Sunburst-Hack: die Kollateralschäden in der Schweiz

18. Dezember 2020, 15:24
image

Der Angriff zielte wohl auf die USA, die kompromittierte Software ist aber global im Einsatz. Was Kunden tun (sollten), erklären uns Swisscom und Switch.

Die US-Behörde für Cyber- und Infrastruktursicherheit (Cisa) stuft den jüngsten Hackerangriff auf amerikanische Regierungseinrichtungen als "ernste Gefahr" ein. Sie schreibt in einer Warnmitteilung, das Entfernen des Angreifers aus betroffenen Systemen werde voraussichtlich "hochkomplex" sein. Der als Sunburst bezeichnete Cyberangriff dauere mindestens seit März an. Der oder die Täter hätten "Geduld, operative Sicherheit und komplexe Handwerkskunst" bewiesen, so die amerikanische Behörde.
Die 'Washington Post' und die 'New York Times' hatten berichtet, bei den Angreifern handle es sich um Hacker mit Verbindungen zum russischen Geheimdienst. Die russische Regierung weist dies zurück .
Der Hack gelang durch einen Supply-Chain-Angriff auf den Software-Hersteller Solarwinds. In den USA sind unter anderem das Aussenministerium, das Ministerium für Innere Sicherheit und Teile des Pentagons kompromittiert worden. Zudem könnten weltweit 18'000 weitere Solarwinds-Kunden betroffen sein, die mit Backdoors versehene Updates für Solarwinds Orion heruntergeladen haben.
Frank Herberg, Leiter Switch-Cert (Commercial Sectors), erklärt uns, man gehe derzeit davon aus, dass der Angriff vor allem gezielt Einrichtungen in den USA gegolten habe. Viele Unternehmen, an die die Malware verteilt wurde, seien nicht im Fokus des eigentlichen Angriffs gestanden. Diese Einschätzung könne sich aber noch ändern, fügt der Security-Experte an.
Jüngsten Berichten zufolge ist auch Microsoft vom Angriff betroffen. Laut 'Reuters' nutzt das Unternehmen die Netzwerkmanagement-Software von Solarwinds. Unklar bleibt, ob und wie viele Microsoft-Nutzer von dem Angriff in Mitleidenschaft gezogen wurden. Die Redmonder schreiben in einer Stellungnahme, dass die bisherigen Ermittlungen keine Erkenntnisse geliefert hätten, dass die Angreifer die Microsoft-Systeme genutzt hätten, um Kunden zu attackieren.

Schweizer Kunden müssen patchen und überwachen

Selbst wenn sie nicht direkt im Visier der Angreifer standen, müssen Kunden von Solarwind nun schnell patchen und analysieren, ob sie kompromittiert wurden. Solarwinds hat laut unseren Informationen 30 Schweizer Konzerne als Kunden, allerdings weiss man nicht, ob sie ebenfalls Orion im Einsatz haben oder die Updates heruntergeladen haben.
Swisscom bestätigt uns auf Anfrage, dass man Kunde von Solarwinds sei. Die kompromittierte Softwarekomponente von Solarwinds überwache eine Virtualisierungs-Infrastruktur, auf der Microsoft-Produkte für Geschäftskunden laufen. Der Hersteller habe zwei Hotfixes zur Verfügung gestellt und man habe diese Patches bereits installiert.
Unabhängig davon habe Swisscom die Überwachung erweitert. "Unsere Sicherheitsexperten analysieren die betroffenen Systeme und haben keine Indizien für einen Missbrauch gefunden. Die Analysen werden weitergeführt", so Swisscom-Mediensprecher Armin Schädeli.

Zulieferer auch nach dem Sicherheitsniveau bewerten

Sunburst zeige auf, wie abhängig Unternehmen von der Sicherheit bei den Zulieferern geworden sind, so Switch-Mann Herberg. "Wenn Malware als Software-Update, per Update-Mechanismus grossflächig verteilt wird, ist das perfide, da man dieses Updates ja gerade einspielt, um die Sicherheit zu erhöhen."
Angriffe auf Update-Mechanismen, seien aber nicht neu. Durch die starke Verzahnung mit Zulieferern nehme die Komplexität im Unternehmen und das damit verbundene Risiko zu. Firmen seien gut beraten, die Zulieferer auch nach deren Sicherheitsniveau zu beurteilen und nicht nur nach dem Produkt und dessen Preis – Stichwort: Supplier Risk Management. Jedes Unternehmen solle dazu Kriterien entwickeln und im Einkaufsprozess berücksichtigen. Und auch über die Zeit solle man das Sicherheitsniveau der Zulieferer monitoren, so gut es gehe, rät Herberg.
Nachdem ein solcher Angriff bekannt geworden sei, gelte es, schnell zu reagieren und entsprechende Massnahmen einzuleiten. In der Regel entwickle sich die Einschätzung der Lage über mehrere Tage. Es brauche also Personal, das in der Lage sei, die Situation zu verfolgen und Prozesse, die im Zweifelsfall schnelle Entscheidungen ermöglichten.
Es empfehle sich in einer solchen Situation nicht alleine zu agieren, sondern mit anderen zusammenzuarbeiten, etwa mit einem Branchen-Cert. Diese verfügten über viele Informationen und seien früher informiert als die Unternehmen. Ausserdem könnten sie dabei helfen, die Situation schnell einzuschätzen, entsprechende Gegenmassnahmen zu entwickeln und die Lage weiter analysieren.

Loading

Mehr zum Thema

image

Vertragsauflösung in UK: Bei Atos könnten viele Stellen wegfallen

Ein auf potenziell 18 Jahre angelegter Vertrag zwischen der britischen Pensionskasse und dem IT-Dienstleister wurde nach 2 Jahren aufgelöst. Medien gehen von 1000 Stellen aus, die gefährdet sind.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

Swisscom verdient 2022 weniger

Aber das dürften wir eigentlich noch gar nicht wissen. Die Publikation der Geschäftszahlen war ein Versehen.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023