SolarWinds-Attacke durch schwaches Passwort

Wir wissen immer noch nicht, wie schlimm die Sicherheitslücke bei SolarWinds ist. Wir wissen jedoch, dass über hundert US-Regierungsbehörden und Unternehmen geknackt wurden. Der Präsident von Microsoft, Brad Smith, sagte, dass es sich um „den größten und raffiniertesten Angriff handelt, den die Welt je gesehen hat“, mit mehr als tausend Hackern dahinter.

Aber laut dem ehemaligen SolarWinds-CEO Kevin Thompson soll alles damit begonnen haben könnte, dass ein Praktikant ein wichtiges Passwort auf „solarwinds123″ gesetzt hat. Anschließend  teilte der Praktikant das Passwort auf GitHub, um die Sache noch schlimmer zu machen.

Thompson sagte bei einer gemeinsamen Anhörung der Ausschüsse für Aufsicht und Innere Sicherheit des US-Repräsentantenhauses: „Sie haben gegen unsere Passwortrichtlinien verstoßen und dieses Passwort auf ihrem eigenen privaten Github-Konto veröffentlicht. Sobald es identifiziert und meinem Sicherheitsteam zur Kenntnis gebracht wurde, wurde es entfernt.“

Die Abgeordnete Katie Porter, Demokratin aus Kalifornien, erwiderte: „Ich habe ein stärkeres Passwort als ’solarwinds123′, um meine Kinder davon abzuhalten, zu viel YouTube auf ihrem iPad zu schauen.“

Während SolarWinds-Führungskräfte sagten, dass das Problem innerhalb weniger Tage nach seiner Entdeckung behoben wurde, gestand der derzeitige SolarWinds-CEO Sudhakar Ramakrishna, dass das Passwort bereits seit 2017 in Gebrauch ist.

Vinoth Kumar, der Sicherheitsforscher, der das durchgesickerte Passwort entdeckt hatte, sagte, dass SolarWinds das Problem erst im November 2019 behoben habe. Fast zwei Jahre sind zu lang, um ein wichtiges Passwort verkommen zu lassen. Außerdem muss man sich fragen, was ein Praktikant überhaupt damit zu tun hatte, ein wichtiges Passwort zu setzen. Während SolarWinds nicht sicher ist, dass diese Passwortpanne der entscheidende Faktor war, ist es  ein  schlechtes Zeichen für eine Sicherheitskultur, das solch ein grundlegender Fehler ermöglicht wurde.

Mit Blick auf die Zukunft schlug Smith vor dem US-Senat vor, dass die Bundesregierung in Zukunft eine „Benachrichtigungspflicht für Unternehmen im privaten Sektor“ einführen sollte. Allzu oft erfährt niemand von Sicherheitsverletzungen in Unternehmen, bis sie so aufgeflogen sind, wie es bei SolarWinds der Fall war. Smith sieht dies als „der einzige Weg, wie wir das Land schützen werden.“

Der CEO der Sicherheitsfirma FireEye Kevin Mandia erklärte bei der Anhörung im Repräsentantenhaus: „Die Quintessenz: Wir werden vielleicht nie den vollen Umfang und das Ausmaß des Schadens erkennen, und wir werden vielleicht nie den vollen Umfang und das Ausmaß ermessen, wie die gestohlenen Informationen einem Gegner nützen.“

Mandia fügte hinzu: „Ich bin nicht davon überzeugt, dass die Einhaltung irgendwelcher Standards oder Gesetze den russischen Auslandsgeheimdienst davon abhalten würde, erfolgreich in die Organisation einzudringen.“

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago