Das Thema IT-Security immer weiter in den Fokus

Warum der Überwacher überwacht werden muss

Der Solarwinds Hack, die Folgen und was wir daraus lernen können

Was ist passiert?

Ein Hersteller erfolgreicher Überwachungssoftware hat lange Zeit unbemerkt die eigenen Kunden mit einer korrupten Software versorgt, die eine Hintertür infiltriert. Den Urhebern dieser Hintertür hat es erlaubt, der Software zugängliche Daten zu extrahieren. Natürlich kann man jetzt den Finger heben, laut buhen und auf die eigene (natürlich bessere und sicherere) Konkurrenzlösung verweisen. Oder ein snobbiges „War ja klar“ hinterlassen. Man kann sich aber auch ernsthaft und konstruktiv mit dem Ereignis auseinandersetzen und für sich (oder andere) Maßnahmen ableiten, die das Risiko minimieren.

Warum das Risiko nur minimieren?

Vor diesem Ereignis hätten die wenigsten erwartet, dass sich diese Art des Hacks ereignet. Außer eine Handvoll von Experten, die dann eher belächelt wurden. Es gilt also: Es gibt nichts, was nicht passiert oder passieren wird! Zumindest in der IT und ins besonders in der IT-Sicherheit. Der oft zitierte Satz „Die Frage ist nicht, ob man gehackt wird, sondern wann.“ hat sich einmal mehr bewahrheitet. Daher lässt sich das Risiko nur minimieren und nicht eliminieren.

Wie und wo passierte der Hack?

Über einen „Supply Chain Hack“ ist ein infiltrierender Softwarebaustein in das Produkt „ORION“ von Solarwinds unerkannt integriert worden.

Was ist ein Supply Chain Hack?

Software besteht heutzutage aus verschiedenen Komponenten, die gerne wiederverwendet werden. Entwickler möchten für wiederkehrende funktionale Anforderungen nicht jedes Mal neuen Code entwickeln. Also greift man auf Bibliotheken zurück, die diese Aufgaben bereits erfüllen und integriert diese. Die einmalige Integration führt zu einer vielfältigen Verbreitung, wenn Anwender diese Software installieren. Anders als Hardware benötigt Software nur eine Quelle (Source), um vielfältig kopiert und eingesetzt werden zu können. Hardware muss von Grund auf jedes Mal neu produziert werden.

Warum Solarwinds?

Solarwinds hat den Fehler gemacht und den Server, der den Kunden zugänglich gemacht wird, um Software zu beziehen, nur unzureichend geschützt. Ein zu einfaches Kennwort hat den Zugang von außen mit privilegierten Rechten zugelassen, sodass die Hacker sehr einfach die korrupte Software hinterlegen konnten.

Mit welchen Folgen?

Ca. 18.000 Installationen sind von diesem Hack betroffen. Die infizierte Software „Orion“ ist ein (vielleicht beabsichtigter) Glücksgriff: Es handelt sich um eine Überwachungssoftware für Netzwerke. Bei Nutzung aller Funktionen lassen sich damit Netzwerkteilnehmer (Computer, Smartphones, Tablets, Server etc.), Applikationen (Mail, Dateiserver, ERP/CRM Systeme etc.) und der Datenfluss zwischen diesen Endpunkten bis ins Detail überwachen und analysieren. Der Hack sorgt dafür, dass die Hacker diese gesammelten Daten einsehen und nutzen können, weil die Software natürlich entsprechende Privilegien benötigt, um die Mehrwerte der eigenen Funktionen auch nutzen zu können.

Wie wurde dieser Hack entdeckt?

Fireye, einerseits ebenfalls Softwarehersteller für IT-Sicherheitslösungen, andererseits auch Kunde hat durch Zufall die Sicherheitslücke entdeckt. Nachdem offenbar Anmeldeinformationen abhandengekommen sind, wurden diese durch die Hacker genutzt, um sich von außen in das Firmennetzwerk von Fireye anzumelden. Eine andere Überwachungssoftware hat diesen Anmeldeversuch als untypisch erkannt und einen Alarm ausgelöst. Nach intensiver Untersuchung ist man auf die Ursache gestoßen, dass „Orion“ der Firma Solarwinds die Lücke entblößt hat.

Was können wir daraus lernen?

Viel Gutes und weniger Gutes.

