WatchGuard Blog

Sonnenbrandgefahr!

Die Schadsoftware Sunburst (zu deutsch „plötzlicher Sonnenschein“), die im Zuge der SolarWinds-Cyberattacke im vergangenen Dezember traurige Berühmtheit erlangte, sorgte bei den betroffenen Unternehmen wie Behörden sicher für alles andere als ein angenehm warmes Gefühl auf der Haut. Vielmehr ist Frösteln angesagt: Denn die Schadensbewertung des letzten großen Cyberangriffs im Jahr 2020 hält nach wie vor an. Klar ist, dass dieser Vorfall allein schon aufgrund des Ausmaßes in die Geschichtsbücher eingehen wird. Zudem fielen Sunburst viele Organisationen zum Opfer, die eigentlich über die besten Sicherheitsmaßnahmen überhaupt verfügen sollten: vom US-amerikanischen Energieministerium mitsamt seiner untergeordneten National Nuclear Security Administration, die das Atomwaffenarsenal der USA verwaltet, bis hin zu großen Technologie-Konzernen wie Microsoft oder Intel.

Schwierig zu erkennen

Die besondere Gefahr moderner Malware zeigt sich daran par excellence: Hacker setzen alles daran, dass diese so lange wie möglich unentdeckt bleibt. In dem Fall führte der Weg der Cyberkriminellen, die nach wie vor in Russland vermutet werden, über ein manipuliertes Update der verbreiteten Netzwerk-Management-Software „Orion“ von SolarWinds in die Computersysteme der Anwender. Wie von SolarWinds selbst bestätigt, wurde dieses von insgesamt 18.000 Kunden weltweit heruntergeladen. Es ist davon auszugehen, dass die auf diese Weise eingeschleuste Malware bereits seit Frühjahr 2020 ihr Unwesen treibt – umso erstaunlicher, dass ihr erst so spät auf die Schliche gekommen wurde.

Trojaner in legitimer Software

Auffällig am per Orion-Software-Update eingeschleusten Trojaner ist also vor allem seine Unauffälligkeit. Es zeigt sich einmal mehr, dass falsches Vertrauen gegenüber bekannten Anwendungen durchaus zur Stolperfalle werden kann – zumal das „Kapern“ legitimer Systeme im Zuge von Cyberattacken stark im Trend liegt. So bringt beispielsweise eine Studie des Ponemon Institute aus dem Jahr 2020 ans Licht, dass bei 51 Prozent der Unternehmen, die aufgrund eines Cyberangriffsvorfalls Versicherungsansprüche geltend gemacht hatten, ein Dritter im Spiel war – wobei es sich in der Regel um einen Partner oder Technologiedienstleister handelte. Und obwohl immer noch an den Sunburst-Details geforscht wird, ist eine Tatsache seit Langem offenkundig: Die Malware sammelte nach ihrer Auslieferung per Orion-Update zunächst in aller Ruhe Daten auf „Wirtseite“, die nach 10 bis 14 Tagen an einen Command and Control (C&C)-Server verschickt wurden und den Angreifern dazu dienten, die für sie lohnenswerten Ziele zu bestimmen. Alles völlig ungestört.

Standardmäßig kein Vertrauen

Am konkreten Fall wird deutlich, dass sich Unternehmen niemals in Sicherheit wiegen sollten und besondere Tücke von Einfallstüren ausgeht, die nicht unmittelbar zum Schutzbereich der eigenen Organisation gehören. Es gilt mehr denn je, auch die Komponenten von Lieferanten oder Dienstleistern im Auge zu behalten. Software sollte nicht per se vertraut werden, nur weil diese aus vermeintlich sicherer Quelle stammt. Das SolarWinds-Szenario unterstreicht, dass es mittlerweile unerlässlich ist, einen Cybersecurity-Ansatz zu implementieren, bei dem standardmäßig alle Anwendungen als potenziell gefährlich gelten und entsprechende Aktivitäten umfangreicher Analyse unterzogen werden. Zero-Trust-Strategien, wie sie Panda Adaptive Defense bietet, stellen eine essenzielle Waffe im Kampf gegen die digitale Bedrohung dar und reduzieren das Risiko, dass sich die Gefahr über legitime Kanäle von Dritten einschleicht, zusätzlich.