Warum der Überwacher überwacht werden mussDer Solarwinds Hack, die Folgen und was wir daraus lernen können

Was ist passiert?

Ein Hersteller erfolgreicher Überwachungssoftware hat lange Zeit unbemerkt die eigenen Kunden mit einer korrupten Software versorgt, die eine Hintertür infiltriert. Den Urhebern dieser Hintertür hat es erlaubt, der Software zugängliche Daten zu extrahieren. Natürlich kann man jetzt den Finger heben, laut buhen und auf die eigene (natürlich bessere und sicherere) Konkurrenzlösung verweisen. Oder ein snobbiges „War ja klar“ hinterlassen. Man kann sich aber auch ernsthaft und konstruktiv mit dem Ereignis auseinandersetzen und für sich (oder andere) Maßnahmen ableiten, die das Risiko minimieren.

Warum das Risiko nur minimieren?

Vor diesem Ereignis hätten die wenigsten erwartet, dass sich diese Art des Hacks ereignet. Außer eine Handvoll von Experten, die dann eher belächelt wurden. Es gilt also: Es gibt nichts, was nicht passiert oder passieren wird! Zumindest in der IT und ins besonders in der IT-Sicherheit. Der oft zitierte Satz „Die Frage ist nicht, ob man gehackt wird, sondern wann.“ hat sich einmal mehr bewahrheitet. Daher lässt sich das Risiko nur minimieren und nicht eliminieren.

Wie und wo passierte der Hack?

Über einen „Supply Chain Hack“ ist ein infiltrierender Softwarebaustein in das Produkt „ORION“ von Solarwinds unerkannt integriert worden. 

Was ist ein Supply Chain Hack?

Software besteht heutzutage aus verschiedenen Komponenten, die gerne wiederverwendet werden. Entwickler möchten für wiederkehrende funktionale Anforderungen nicht jedes Mal neuen Code entwickeln. Also greift man auf Bibliotheken zurück, die diese Aufgaben bereits erfüllen und integriert diese. Die einmalige Integration führt zu einer vielfältigen Verbreitung, wenn Anwender diese Software installieren. Anders als Hardware benötigt Software nur eine Quelle (Source), um vielfältig kopiert und eingesetzt werden zu können. Hardware muss von Grund auf jedes Mal neu produziert werden.

Warum Solarwinds?

Solarwinds hat den Fehler gemacht und den Server, der den Kunden zugänglich gemacht wird, um Software zu beziehen, nur unzureichend geschützt. Ein zu einfaches Kennwort hat den Zugang von außen mit privilegierten Rechten zugelassen, sodass die Hacker sehr einfach die korrupte Software hinterlegen konnten.

Mit welchen Folgen?

Ca. 18.000 Installationen sind von diesem Hack betroffen. Die infizierte Software „Orion“ ist ein (vielleicht beabsichtigter) Glücksgriff: Es handelt sich um eine Überwachungssoftware für Netzwerke. Bei Nutzung aller Funktionen lassen sich damit Netzwerkteilnehmer (Computer, Smartphones, Tablets, Server etc.), Applikationen (Mail, Dateiserver, ERP/CRM Systeme etc.) und der Datenfluss zwischen diesen Endpunkten bis ins Detail überwachen und analysieren. Der Hack sorgt dafür, dass die Hacker diese gesammelten Daten einsehen und nutzen können, weil die Software natürlich entsprechende Privilegien benötigt, um die Mehrwerte der eigenen Funktionen auch nutzen zu können.

Wie wurde dieser Hack entdeckt?

Fireye, einerseits ebenfalls Softwarehersteller für IT-Sicherheitslösungen, andererseits auch Kunde hat durch Zufall die Sicherheitslücke entdeckt. Nachdem offenbar Anmeldeinformationen abhandengekommen sind, wurden diese durch die Hacker genutzt, um sich von außen in das Firmennetzwerk von Fireye anzumelden. Eine andere Überwachungssoftware hat diesen Anmeldeversuch als untypisch erkannt und einen Alarm ausgelöst. Nach intensiver Untersuchung ist man auf die Ursache gestoßen, dass „Orion“ der Firma Solarwinds die Lücke entblößt hat.

Was können wir daraus lernen?

Viel Gutes und weniger Gutes. 

