Supply-Chain-Angriff

Solarwinds war nur das Einfallstor – das Ziel bleibt unbekannt

2. März 2021, 10:14 Uhr | Selina Doulah
© Pixabay

Schon im Frühjahr 2020 wurde Solarwinds gehackt, aufgefallen ist es erst im Dezember 2020. Die Ermittlungen werden noch Monate dauern. Spekulationen über die Angreifer und deren Motive gibt es viele, aber Gründe und das Ausmaß sind noch ungewiss.

Im Dezember 2020 vermeldet Fireeye, dass sie schadhafte Software gefunden haben. Microsoft gibt nur kurze Zeit darauf bekannt, ebenfalls betroffen zu sein und Quellcode von Windows-Betriebssystemen eingesehen werden konnten. Ein Update von Solarwinds Plattform Orion hat es möglich gemacht. Da die Schadsoftware direkt in den Code eingebettet und gültig signiert wurde, war sie perfekt getarnt. Kunden, insgesamt etwa 18.000, die das kompromittierte Update installierten, bekamen die Backdoor »Sunburst« frei Haus.

Anbieter zum Thema

zu Matchmaker+

Angriff »seitlich durch die Systeme«

Angreifer konnten sich Vermutungen zufolge seit Ende 2019 unbemerkt seitlich durch die Systeme bewegen. Das genaue Datum und welche Erkundungen durchgeführt wurden, wurde laut Solarwinds noch nicht ermittelt: »Es wird noch Monate dauern, bis wir alles aufgeklärt haben«, sagt Sudhakar Ramakrishna, CEO von Solarwinds in der Pressekonferenz »Our Plan for a Safer Solarwinds and Customer Community« Anfang Februar. Diese Veranstaltung zeigt, wie weitreichend die Folgen des Vorfalls sind und wie professionell der Angriff ausgeführt wurde. Mit Transparenz und täglichen News-Updates via Website und Twitter und enger Zusammenarbeit mit Security-Firmen und Ermittlungsbehörden wollen die Software-Hersteller ihren Ruf schützen. Letztendlich würde die Reaktion auf den Vorfall Solarwinds Millionen von Dollar kosten, meint Ramakrishna, der als nächster Chef von Solarwinds vorgesehen war, als der Hack entdeckt wurde, aber erst am 4. Januar als neuer CEO anfing. Seither hat Ramakrishna externe Security-Experten hinzugezogen, um auf den Einbruch zu reagieren, darunter Chris Krebs, ehemals oberster Cybersecurity-Beauftragter des Department of Homeland Security, und Alex Stamos, ehemals Chief Security Officer von Facebook. Die Ermittler bezeichnen den Hack als einen der schlimmsten, weil er raffiniert und umfangreich war und die vertrauensvolle Beziehung zwischen Technologieanbietern und ihren Produkten untergraben hat.

Ganze Lieferketten werden angegriffen

Die Art dieser Attacke wird als Supply-Chain-Angriff bezeichnet. Eine Gefahr, die immer noch unterschätzt wird. Bei dieser Methode greifen die Hacker wie im Fall von Solarwinds ihre Ziele nicht direkt an, sondern kompromittieren die Software eines Dritten. Sie ist nicht neu, doch dieses Ausmaß lässt vermuten, dass Hacker immer gezielter vorgehen. Solarwinds wird hier nur das Einfallstor gewesen sein, denn ein weltweit vernetztes Software-Unternehmen ist für Cyberkriminelle besonders interessant. Doch bei 18.000 Firmen und Behörden ist das Motiv kaum erkennbar und nicht jede Backdoor würde auch genutzt werden, sind sich Experten sicher. Ein Whitepaper von Controlware zeigt mögliche Detektions- und Reaktionsmöglichkeiten im Kontext einer Supply-Chain-Attacke beziehungsweise von komplexeren Cyberangriffen. Einer der Autoren, Benjamin Heyder, sagt: »Nur wer eine Antwort darauf geben kann, ob und inwiefern das eigene Unternehmen von diesem Hack betroffen ist, kann auch reagieren.« Dafür gilt es Systeme rund um die Uhr und an allen Punkten zu überwachen. Je weiter die Digitalisierung voranschreitet, je globaler, vernetzter und komplexer die Welt wird, desto genauer muss die Security-Hygiene an jedem Punkt gehalten werden, nicht nur an Einfallstoren, sondern immer und überall im System.


  1. Solarwinds war nur das Einfallstor – das Ziel bleibt unbekannt
  2. »Hacker rechtzeitig entdecken und stoppen, da setzt moderne IT-Security an«

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Solarwinds

Weitere Artikel zu Betriebs-Sicherheit

Matchmaker+