Wir wissen immer noch nicht, wie schlimm die Sicherheitslücke bei SolarWinds ist. Wir wissen jedoch, dass über hundert US-Regierungsbehörden und Unternehmen geknackt wurden. Der Präsident von Microsoft, Brad Smith, sagte, dass es sich um „den größten und raffiniertesten Angriff handelt, den die Welt je gesehen hat“, mit mehr als tausend Hackern dahinter.
Aber laut dem ehemaligen SolarWinds-CEO Kevin Thompson soll alles damit begonnen haben könnte, dass ein Praktikant ein wichtiges Passwort auf „solarwinds123″ gesetzt hat. Anschließend teilte der Praktikant das Passwort auf GitHub, um die Sache noch schlimmer zu machen.
Thompson sagte bei einer gemeinsamen Anhörung der Ausschüsse für Aufsicht und Innere Sicherheit des US-Repräsentantenhauses: „Sie haben gegen unsere Passwortrichtlinien verstoßen und dieses Passwort auf ihrem eigenen privaten Github-Konto veröffentlicht. Sobald es identifiziert und meinem Sicherheitsteam zur Kenntnis gebracht wurde, wurde es entfernt.“
Die Abgeordnete Katie Porter, Demokratin aus Kalifornien, erwiderte: „Ich habe ein stärkeres Passwort als ’solarwinds123′, um meine Kinder davon abzuhalten, zu viel YouTube auf ihrem iPad zu schauen.“
Während SolarWinds-Führungskräfte sagten, dass das Problem innerhalb weniger Tage nach seiner Entdeckung behoben wurde, gestand der derzeitige SolarWinds-CEO Sudhakar Ramakrishna, dass das Passwort bereits seit 2017 in Gebrauch ist.
Vinoth Kumar, der Sicherheitsforscher, der das durchgesickerte Passwort entdeckt hatte, sagte, dass SolarWinds das Problem erst im November 2019 behoben habe. Fast zwei Jahre sind zu lang, um ein wichtiges Passwort verkommen zu lassen. Außerdem muss man sich fragen, was ein Praktikant überhaupt damit zu tun hatte, ein wichtiges Passwort zu setzen. Während SolarWinds nicht sicher ist, dass diese Passwortpanne der entscheidende Faktor war, ist es ein schlechtes Zeichen für eine Sicherheitskultur, das solch ein grundlegender Fehler ermöglicht wurde.
Mit Blick auf die Zukunft schlug Smith vor dem US-Senat vor, dass die Bundesregierung in Zukunft eine „Benachrichtigungspflicht für Unternehmen im privaten Sektor“ einführen sollte. Allzu oft erfährt niemand von Sicherheitsverletzungen in Unternehmen, bis sie so aufgeflogen sind, wie es bei SolarWinds der Fall war. Smith sieht dies als „der einzige Weg, wie wir das Land schützen werden.“
Der CEO der Sicherheitsfirma FireEye Kevin Mandia erklärte bei der Anhörung im Repräsentantenhaus: „Die Quintessenz: Wir werden vielleicht nie den vollen Umfang und das Ausmaß des Schadens erkennen, und wir werden vielleicht nie den vollen Umfang und das Ausmaß ermessen, wie die gestohlenen Informationen einem Gegner nützen.“
Mandia fügte hinzu: „Ich bin nicht davon überzeugt, dass die Einhaltung irgendwelcher Standards oder Gesetze den russischen Auslandsgeheimdienst davon abhalten würde, erfolgreich in die Organisation einzudringen.“
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…