Der sogenannte Solarwinds-Hack zieht immer weitere Kreise. Nachdem zunächst nur Angriffe auf das IT-Management-Unternehmen Solarwinds, den Sicherheitsdienstleister Fireeye und verschiedene US-Ministerien, darunter Handel, Finanzen und Homeland Security, gemeldet worden waren, berichtet das Wall Street Journal (WSJ) nun von einer weit größeren Dimension.
WSJ findet Betroffene in der Tech-Elite
Das Magazin führte eine Untersuchung, die Installationen der kompromittierten Solarwinds-Software aufspüren sollte, durch und war damit in gut zwei Dutzend Fällen erfolgreich. Nach Einschätzung des WSJ dürften allerdings weit mehr Unternehmen und Organisationen betroffen sein. Die IT-Management-Firma Solarwinds, deren Netzwerküberwachungs-Tool die Hacker manipuliert und so mit einer Backdoor ausgestattet hatten, geht selbst davon aus, dass bis zu 18.000 ihrer Kunden betroffen sein könnten. Die Schadsoftware wurde nämlich über ein Routine-Update des Solarwinds-Tools automatisch ausgerollt.
Dabei liest sich bereits die jetzige Zusammenstellung des WSJ wie das Who-is-Who der internationalen Tech-Elite. Vom WSJ beauftragte Experten fanden das kompromittierte Tool bei Intel, Nvidia, VM-Ware und Belkin sowie bei der Beratungsfirma Deloitte, der Kent-Universität und der kalifornischen Zentralverwaltung für staatliche Krankenhäuser. Mit den Ergebnissen konfrontiert, zeigten sich die betroffenen Unternehmen und Organisationen teils recht verschlossen.
Tech-Elite: „Alles halb so wild.“
Intel bestätigt zwar den Befall, will aber ermittelt haben, dass die Backdoor in der Software nicht benutzt wurde. Auf diesen Standpunkt stellen sich auch Deloitte und VM-Ware.
Nvidia äußert sich vorsichtiger. Es gebe derzeit keine Beweise für die Ausnutzung der Backdoor durch Hacker, lässt das Unternehmen über einen Sprecher mitteilen. Auch Cisco bestätigt, dass das Solarwinds-Tool im eigenen Netz aktiv gewesen ist. Das sei allerdings nur bei wenigen Beschäftigten und einer kleinen Zahl an Arbeitssystemen der Fall gewesen. Auch hier heißt es, man gehe nicht von einer Schädigung aus.
Netzwerkausrüster Belkin sieht es ähnlich. Zwar habe man den Hack erst in der vergangenen Woche entdeckt und entfernt. Eine negative Auswirkung glaubt Belkin dennoch ausschließen zu können. Zumindest gäbe es bislang keine Hinweise darauf.
Aus der Kent-Universität und der kalifornischen Krankenhausverwaltung kommen offenere Aussagen. Beide bestätigen, die Vorfälle mit der Hilfe staatlicher Stellen zu untersuchen.
Nur die Spitze des Eisbergs?
Wie sich diese Geschichte bislang entwickelt hat, erscheint es nicht unwahrscheinlich, dass wir bislang nur die Spitze eines Eisbergs sehen können. Immerhin 400 der Fortune-500-Unternehmen gehören zum Solarwinds-Kundenkreis. Vieles ist unbekannt.
Bislang ist etwa unklar, was die Angreifer in den betroffenen Organisationen tatsächlich gesucht oder was sie dort angestellt haben. Unklar ist in den meisten Fällen ebenso, ob die vorhandenen Backdoors überhaupt genutzt wurden. Weiterhin unklar ist, ob die Hacker gegebenenfalls fortdauernd in ihren Angriffszielen unterwegs sind – ob also das Solarwinds-Tool nur ein inzwischen obsoletes Einfallstor gewesen sein könnte.
Angriff mutmaßlich eine Spionage-Aktion
Was Experten derzeit wissen, ist dementsprechend wenig. In einzelnen Fällen wurde offenbar auf die interne Kommunikation zugegriffen. Verschiedene Unterlagen wurden kopiert. Sensible Unterlagen über laufende Produktentwicklungen scheinen ebenso das Interesse der Angreifer angezogen zu haben.
Alles in allem gehen Experten daher derzeit davon aus, dass es sich bei dem Solarwinds-Hack nicht um eine Attacke handelt, bei der es um die Zerstörung von Infrastruktur geht. Vielmehr könnte es sich um eine groß angelegte Spionage-Aktion handeln.
Hacker-Attacke staatlich organisiert?
Sicher sind sich die beteiligten Spezialisten nur dahingehend, dass eine Aktion dieser Größenordnung eine straffe Organisation und ein erhebliches Fachwissen benötigt. Typischerweise verfügen nur Staaten über die entsprechenden Ressourcen. Relativ schnell wurde daher der russische Geheimdienst SWR für die Angriffe verantwortlich gemacht – wenn auch mehr oder weniger „unter der Hand“.
Aus den derzeit zugänglichen Quellen lässt sich eine solche Schuldzuweisung nicht ableiten. Sie dürfte zumindest zum Teil politisch motiviert sein. Denkbar ist natürlich ebenso, dass nicht alle Informationen zum Hack nach außen kommuniziert werden.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team