Beginnen wir mit den schlechten Nachrichten: Nichts ist jemals zu 100% sicher. Dieser Tatsache sollten wir uns immer bewußt sein und nach dieser Maxime handeln. Bevor nun der „mahnende Zeigefinger“ gehoben wird, sollte wir uns der Vor- und Nachteil bewusst sein, damit zu den positiven Aspekten:

  • Wer überwacht den Überwacher? „Orion“ ist sicherlich eine große Hilfe in der Netzwerküberwachung. Allerdings wurde aus meiner Sicht versäumt, ergänzende Maßnahmen zu implementieren, um die Qualität der Überwachung zu kontrollieren. „Orion“ ist eine gesamtheitliche Lösung, d.h. es wird ein breites Spektrum der IT-Infrastruktur abgedeckt. Der Vorteil ist somit die umfassende Datensammlung und Analyse. Allerdings ist der Nachteil die fehlende Tiefe in einzelnen sicherheitskritischen Teilbereichen. Manche Informationen müssen dediziert analysiert und korreliert werden.

  • Mit welchem Recht erlaubt sich…?  „Orion“ benötigt per se schon umfassende Berechtigungen innerhalb der Infrastruktur und ist damit per Definition ein privilegierter Benutzer mit administrator-ähnlichen Rechten über weite Teile der IT-Landschaft. Auch wenn man jetzt denken könnte „Das ist doch nur ein System“, sollte man immer bedenken, dass hinter dem System Menschen sitzen und somit indirekt Zugriff auf hochsensible Daten und Informationen erhalten können.

Was können wir ändern, um das Risiko zu minimieren?

Bei operativen Prozessen in der Unternehmenskultur ist es schon längst Standard: Das 4-Augen-Prinzip. Wenn ein Sachbearbeiter eine hohe Summe zur Zahlung freigeben möchte, wird meistens die Genehmigung weiterer Verantwortlicher eingeholt. Dieses Prinzip muss auch im Bereich der Datensicherheit gelten:

  1. Kontrolle des Datenflusses von/zu der Überwachungssoftware durch eine weitere unabhängige Instanz. Idealerweise integriert sich die Prüfung und Überwachung in eine bestehende SIEM-Lösung, um die gesammelten Daten in der Gesamtheit besser korrelieren zu können.
  2. Die Verwendung der durch „Orion“ gesammelten Daten sollte streng reglementiert und kontrolliert werden. Idealerweise wird zum Zeitpunkt des Datenzugriffs der Zugriff auf Rechtmäßigkeit überprüft und ggf. abgelehnt. Auch hier sollte der Einsatz einer SIEM-Lösung ernsthaft in Beracht gezogen werden.
  3. Der Zugriff (in diesem Fall durch „Orion“) auf die Infrastruktur sollte im Sinne einer privilegierten Maßnahme entsprechend administriert werden: Dies betrifft einerseits das konsequentes Hinterfragen der Einzelberechtigungen nach dem Minimal-Prinzip, andererseits die fortlaufende Änderung von Kennwörtern für privilegierte Dienstkonten über eine Privileged Access Management Lösung (PAM)
  4. Die Datensammlung sollte optimal definiert und gefiltert werden. Wenn möglich sollten Daten die Rückschlüsse auf sensible Daten wie bspw. Benutzernamen und/oder Kennwörter zulassen, vermieden werden.

Sollte es zu einem Datenverlust kommen, besteht nur die Möglichkeit die Verwendung der Daten einzuschränken. Gerade Benutzername und Kennwort sind hochsensible und sehr kritische Informationen. Da der Hacker sich selten innerhalb des Unternehmensnetzwerks befindet, ist meine Empfehlung die Strategie für Access Security anzupassen. Ein sehr probates Mittel ist die Mehrfaktorauthentifizierung, damit wird die alleinige Kenntnis des Benutzernamens und Kennwortes wertlos, da ein weiterer Faktor erforderlich ist, der dem Hacker unbekannt ist, bspw. ein SMS-Token oder Einmalpasscode.

Fazit

Es gibt kein allumfassendes Patentrezept. Vielmehr gilt es sich eine Strategie entsprechend der unternehmensspezifischen Eventualitäten zu erarbeiten und umzusetzen. Die Leitlinien sollten immer sein:

  • Nichts ist perfekt, Fehler können immer passieren. 100% Sicherheit erreicht man nicht, aber man kann sich annähern.
  • Vertrauen ist gut, Kontrolle ist besser. Eingesetzte Lösungen für neuralgische Themen sollten immer mehrfach abgesichert sein.
  • IT-Security ist nicht der Einsatz einer einzigen Lösung, sondern ein bedarfsgerechter Architekturansatz, der die Gesamtheit der IT-Infrastruktur, der beteiligten Personen und Systeme, sowie der individuellen neuralgischen Punkte inkludiert.

Sollte Ihr Interesse geweckt worden sein: Sprechen Sie uns an. 

 

Autor

Dirk Wahlefeld
Principal Consultant / Business AnalystTIMETOACT Software & Consulting GmbHKontakt