{"id":251342,"date":"2021-03-22T15:47:35","date_gmt":"2021-03-22T14:47:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251342"},"modified":"2021-03-30T00:47:20","modified_gmt":"2021-03-29T22:47:20","slug":"solarwinds-hackerangriff-300-deutsche-ziele-im-fokus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/22\/solarwinds-hackerangriff-300-deutsche-ziele-im-fokus\/","title":{"rendered":"SolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus"},"content":{"rendered":"

So ganz langsam kommt Licht ins Dunkel des sogenannten SolarWinds-Hacks durch mutma\u00dflich russische Angreifer. War erst von um die sechs Beh\u00f6rden in Deutschland als Opfer des SolarBurst-Hacks die Rede, geht man jetzt von 300 erfolgreich angegriffenen deutschen Zielen aus. Immerhin gibt es jetzt von 300 Angeschriebenen eine R\u00fcckmeldung von 13 Stellen. Zudem habe ich mal eine Information zu einem Scanner, um Aktivit\u00e4ten der SolarBurst-Hacker in Verbindung mit der SolarWinds-Backdoor aufzusp\u00fcren.<\/p>\n

<\/p>\n

Der Hack und die Folgen<\/h2>\n

\"\"Es ist gef\u00fchlt schon wieder Lichtjahre her, als der Solarigate-Vorfall die Gem\u00fcter der IT-Welt bewegte. Mutma\u00dflich russischen Staatshackern ist es gelungen, die Orion-Software des US-Herstellers SolarWinds zu kompromittieren. Anschlie\u00dfend wurde der Trojaner samt Backdoor durch ein von SolarWinds ausgerollte Updates in Zehntausende Rechner einschleusen. Dadurch wurden in Beh\u00f6rden, Organisationen und Firmen \u00fcber die SUNBURST-Schwachstelle angreifbar. Zudem gelang es weiteren Angreifern \u00fcber nicht geschlossene Schwachstellen in die Netzwerke der SolarWinds-Kunden einzudringen und die IT-Infrastruktur auszusp\u00e4hen.<\/p>\n

Die Netzwerk- und Sicherheitsprodukte von SolarWinds<\/a> werden von mehr als 300.000 Kunden weltweit eingesetzt, darunter Top Unternehmen, Regierungsbeh\u00f6rden und Bildungseinrichtungen. SolarWinds beliefert au\u00dferdem die gro\u00dfen US-Telekommunikationsunternehmen, alle f\u00fcnf Zweige des US-Milit\u00e4rs und andere prominente Regierungsorganisationen wie das Pentagon, das Au\u00dfenministerium, die NASA, die Nationale Sicherheitsbeh\u00f6rde (NSA), die Post, die NOAA, das Justizministerium und das B\u00fcro des Pr\u00e4sidenten der Vereinigten Staaten.<\/p>\n

In den USA wurden hunderte Beh\u00f6rden und gro\u00dfe Firmen Opfer des Massenhacks – die Aufarbeitung l\u00e4uft noch immer (siehe auch die Artikel am Beitragsende). Vom BSI hie\u00df es, dass in Deutschland mutma\u00dflich nur sechs Beh\u00f6rden im Fokus der Hacker gestanden h\u00e4tten. Ein Trugschluss, wie sich jetzt herausstellt.<\/p>\n

Um die 300 deutsche Ziele<\/h3>\n

Der Gr\u00fcnenabgeordneten Konstantin von Notz hatte eine Kleine Anfrage an die deutsche Bundesregierung gestellt und bekam Antwort. Von Notz hat diese Informationen dem Spiegel<\/a> zur Einsicht vorgelegt. Die deutsche Bundesregierung nennt zwar keine Namen, geht aber davon aus, dass rund 300 Stellen in Deutschland von der Attacke betroffen sein k\u00f6nnten<\/em>. Es handelt sich um Kunden von SolarWinds, die auf ihren IT-Systemen die Orion-Software installiert hatten. Die Liste wurde den Deutschen aus den USA \u00fcbermittelt.<\/p>\n

Das BSI und die deutsche Br\u00e4sigkeit<\/h3>\n

Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) informierte alle deutschen Betroffenen am 11. Februar 2021 \u00fcber diese Erkenntnis – sprich: Dass auf den betreffenden Systemen eine Hintert\u00fcr existiert. \u00dcber diese k\u00f6nnen Hacker in den IT-Systemen dieser Stellen ein- und ausgehen und bei Bedarf auch Daten abgreifen oder weitere Schadsoftware installieren.<\/p>\n

