SolarWinds-Attacke durch schwaches Passwort

Der Angriff auf SolarWinds soll laut dem ehemaligen CEO des Unternehmens durch die Naivität eines Praktikanten ermöglicht worden sein, der sein Passwort auf Github speicherte.

Wir wissen immer noch nicht, wie schlimm die Sicherheitslücke bei SolarWinds ist. Wir wissen jedoch, dass über hundert US-Regierungsbehörden und Unternehmen geknackt wurden. Der Präsident von Microsoft, Brad Smith, sagte, dass es sich um „den größten und raffiniertesten Angriff handelt, den die Welt je gesehen hat“, mit mehr als tausend Hackern dahinter.

Aber laut dem ehemaligen SolarWinds-CEO Kevin Thompson soll alles damit begonnen haben könnte, dass ein Praktikant ein wichtiges Passwort auf „solarwinds123″ gesetzt hat. Anschließend  teilte der Praktikant das Passwort auf GitHub, um die Sache noch schlimmer zu machen.

Thompson sagte bei einer gemeinsamen Anhörung der Ausschüsse für Aufsicht und Innere Sicherheit des US-Repräsentantenhauses: „Sie haben gegen unsere Passwortrichtlinien verstoßen und dieses Passwort auf ihrem eigenen privaten Github-Konto veröffentlicht. Sobald es identifiziert und meinem Sicherheitsteam zur Kenntnis gebracht wurde, wurde es entfernt.“

Die Abgeordnete Katie Porter, Demokratin aus Kalifornien, erwiderte: „Ich habe ein stärkeres Passwort als ’solarwinds123′, um meine Kinder davon abzuhalten, zu viel YouTube auf ihrem iPad zu schauen.“

Während SolarWinds-Führungskräfte sagten, dass das Problem innerhalb weniger Tage nach seiner Entdeckung behoben wurde, gestand der derzeitige SolarWinds-CEO Sudhakar Ramakrishna, dass das Passwort bereits seit 2017 in Gebrauch ist.

Vinoth Kumar, der Sicherheitsforscher, der das durchgesickerte Passwort entdeckt hatte, sagte, dass SolarWinds das Problem erst im November 2019 behoben habe. Fast zwei Jahre sind zu lang, um ein wichtiges Passwort verkommen zu lassen. Außerdem muss man sich fragen, was ein Praktikant überhaupt damit zu tun hatte, ein wichtiges Passwort zu setzen. Während SolarWinds nicht sicher ist, dass diese Passwortpanne der entscheidende Faktor war, ist es  ein  schlechtes Zeichen für eine Sicherheitskultur, das solch ein grundlegender Fehler ermöglicht wurde.

Mit Blick auf die Zukunft schlug Smith vor dem US-Senat vor, dass die Bundesregierung in Zukunft eine „Benachrichtigungspflicht für Unternehmen im privaten Sektor“ einführen sollte. Allzu oft erfährt niemand von Sicherheitsverletzungen in Unternehmen, bis sie so aufgeflogen sind, wie es bei SolarWinds der Fall war. Smith sieht dies als „der einzige Weg, wie wir das Land schützen werden.“

Der CEO der Sicherheitsfirma FireEye Kevin Mandia erklärte bei der Anhörung im Repräsentantenhaus: „Die Quintessenz: Wir werden vielleicht nie den vollen Umfang und das Ausmaß des Schadens erkennen, und wir werden vielleicht nie den vollen Umfang und das Ausmaß ermessen, wie die gestohlenen Informationen einem Gegner nützen.“

Mandia fügte hinzu: „Ich bin nicht davon überzeugt, dass die Einhaltung irgendwelcher Standards oder Gesetze den russischen Auslandsgeheimdienst davon abhalten würde, erfolgreich in die Organisation einzudringen.“

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

 

 

Themenseiten: FireEye, Passwort, SolarWinds

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu SolarWinds-Attacke durch schwaches Passwort

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *