherheit bei den Zulieferern geworden sind, so Switch-Mann Herberg. "Wenn Malware als Software-Update, per Update-Mechanismus grossflächig verteilt wird, ist das perfide, da man dieses Updates ja gerade einspielt, um die Sicherheit zu erhöhen."
Angriffe auf Update-Mechanismen, seien aber nicht neu. Durch die starke Verzahnung mit Zulieferern nehme die Komplexität im Unternehmen und das damit verbundene Risiko zu. Firmen seien gut beraten, die Zulieferer auch nach deren Sicherheitsniveau zu beurteilen und nicht nur nach dem Produkt und dessen Preis – Stichwort: Supplier Risk Management. Jedes Unternehmen solle dazu Kriterien entwickeln und im Einkaufsprozess berücksichtigen. Und auch über die Zeit solle man das Sicherheitsniveau der Zulieferer monitoren, so gut es gehe, rät Herberg.
Nachdem ein solcher Angriff bekannt geworden sei, gelte es, schnell zu reagieren und entsprechende Massnahmen einzuleiten. In der Regel entwickle sich die Einschätzung der Lage über mehrere Tage. Es brauche also Personal, das in der Lage sei, die Situation zu verfolgen und Prozesse, die im Zweifelsfall schnelle Entscheidungen ermöglichten.
Es empfehle sich in einer solchen Situation nicht alleine zu agieren, sondern mit anderen zusammenzuarbeiten, etwa mit einem Branchen-Cert. Diese verfügten über viele Informationen und seien früher informiert als die Unternehmen. Ausserdem könnten sie dabei helfen, die Situation schnell einzuschätzen, entsprechende Gegenmassnahmen zu entwickeln und die Lage weiter analysieren.