Cyberattacken: Jede Organisation muss davon ausgehen, dass Kriminelle eines Tages in ihr Netzwerk eindringen – und sich vorbereiten
Der Schock sitzt tief. Nachdem – vermutlich russische – Hacker über den IT-Anbieter Solarwinds in die Netzwerke von Hunderten Behörden und Unternehmen in den USA und anderswo eindringen konnten, läuft zwar noch die Bestandsaufnahme.
IT-Experten aber reicht das bereits Bekannte, um sich in Superlativen auszudrücken: Sie sind sich einig, dass die Dimensionen dieses Cyberangriffs weitreichende, bislang nicht gekannte Ausmaße annehmen. Die amerikanische Cybersicherheitsbehörde CISA etwa warnt vor „gravierenden Risiken“ für die US-Exekutive auf allen Ebenen.
Als Ziele galten den Tätern insbesondere amerikanische Institutionen und Konzerne. Aus dem Fall ergibt sich aber eine unbequeme Erkenntnis mit globaler Gültigkeit: Die moderne IT ist durch die Abhängigkeiten von Lieferanten und Dienstleistern so komplex, dass einzelne Organisationen schwerlich die Kontrolle bewahren können. Selbst wenn sie ein durchdachtes Konzept für den Schutz ihrer Systeme haben.
Der Kampf gegen solche Bedrohungen ist so komplex wie die Lieferkette selbst. Natürlich muss die Technologiebranche dringend nachbessern, auch bei vielen anderen Herstellern gibt es Sicherheitsprobleme. Darauf allein allerdings sollten sich Politik und Wirtschaft nicht verlassen. Um staatliche Spionage abzuwehren – und ebenso kriminelle Hacker –, braucht es mehr Kooperation, und zwar auf allen Ebenen.
Bis vor Kurzem war Solarwinds weitgehend unbekannt
Bis vor einigen Wochen war Solarwinds nur Spezialisten ein Begriff. Das Unternehmen entwickelt Lösungen für das Management von IT-Netzwerken. In dieser Nische gilt es bislang als führend: So nutzen mehr als 400 der Fortune 500 die Systeme des Softwareherstellers, zudem zahlreiche Behörden und Ministerien. „Wir verwalten die Ausrüstung von jedem“, sagte der Chef im vergangenen Jahr, als der Cyberangriff noch nicht ruchbar geworden war.
Um die Absicherung der eigenen Systeme hat sich das Unternehmen indes nicht ausreichend gekümmert. Die Hacker konnten offenbar ein Update von Solarwinds als trojanisches Pferd nutzen, um in die Systeme von zahlreichen Organisationen einzudringen, vom FBI übers Finanzministerium bis zum Amt für die Sicherung von Nuklearwaffen, von Fireeye über Intel bis Microsoft. Auch deutsche Firmen wie Siemens und die Telekom sind betroffen.
Über den IT-Anbieter sind Hacker in die Netzwerke von Hunderten Behörden und Unternehmen in den USA und anderswo eingedrungen.
Foto: BloombergDas Unternehmen aus Texas mag den Schutz seiner Systeme lax gehandhabt haben, Sicherheitsprobleme gibt es indes bei praktisch allen Herstellern von IT-Ausrüstung. So konnten Kriminelle im vergangenen Jahr eine Lücke in der Fernwartungssoftware von Citrix ausnutzen, mit teils drastischen Folgen. Und Zyxel, ein Hersteller von Firewalls Netzwerkausrüstung, musste jüngst zugeben, dass bestimmte Produkte eine fest eingebaute Hintertür enthalten.
Diese Situation stellt Unternehmen, Behörden und andere Organisationen vor ein Dilemma. Auf solche Komponenten verzichten können sie kaum, wenn sie nicht auf Schreibmaschine und Rohrpost zurückgreifen wollen. Die IT-Umgebung vollständig gegen Eindringlinge abzusichern ist indes kaum möglich – zu komplex, zu heterogen ist die Technik.
In der IT-Sicherheitsszene hat sich deswegen das Paradigma der Resilienz etabliert. Jede Organisation muss davon ausgehen, dass Kriminelle oder Spione eines Tages in das Netzwerk eindringen – und sich darauf vorbereiten, ob mit einer Alarmanlage für digitale Zugriffe, einer systematischen Datensicherung oder einer Cyberversicherung.
Eine aktive Rolle des Staats
Wohlgemerkt: Für die meisten steht dabei nicht die Abwehr von staatlichen Schnüfflern im Mittelpunkt. Konkreter ist für das Gros der Unternehmen die Gefahr durch Kriminelle, die beispielsweise zentrale Systeme verschlüsseln und für die Freigabe ein Lösegeld verlangen, wie es in den vergangenen Monaten beispielsweise bei Symrise, der Software AG und der Funke-Gruppe passiert ist. Diese Fälle zeigen, wie viel zu tun ist.
Den Kampf gegen Spione und Kriminelle können Unternehmen jedoch nicht allein führen. Gerade staatliche Gruppen verfügen über Wissen, Geld und Geduld – ob aus Russland, China, dem Iran oder den USA. Ihre Operationen zu erkennen und ihre Taktiken zu verstehen ist komplex, nur wenige Spezialanbieter verstehen sich darauf.
Um das Sicherheitsniveau zu heben, braucht es mehr Kooperation auch unter den Unternehmen. In der Deutschen Cyber-Sicherheitsorganisation (DCSO) tauschen beispielsweise Konzerne wie BASF, Bayer und Volkswagen Wissen über Angriffe, aber auch Informationen über IT-Sicherheitsprodukte aus. Und die Autoindustrie verlangt, dass Zulieferer sich einer Prüfung unterziehen – Produktionsunternehmen ebenso wie Softwareanbieter. Das sind erste, vorbildliche Ansätze.
Auch der Staat muss eine aktivere Rolle spielen. Ob es sinnvoll ist, die Softwarehersteller für Sicherheitslücken haftbar zu machen, ist zwar umstritten. Doch es gibt andere Möglichkeiten. Der – äußerst umstrittene – Entwurf für das neue IT-Sicherheitsgesetz sieht beispielsweise vor, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Systeme untersuchen und dazu von den Herstellern Informationen einholen darf.
Die Beamten werden kaum alle Produkte prüfen können, aber vielleicht für mehr Transparenz sorgen und ein Signal an die Hersteller senden. Nötig wäre es.