Beginnen wir mit den schlechten Nachrichten: Nichts ist jemals zu 100% sicher. Dieser Tatsache sollten wir uns immer bewußt sein und nach dieser Maxime handeln. Bevor nun der „mahnende Zeigefinger“ gehoben wird, sollte wir uns der Vor- und Nachteil bewusst sein, damit zu den positiven Aspekten:

Wer überwacht den Überwacher? „Orion“ ist sicherlich eine große Hilfe in der Netzwerküberwachung. Allerdings wurde aus meiner Sicht versäumt, ergänzende Maßnahmen zu implementieren, um die Qualität der Überwachung zu kontrollieren. „Orion“ ist eine gesamtheitliche Lösung, d.h. es wird ein breites Spektrum der IT-Infrastruktur abgedeckt. Der Vorteil ist somit die umfassende Datensammlung und Analyse. Allerdings ist der Nachteil die fehlende Tiefe in einzelnen sicherheitskritischen Teilbereichen. Manche Informationen müssen dediziert analysiert und korreliert werden.
Mit welchem Recht erlaubt sich…? „Orion“ benötigt per se schon umfassende Berechtigungen innerhalb der Infrastruktur und ist damit per Definition ein privilegierter Benutzer mit administrator-ähnlichen Rechten über weite Teile der IT-Landschaft. Auch wenn man jetzt denken könnte „Das ist doch nur ein System“, sollte man immer bedenken, dass hinter dem System Menschen sitzen und somit indirekt Zugriff auf hochsensible Daten und Informationen erhalten können.

Was können wir ändern, um das Risiko zu minimieren?

Bei operativen Prozessen in der Unternehmenskultur ist es schon längst Standard: Das 4-Augen-Prinzip. Wenn ein Sachbearbeiter eine hohe Summe zur Zahlung freigeben möchte, wird meistens die Genehmigung weiterer Verantwortlicher eingeholt. Dieses Prinzip muss auch im Bereich der Datensicherheit gelten:

Kontrolle des Datenflusses von/zu der Überwachungssoftware durch eine weitere unabhängige Instanz. Idealerweise integriert sich die Prüfung und Überwachung in eine bestehende SIEM-Lösung, um die gesammelten Daten in der Gesamtheit besser korrelieren zu können.
Die Verwendung der durch „Orion“ gesammelten Daten sollte streng reglementiert und kontrolliert werden. Idealerweise wird zum Zeitpunkt des Datenzugriffs der Zugriff auf Rechtmäßigkeit überprüft und ggf. abgelehnt. Auch hier sollte der Einsatz einer SIEM-Lösung ernsthaft in Beracht gezogen werden.
Der Zugriff (in diesem Fall durch „Orion“) auf die Infrastruktur sollte im Sinne einer privilegierten Maßnahme entsprechend administriert werden: Dies betrifft einerseits das konsequentes Hinterfragen der Einzelberechtigungen nach dem Minimal-Prinzip, andererseits die fortlaufende Änderung von Kennwörtern für privilegierte Dienstkonten über eine Privileged Access Management Lösung (PAM)
Die Datensammlung sollte optimal definiert und gefiltert werden. Wenn möglich sollten Daten die Rückschlüsse auf sensible Daten wie bspw. Benutzernamen und/oder Kennwörter zulassen, vermieden werden.

Sollte es zu einem Datenverlust kommen, besteht nur die Möglichkeit die Verwendung der Daten einzuschränken. Gerade Benutzername und Kennwort sind hochsensible und sehr kritische Informationen. Da der Hacker sich selten innerhalb des Unternehmensnetzwerks befindet, ist meine Empfehlung die Strategie für Access Security anzupassen. Ein sehr probates Mittel ist die Mehrfaktorauthentifizierung, damit wird die alleinige Kenntnis des Benutzernamens und Kennwortes wertlos, da ein weiterer Faktor erforderlich ist, der dem Hacker unbekannt ist, bspw. ein SMS-Token oder Einmalpasscode.

Fazit

Es gibt kein allumfassendes Patentrezept. Vielmehr gilt es sich eine Strategie entsprechend der unternehmensspezifischen Eventualitäten zu erarbeiten und umzusetzen. Die Leitlinien sollten immer sein:

Nichts ist perfekt, Fehler können immer passieren. 100% Sicherheit erreicht man nicht, aber man kann sich annähern.
Vertrauen ist gut, Kontrolle ist besser. Eingesetzte Lösungen für neuralgische Themen sollten immer mehrfach abgesichert sein.
IT-Security ist nicht der Einsatz einer einzigen Lösung, sondern ein bedarfsgerechter Architekturansatz, der die Gesamtheit der IT-Infrastruktur, der beteiligten Personen und Systeme, sowie der individuellen neuralgischen Punkte inkludiert.

Sollte Ihr Interesse geweckt worden sein: Sprechen Sie uns an.

Blog 24.08.20

Ein neues Zeitalter der Cyber Security

Cyber Security hat in den vergangenen Monaten und Jahren einen ganz neuen Status erlangt: Ein Zeitalter des „Zero Trust“ ist angebrochen und mit ihm hat sich Blick auf Sicherheitsbedrohungen drastisch verändert.

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln

Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Blog 21.10.20

Spoofing und Phishing

Heutzutage gilt es mehr denn je, sich effektiv vor Daten- und Identitätsdiebstahl zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ . Wir erklären Ihnen, was es damit auf sich hat!

Blogbeitrag, was bedeutet Zero Trust bedeutet

Blog 30.09.20

Zero Trust – oder lassen Sie jeden rein?