Interessant ist daher, ob auch wirklich Zugriffe auf die IT-Systeme unter Ausnutzung der Backdoor vorgekommen wurden. L\u00e4sst sich mit Zugriffsprotokollen feststellen. Problem ist der \"gesehen, gelacht, gelocht und abgeheftet\"-Effekt in br\u00e4sigen deutschen Beh\u00f6rden und Gro\u00dfunternehmen. Von den 300 explizit Informierten haben sich sagenhafte 13 Stellen beim BSI zur\u00fcckgemeldet, so die Antwort der Bundesregierung. Alle R\u00fcckmeldenden konnten Entwarnung geben, weil sie nicht \u00fcber die vorhandene Backdoor attackiert worden sind.<\/p>\n

Die Bundesregierung hat das wohl im Bundeskanzleramt thematisiert. Aber so richtig erf\u00e4hrt man nicht, ob \u00fcberhaupt etwas passierte – Beamten-Mikado: Wer zuerst zuckt, hat verloren. M\u00f6glicherweise steckt den Entscheidungstr\u00e4gern ja noch der Exchange-Schock in den Knochen, oder sie w\u00fchlen sich aktuell durch die Vertr\u00e4ge, um endlich auf Microsoft 365 migrieren zu k\u00f6nnen. Konstantin von Notz kritisiert:<\/p>\n

Angesichts dieser beiden verheerenden IT-Sicherheitsvorf\u00e4lle innerhalb k\u00fcrzester Zeit m\u00fcssen eigentlich alle Alarmlampen der Bundesregierung an sein.\u00a0 Stattdessen taucht Horst Seehofer komplett ab und dokumentiert damit, dass eines der wichtigsten sicherheitspolitischen Themen unserer Zeit bei ihm in extrem schlechten H\u00e4nden ist.<\/p><\/blockquote>\n

Gut, einerseits ist (Q)Wahlkampf – und Hotte Seehofer muss nur noch ein paar Tage \"auf Rente\" \u00fcberstehen. Dann werden die Karten eh neu gemischt. Je nach im September gew\u00e4hlter Konstellation bekommt dann die \"Taskforce Antigentest\", die ja aus agilen jungen Politikern wie Scheuer und Spahn besteht, einen neuen Verwendungszweck. Ok, war jetzt unfaire Dialektik, hab mich als Corona-Impf-Erwartender dazu hinrei\u00dfen lassen. Jedenfalls ist der Wunsch des Gr\u00fcnen-Politikers von Notz nach mehr Aufkl\u00e4rung f\u00fcr mich mehr als berechtigt. Die Regierung habe auf zahlreiche seiner Fragen \u2013 darunter auch die, was im Kanzleramt zu dem Vorfall besprochen wurde \u2013 eine substanzielle Antwort verweigert, bem\u00e4ngelt der Gr\u00fcnenpolitiker gegen\u00fcber dem Spiegel.<\/p>\n

Die gute Nachricht des Tages: Den Informationen des Spiegels nach laufen in Deutschland mehrere Ermittlungsverfahren wegen des Hacking-Angriffs. Sowohl bei den Cybercrime-Experten der Zentralstelle zur Bek\u00e4mpfung der Internetkriminalit\u00e4t in Frankfurt am Main als auch bei weiteren Staatsanwaltschaften auf L\u00e4nderebene w\u00fcrden Ermittlungen gef\u00fchrt – sagt die Bundesregierung – und die muss es ja wissen.<\/p>\n

CISA ver\u00f6ffentlicht SolarWinds Detection-Tool<\/h2>\n

Zum Abschluss noch eine Information f\u00fcr Administratoren, in deren Verantwortungsbereich Orion-Systeme von Solarwinds fallen. So etwas, was mehr Hand und Fu\u00df hat: Die US Cybersecurity and Infrastructure Security Agency (CISA) hat ein Tool mit dem Namen CISA Hunt and Incident Response Program<\/a> (CHIRP) ver\u00f6ffentlicht. CHIRP ist ein Python-basiertes forensisches Sammeltool, welches\u00a0 b\u00f6sartige Aktivit\u00e4ten nach der Kompromittierung in Verbindung mit den SolarWinds-Hackern in On-Premises-Unternehmensumgebungen aufsp\u00fcren kann.<\/p>\n

\"CISA<\/a><\/p>\n

Die Kollegen von Bleeping Computer haben vorige Woche in diesem Artikel<\/a> weitere Details zu diesem Tool ver\u00f6ffentlicht. Diese f\u00fchrt nach dem Start folgende Operationen durch:<\/p>\n