Großer Hackerangriff zeigt Bedeutung von IT-Sicherheit
Behörden und Wirtschaft in den USA sind Ziel einer Cyberattacke mit enormem Ausmaß geworden. Begonnen hatte es mit dem amerikanischen Unternehmen Solarwinds, einem Anbieter von Netzwerkmanagement-Software. Hacker erhielten durch manipulierte Updates der Netzwerksoftware „Orion“ Zugriff auf über 18.000 Netzwerke von Unternehmen und Regierungsbehörden. Dieses Vorgehen wird als „Supply-Chain-Angriff“ bezeichnet, wie Matthias Vallentin erklärt. Er ist Gründer und CEO des Hamburger Security-Unternehmens Tenzir. „Es war ein perfekter und sehr schwer zu erkennender Angriff, bei dem nicht der übliche Weg beschritten wurde, über gezieltes Phishing in ein Firmennetz einzudringen.“ Herkömmliche Sicherheitssysteme wie Firewalls seien Vallentin zufolge daher ungeeignet, derartige Attacken abzuwehren. Dafür müssten Unternehmen ihre IT-Systeme nicht nur an einem Punkt nach außen sichern, sondern auch intern, also auf lateraler Ebene.
Der Angriff auf die Solarwinds-Software blieb lange Zeit unentdeckt, Experten gehen davon aus, dass die Hacker ihre Aktion im Frühjahr 2020 starteten. Wer hinter der Cyberattacke steckt, ist derzeit nicht bekannt. Im Fokus der Kriminellen war vermutlich die US-Administration. Medienberichten zufolge haben aber auch deutsche Behörden die Software im Einsatz, so unter anderem das Bundesministerium für Verkehr und digitale Infrastruktur (BMVI). Das BMVI ist nach Aussage gegenüber der DVZ momentan dabei zu ermitteln, in welchem Umfang die Behörde von dem Cyberangriff betroffen ist. Ebenso könnten große Unternehmen mit weitreichenden globalen Netzen gefährdet sein. Deutsche Post DHL und die Deutsche Bahntochter Schenker versicherten gegenüber der DVZ, dass ihre IT-Systeme nicht betroffen seien.
Schutz für kritische Infrastruktur
Theoretisch könnte durch die Attacke auch nach dem IT-Sicherheitsgesetz definierte kritische Infrastruktur gefährdet sein. Dazu gehören unter anderem große Terminals und Umschlaghubs. „Betreiber von kritischer Infrastruktur müssen sich ganz besonders schützen“, betont Vallentin. Die gesetzlichen Vorgaben in Bezug auf Aufzeichnung und Dokumentation reichten möglicherweise nicht aus, denn sie hingen der Realität hinterher. „Es geht darum, die Maßnahmen sinnvoll zu orchestrieren und immer wieder durchzuspielen, ob ein Sicherheitskonzept funktioniert.“ Die Frage sei nicht, ob man überhaupt mal angegriffen werde, sondern wann.
Um ein hohes Maß an IT-Sicherheit zu gewährleisten, müssten sich die Mitarbeiter eines Unternehmens, die mit sicherheitsrelevanten Systemen und Zugängen arbeiten, eigentlich immer so verhalten, als sei die IT-Umgebung kompromittiert, der Angreifer also auch im Netz. „Wenn dieses Zero-Trust-Prinzip häufiger im Einsatz wäre, würde das Ausmaß an Schäden kleiner sein“, sagt Vallentin. Zudem würden stärkere Schutzschilde wie die Zwei-Faktor-Authentifizierung bei Zugangsberechtigungen helfen. Ein Problem sieht der Hamburger Sicherheitsexperte darin, dass Unternehmen zu wenig in die Sicherheit ihrer Systeme investieren. Vallentin zufolge sind es im Schnitt lediglich drei Prozent vom gesamten IT-Budget.
Deutschland nicht im Fokus der Angreifer
Bei dem Angriff auf Solarwinds haben sich die Hacker Zugang verschafft, indem sie quasi eine Hintertür in ein Software-Update für eine Monitoring-Komponente eingebaut haben, über die sie dann Zugang zu den Netzwerken vieler Institutionen und Unternehmen erlangt haben. „Das heißt aber nicht, dass diese Hintertür auch genutzt wird oder wurde“, sagt Sebastian Artz, IT-Sicherheitsexperte des Digitalverbands Bitkom. Seiner Einschätzung nach stand Deutschland nicht im Fokus der Angreifer.
Dennoch zeigt der Fall, wie fragil die IT-Systemlandschaft in Wirtschaft und Verwaltung ist. „Alle Behörden und Unternehmen, die sich noch nicht ausreichend mit dem Thema IT-Sicherheit auseinandergesetzt haben, sollten dies jetzt unbedingt tun“, mahnt Artz. IT-Sicherheit sollte auf Geschäftsführungsebene verankert werden. Die Corona-Krise habe der Digitalisierung einen Schub gegeben. Dies erfordere ein stärkeres Sicherheitsbewusstsein.
