Wenn die Wächter angegriffen werden - genau das ist anfangs Dezember 2020 geschehen: Die  Cybersecurity Firma Fireeye mit Hauptsitz in Milpitas, Kalifornien, wurde erfolgreich von Hackern angegriffen,  wodurch diese sich unerlaubten Zugang zu den sog. Red Team Tools, die von Fireeye zur Simulation von Cyber-Angriffen verwendet werden, verschafften.1

Red Teams haben die Aufgabe, Cyberangriffe gegen Unternehmen und Infrastrukturen zu simulieren, um die Cyberabwehrvorkehrungen zu testen. Die Red Teams schulen die sog. Blue Teams (üblicherweise die Kunden) darin, wie sie sich gegen solche Angriffe wehren können. 

Bei der Untersuchung des Hacks entdeckte Fireeye mitte Dezember 20202, dass einer ihrer Softwareprovider, die erwähnte SolarWinds, die unter anderem Cybersecurity-Dienstleistungen anbietet, unbewusst manipulierte Software an Ihre Kunden verteilt. Dies in der SolarWinds eigenen Software «Orion». Dies führte dazu, die Angreifer mittels der Updatefunktionen der Orion Software von SolarWinds, Trojaner bei Nutzern einzuschleusen. Fireeye nennt den Angriff SUNBURST und vermutet, das nationale Elitehacker dahinterstecken. Bei SUNBURST handelt es sich um einen sogenannten Supply Chain Hack3 Bei diesem Vorgehen erfolgt der unerlaubte Zugang der Hacker zu den Systemen (hier von Fireeye) durch einen Angriff auf die Systeme eines Drittanbieters (vorliegend auf die Software Orion von SolarWinds). 

Die Software von SolarWinds überwacht  die Netzwerke von unzähligen Unternehmen und Organisationen, insbesondere auch von Regierung- und Telekommunikationssorganisationen weltweit.4 Das gefährliche beim Angriff auf die SolarWinds war, dass sich die Angreifer die Netzwerküberwachungsfunktionen von SolarWinds Orion unbemerkt aneignen konnten und eine zentralisierte Sicht auf die Netzwerke der Endkunden erhielten.5 Damit erhielten die Angreifer einen vertieften Einblick und Zugang auf diese Netzwerke, in dem sie sich Administratorenrechte zuteilten. Dies ist besorgniserregend, wenn man in Betracht zieht, dass Kerninfrastrukturen durch Netzwerkstörungen zum Erliegen gebracht werden könnten. Auch ist es ohne Weiteres möglich, dass die Angreifer Zugang zu nicht öffentlichem Material und Unterlagen erhielten.

Noch ist nicht vollständig ersichtlich, welche Konsequenzen für die Unternehmen und Organisationen resultieren. Erste rechtliche Konsequenzen zeichnen sich indes bereits gegen die aktuelle Geschäftsleitung von SolarWinds ab: Einige Aktionäre von SolarWinds, vertreten durch die Anwaltskanzlei Wolf Haldenstein Adler Freeman & Herz LLP6, reichten beim U.S. District Court for the Western District of Texas eine Klage ein. Im Wesentlichen wird vorgebracht, das falsche und irreführende Aussagen gegenüber der US Securities and Exchange Commission (SEC) in Bezug auf die Sicherheitslage gemacht wurden. Es wurden scheinbar nachteilige Tatsachen von der Geschäftsleitung gegenüber der SEC verschwiegen.

Die Unterlassung der rechtzeitigen und transparenten Information in Zusammenhang mit der Schwachstelle soll zu einem erheblichen Schaden der Aktionäre geführt haben, weil der Börsenkurs nach Veröffentlichung der Informationen zum SUNBURST Angriff um 38 % eingebrochen war. Interessanterweise wird in der Klage auch erwähnt, dass SolarWinds elementare Sicherheitsvorkehrungen (zum Beispiel sehr einfache Passwörter für die Update Server) nicht eingehalten hätte, was den Angriff erleichtert haben soll.7

Aus der Klage geht weiter hervor, dass SolarWinds bereits seit Mitte 2020 Kenntnis der Schwachstelle in ihrer Software hatte, jedoch bis zur Meldung der Schwachstelle durch Fireeye, nicht bekannt gegeben wurde. Hinzu kam, dass der infizierte Download noch Tage nach Veröffentlichung des Angriffs nach Aussage mehrerer Cybersecurity Experten auf der Webseite von SolarWinds vorhanden war.8 

• 1. "Unauthorized Access of FireEye Red Team Tools", fireye.com, https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access..., besucht am 10.01.2021.
• 2. "Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor", fireeye.com, https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-le..., besucht am: 08.01.2021
• 3. "CYNET SECURITY CRITICAL UPDATE – SOLARWINDS SUPPLY-CHAIN ATTACK", cynet.com, https://www.cynet.com/blog/cynet-security-critical-update-solarwinds-sup..., besucht am: 10.01.2021.
• 4. "About SolarWinds", solarwinds.com, https://www.solarwinds.com/company/home, besucht am: 10.01.2021.
• 5. "CYNET SECURITY CRITICAL UPDATE – SOLARWINDS SUPPLY-CHAIN ATTACK", cynet.com, https://www.cynet.com/blog/cynet-security-critical-update-solarwinds-sup..., besucht am: 10.01.2021.
• 6. "SOLARWINDS CORPORATION CLASS ACTION ALERT: Wolf Haldenstein Adler Freeman & Herz LLP announces that a securities class action lawsuit has been filed in the United States District Court for the Western District of Texas on behalf of those who acquired SolarWinds Corporation" vom 08.01.2021, https://www.globenewswire.com, https://www.globenewswire.com/news-release/2021/01/08/2155782/0/en/SOLAR..., besucht am 10.01.2021.
• 7. "SolarWinds Hit With Class-Action Lawsuit Alleging Securities Violations", vom 04.01.2021, Michael Novinson, crn.com, https://www.crn.com/news/security/solarwinds-hit-with-class-action-lawsu..., besucht am: 10.01.2021.
• 8. "Backdoored Orion binary still available on SolarWinds website" vom 15.12.2021, Sam Varghese, itwire.com, https://www.itwire.com/security/backdoored-orion-binary-still-available-..., besucht am 10.01.2021.