SolarWinds-Attacke durch schwaches Passwort

Wir wissen immer noch nicht, wie schlimm die Sicherheitslücke bei SolarWinds ist. Wir wissen jedoch, dass über hundert US-Regierungsbehörden und Unternehmen geknackt wurden. Der Präsident von Microsoft, Brad Smith, sagte, dass es sich um „den größten und raffiniertesten Angriff handelt, den die Welt je gesehen hat“, mit mehr als tausend Hackern dahinter.

Aber laut dem ehemaligen SolarWinds-CEO Kevin Thompson soll alles damit begonnen haben könnte, dass ein Praktikant ein wichtiges Passwort auf „solarwinds123″ gesetzt hat. Anschließend  teilte der Praktikant das Passwort auf GitHub, um die Sache noch schlimmer zu machen.

Thompson sagte bei einer gemeinsamen Anhörung der Ausschüsse für Aufsicht und Innere Sicherheit des US-Repräsentantenhauses: „Sie haben gegen unsere Passwortrichtlinien verstoßen und dieses Passwort auf ihrem eigenen privaten Github-Konto veröffentlicht. Sobald es identifiziert und meinem Sicherheitsteam zur Kenntnis gebracht wurde, wurde es entfernt.“

Die Abgeordnete Katie Porter, Demokratin aus Kalifornien, erwiderte: „Ich habe ein stärkeres Passwort als ’solarwinds123′, um meine Kinder davon abzuhalten, zu viel YouTube auf ihrem iPad zu schauen.“

Während SolarWinds-Führungskräfte sagten, dass das Problem innerhalb weniger Tage nach seiner Entdeckung behoben wurde, gestand der derzeitige SolarWinds-CEO Sudhakar Ramakrishna, dass das Passwort bereits seit 2017 in Gebrauch ist.

Vinoth Kumar, der Sicherheitsforscher, der das durchgesickerte Passwort entdeckt hatte, sagte, dass SolarWinds das Problem erst im November 2019 behoben habe. Fast zwei Jahre sind zu lang, um ein wichtiges Passwort verkommen zu lassen. Außerdem muss man sich fragen, was ein Praktikant überhaupt damit zu tun hatte, ein wichtiges Passwort zu setzen. Während SolarWinds nicht sicher ist, dass diese Passwortpanne der entscheidende Faktor war, ist es  ein  schlechtes Zeichen für eine Sicherheitskultur, das solch ein grundlegender Fehler ermöglicht wurde.

Mit Blick auf die Zukunft schlug Smith vor dem US-Senat vor, dass die Bundesregierung in Zukunft eine „Benachrichtigungspflicht für Unternehmen im privaten Sektor“ einführen sollte. Allzu oft erfährt niemand von Sicherheitsverletzungen in Unternehmen, bis sie so aufgeflogen sind, wie es bei SolarWinds der Fall war. Smith sieht dies als „der einzige Weg, wie wir das Land schützen werden.“

Der CEO der Sicherheitsfirma FireEye Kevin Mandia erklärte bei der Anhörung im Repräsentantenhaus: „Die Quintessenz: Wir werden vielleicht nie den vollen Umfang und das Ausmaß des Schadens erkennen, und wir werden vielleicht nie den vollen Umfang und das Ausmaß ermessen, wie die gestohlenen Informationen einem Gegner nützen.“

Mandia fügte hinzu: „Ich bin nicht davon überzeugt, dass die Einhaltung irgendwelcher Standards oder Gesetze den russischen Auslandsgeheimdienst davon abhalten würde, erfolgreich in die Organisation einzudringen.“

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

2 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

2 Tagen ago

Check Point verhindert Diebstahl von Krypto-Wallets

Die Sicherheitsforscher von Check Point Research entdeckten eine Schwachstelle im größten NFT-Online-Marktplatz Open Sea und…

3 Tagen ago

Trickbot gefährlichste Malware

Laut dem Check Point Research (CPR) Global Threat Index für September 2021 übernimmt Trickbot die…

4 Tagen ago

5G-Transformation – Chancen und Herausforderungen

Wie Unternehmen von der 5G Technologie profitieren und warum eine Multi-Cloud-Strategie sinnvoll ist, schildert David…

4 Tagen ago

ONLYOFFICE: Projektmanagement von unterwegs mit neuer Projects-App für Android, neue Features für bessere mobile Dokumentenbearbeitung auf iOS & Android

Spannende Neuigkeiten an der Mobile-Front von ONLYOFFICE! Die Open-Source-Plattform hat ihre mobile Projektmanagement-App “ONLYOFFICE Projects”-App…

5 Tagen ago