In unserem Blogbeitrag möchten wir uns mit ein paar grundlegen Fragen zu Zero Trust beschäftigen: Was bedeutet Zero Trust eigentlich? Was ist das Prinzip dahinter? Was ist der Nutzen? All dies und mehr klären wir in unserem Artikel.

Webcast

Webcast: "Expedition zum Identity Management"

Gemeinsam mit tollen Speakern und einer spannenden Agenda möchten wir Ihnen das Thema "Einführung eines Identity Managements" näher bringen. Dazu zeigen wir Ihnen, wie tatsächliche Expeditionen (beispielsweise im Himalaya) geplant und durchgeführt werden, wie ein Unternehmen - übertragen auf IAM - auf diesem Weg agiert und wie die TIMETOACT in Kooperation mit Savyint Sie begleitet.

Sep 30

Blog 14.05.21

Kleine Geschichte des Passworts

Passwörter gibt es schon länger als sie vielleicht denken. Im ersten Blogbeitrag der Serie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ nehmen wir Sie mit auf eine Reise zu den Ursprüngen des Passworts.

Blog 19.05.21

Passwörter heute – der Status quo

Was hat sich bei Passwörtern vom Mittelalter bis heute verändert? Erfahren Sie alles zu Status Quo sowie aktuellen Zahlen & Fakten in Teil 2 der Blogserie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ .

Blogbeitrag, zu was eigentlich „Single-Sign-On“ (SSO) ist

Blog 14.10.20

Was ist eigentlich „Single-Sign-On“ (SSO)?

Diese Frage beantworten wir unserem Blogbeitrag. Erfahren Sie außerdem, welche Geschichte sich hinter Single-SIgn-On verbirgt.

Blogbeitrag zu Pam, warum das jeder kennen sollte

Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?

Blogbeitrag zur Authentifizierung als Schutz von Unternehmen

Blog 17.08.20

Warum Authentifizierung unser ständiger Begleiter ist

Eine der wichtigsten Grundlage zum Schutz Ihres Unternehmens ist die Authentifizierung. Daher wollen wir Ihnen in diesem Blogbeitrag die Bedeutung des Authentifizierungsverfahren vorstellen.

Header zum Expertenbericht Self-Sovereign Identity 1

Blog 22.09.21

Self-Sovereign Identity Teil 1: Die Geschichte

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.

Blogbeitrag, wie das optimale IAM Tool gefunden werden kann

Blog 20.07.20

So finden Sie das optimale IAM-Tool für sich!

Fragen Sie sich auch, wie Sie ein geeignetes IAM-Tool finden können, das zu Ihren Anforderungen und Vorstellungen passt?

Blog 16.03.22

Access Management – es betrifft uns mehr, als wir glauben!

Dieser abstrakte Begriff des Access Management und die damit einhergehende technologische Implikation berührt uns immer und sofort, wenn wir einen Fuss in das digitale Leben setzen.

Blog 26.05.21

Die Zukunft des Passworts – Login ohne Gehirnakrobatik

Ist die Zukunft des Passworts eine Zukunft ohne Passwort? Lange Zeit hat sich in Sachen Identity Management nicht wirklich viel getan. Die Zukunft scheint da vielversprechender – ein Gedankenexperiment.

Blog 24.11.20

So verheiraten Sie One Identity Safeguard & -Manager

Sie haben zwei Produkte des gleichen Herstellers bei einem Kunden implementiert, aber die beiden Akteure vertragen sich noch nicht so richtig. In unserem Blogbeitrag zeigen wir, wie Sie One Identity Safeguard und One Identity Manager verkuppeln.

GARANCY ist ein IAM Produkt mit vielfältigen Möglichkeiten

Blog 09.09.20

GARANCY – vielfältigen IAM-Möglichkeiten

Die GARANCY IAM Suite stellt eine dynamische Lösung zur Verfügung, um Datendiebstählen vorzubeugen.

Blogbeitrag zu GARANCY IAM Suite Version 3

Blog 20.10.20

GARANCY IAM Suite – Das bietet Version 3

Die GARANCY IAM Suite ist für viele Professionals im Identity Access Management (IAM) das Tool der Wahl. Wir geben Ihnen einen Überblick zu den Neuerungen der dritten Version des Beta Systems Produkt.

Referenz 30.12.20

GILAI

Der Verein GILAI hat sich entschieden, alle privilegierten Zugänge mittels Privileged Access Management (PAM) zu verwalten und zu überwachen. Die IPG GROUP

Header zum Expertenbericht Self-Sovereign Identity 2

Blog 30.09.21

Self-Sovereign Identity Teil 2: Identitäten

Der ausschlaggebende Faktor ist die Einführung der „Identität“ als digitales Abbild des Anwenders aus Sicht der Fachprozesse und des Unternehmens und nicht als Kopie oder Aggregierung der Benutzerkonten. Diese sind vielmehr der Identität subsequent zugeordnet. Basis dafür sind Identitäts- und ORG-Daten von HR.

Header zum Expertenbericht Self-Sovereign Identity 3

Blog 06.10.21