Falls Ihr's nicht mitgekriegt habt: der Solarwinds-Fall dürfte der grösste bekannt gewordene Hack in der Geschichte sein
Es wurde die Update-Chain des IT-Verwaltungssoftware-Herstellers Solarwinds so aufgemacht, dass es gelang, Updates für dessen Windows-Verwaltungssoftware Orion mit Schadsoftware zu infizieren. Sprich: die Schadsoftware in die Serversysteme der Kunden kommt mit dem Update der Verwaltungssoftware. Siehe dazu auch den Activity Alert der CISA (Sicherungskopie).
Betroffene Kunden sind 300'000 Unternehmen und Behörden weltweit aus 190 Ländern, darunter 499 der 500 grössten Unternehmen der Welt. Betroffen sind auch Behörden wie die US Treasury oder die US-Verwaltung der Atomwaffen. Kurz: betroffen sind praktisch alle grösseren Unternehmen und Behörden der Welt.
Bei all diesen Unternehmen lief Schadsoftware, die Software aus dem Internet nachgeladen hat. Sprich: Serversysteme all dieser Kunden sind nun zudem mit weiterer Schadsoftware verwanzt und mit Backdoors durchlöchert, von denen keiner weiss, was es da alles gibt. Das einzige, was einen sicheren Betrieb wieder möglich machen kann, ist, wenn alle 300'000 Organisationen ihre Serversysteme zurücksetzen und neu installieren.
Was man daraus lernen kann ist erneut, wie anfällig Monokulturen sind. Ein Loch und es heisst: “the winner takes it all”. Und noch etwas sollte man lernen: ein Update-Kanal zu einem Hersteller ist ein Sicherheitsrisiko. Man vertraut dann nicht nur der Softwarekunst des Herstellers, dass dessen Produkte einwandfrei funktionieren. Sondern man vertraut darüber hinaus dem Softwarehersteller, dass er in der Lage ist, seinen Update-Kanal sicher zu gestalten und zu verteidigen.
Letzteres dürfte eine Fehlannahme bei den meisten Softwareherstellern sein. Update-Kanäle sind legendär unsicher bei vielen Herstellern. Das wird also zukünftig ein Thema geben müssen. Zudem sollten sich die Unternehmen Gedanken machen, ob die zentrale Steuerung von IT-Systemen eine gute Idee ist. Denn sie führt sicherheitstechnisch zwingend zu diesem Problem.