Vertraue niemandem
Vorwort zur Ausgabe
Veröffentlicht in Ausgabe 02/2021 - EDITORIAL
Schon länger wabert die abstrakte Gefahr durch Supply-Chain-Angriffe über den Köpfen von IT-Verantwortlichen. Was bislang eher ins Reich der Geheimdienste gehörte – denken wir an die Crypto AG aus der Schweiz – rückt nun zunehmend auf die Agenda "normaler" Unternehmen. Ein prominentes Beispiel war Petya im Jahr 2017. Bahnhofsanzeigen sponnen, zahlreiche global agierende Firmen wie Maersk oder Renault schlugen sich mit Ransomware-Infektionen in ihren Netzwerken herum. Der Grund: Angreifern gelang es unter anderem, die ukrainische Steuersoftware MeDoc zu infiltrieren und so ihre Schadsoftware über deren reguläre Updates zu verbreiten.
Drei Jahre später: Die IT-Security-Firma FireEye, verschiedene Regierungsorganisationen in den USA – darunter das Finanzministerium – die Softwareriesen Microsoft und VMware sowie Industrieschwergewichte wie Siemens wurden kompromittiert. Um nur die prominentesten Namen zu nennen. Ausgangspunkt dieses Mal: das Administrationstool Orion von SolarWinds. Angeblich im Einsatz bei mehr als 425 der Fortune-500-Unternehmen. Das Ausmaß des Schadens war zum Redaktionsschluss noch nicht abzusehen. So sollen sogar zwei Hacker-Gruppen unabhängig voneinander die in Orion eingebaute Hintertür für ihre Zwecke genutzt haben. Welche weiteren Zugangswege sie sich danach eingerichtet haben, welche Daten bereits abgeflossen sind und ob weitere Softwareprodukte der Opferfirmen manipuliert wurden – unklar.
Vertrauen spielt eine große Rolle bei der Frage, welche Software ein Unternehmen in seinem Netzwerk ausrollt. Das gilt vor allen Dingen, wenn die IT-Produkte sicherheitskritische Aufgaben übernehmen und weitreichenden Zugriff auf die Netzwerke besitzen. Nun zeigt sich: Dieser Vertrauensvorschuss ist alles andere als gerechtfertigt. SolarWinds in dem Beispiel die Schuld zu geben, würde zu kurz greifen. Auch ein Anbieter wie dieser kann sich nur begrenzt gegen gezielte Angriffe wehren. So zeigt sich die Bedeutung des Zero-Trust-Ansatzes. Wir sind auch weiterhin auf Software verschiedenster Anbieter angewiesen. Doch sollten wir diese soweit möglich in ihrem Aktionsradius eingrenzen und gleichzeitig das Netzwerk automatisiert wie permanent auf Anomalien hin überwachen. Und wer nun nach Open-Source-Software ruft, liegt sicher nicht ganz falsch. Doch hatten auch quelloffene, weit verbreitete und sicherheitskritische Werkzeuge schon so manche unangenehme Überraschung in sich.
Schon länger wabert die abstrakte Gefahr durch Supply-Chain-Angriffe über den Köpfen von IT-Verantwortlichen. Was bislang eher ins Reich der Geheimdienste gehörte – denken wir an die Crypto AG aus der Schweiz – rückt nun zunehmend auf die Agenda "normaler" Unternehmen. Ein prominentes Beispiel war Petya im Jahr 2017. Bahnhofsanzeigen sponnen, zahlreiche global agierende Firmen wie Maersk oder Renault schlugen sich mit Ransomware-Infektionen in ihren Netzwerken herum. Der Grund: Angreifern gelang es unter anderem, die ukrainische Steuersoftware MeDoc zu infiltrieren und so ihre Schadsoftware über deren reguläre Updates zu verbreiten.
Drei Jahre später: Die IT-Security-Firma FireEye, verschiedene Regierungsorganisationen in den USA – darunter das Finanzministerium – die Softwareriesen Microsoft und VMware sowie Industrieschwergewichte wie Siemens wurden kompromittiert. Um nur die prominentesten Namen zu nennen. Ausgangspunkt dieses Mal: das Administrationstool Orion von SolarWinds. Angeblich im Einsatz bei mehr als 425 der Fortune-500-Unternehmen. Das Ausmaß des Schadens war zum Redaktionsschluss noch nicht abzusehen. So sollen sogar zwei Hacker-Gruppen unabhängig voneinander die in Orion eingebaute Hintertür für ihre Zwecke genutzt haben. Welche weiteren Zugangswege sie sich danach eingerichtet haben, welche Daten bereits abgeflossen sind und ob weitere Softwareprodukte der Opferfirmen manipuliert wurden – unklar.
Vertrauen spielt eine große Rolle bei der Frage, welche Software ein Unternehmen in seinem Netzwerk ausrollt. Das gilt vor allen Dingen, wenn die IT-Produkte sicherheitskritische Aufgaben übernehmen und weitreichenden Zugriff auf die Netzwerke besitzen. Nun zeigt sich: Dieser Vertrauensvorschuss ist alles andere als gerechtfertigt. SolarWinds in dem Beispiel die Schuld zu geben, würde zu kurz greifen. Auch ein Anbieter wie dieser kann sich nur begrenzt gegen gezielte Angriffe wehren. So zeigt sich die Bedeutung des Zero-Trust-Ansatzes. Wir sind auch weiterhin auf Software verschiedenster Anbieter angewiesen. Doch sollten wir diese soweit möglich in ihrem Aktionsradius eingrenzen und gleichzeitig das Netzwerk automatisiert wie permanent auf Anomalien hin überwachen. Und wer nun nach Open-Source-Software ruft, liegt sicher nicht ganz falsch. Doch hatten auch quelloffene, weit verbreitete und sicherheitskritische Werkzeuge schon so manche unangenehme Überraschung in sich.
Wie Sie Ihre virtuelle Umgebung möglichst sicher ausgestalten, zeigen wir Ihnen in dieser Ausgabe. So lesen Sie beispielsweise, auf welchen Wegen Sie Hyper-V weniger angreifbar machen.
Ihr
Daniel Richey
Stellv. Chefredakteur, Chef vom Dienst