Grosser US-Hack Solarwinds-Chef gibt Praktikanten Schuld an laxer Sicherheit

dj

1.3.2021

Solarwinds-CEO Sudhakar Ramakrishna machte einen Praktikanten für die laxe Sicherheit bei seinem Unternehmen mitverantwortlich.
Solarwinds-CEO Sudhakar Ramakrishna machte einen Praktikanten für die laxe Sicherheit bei seinem Unternehmen mitverantwortlich.
Keystone

Über den Software-Anbieter Solarwinds wurden zahlreiche US-Behörden gehackt. Nun haben die Unternehmensführer den vermeintlichen Verantwortlichen identifiziert: einen Praktikanten, mit dem Passwort «solarwinds123».

Der Ende 2020 bekannt gewordene Hack schockte das US-Establishment. Mutmassliche staatlich gelenkte russische Hacker hatten sich Zugang zu zahlreichen US-Behörden verschafft und unzählige vertrauliche Daten abgezogen. Der Ausmass des Schadens ist immer noch nicht abzusehen.

Ein wichtiges Einfallstor bei dem Hack war die Netzwerksoftware Orion des Herstellers Solarwinds, die von zahlreichen Behörden und Unternehmen genutzt wurde. Den Hackern gelang es, Orion-Updates mit Malware auszustatten. So konnten auf einen Schlag zahlreiche Opfer gleichzeitig kompromittiert werden. Eine Anhörung vor dem US-Kongress zeigte nun eklatante Sicherheitsversäumnisse bei Solarwinds auf.

Unsicheres Passwort war zwei Jahre lang publik

So hatte der Sicherheitsforscher Vinoth Kumar Solarwinds bereits Ende 2019 über ein öffentlich einsehbares Passwort für den Update-Server des Unternehmens informiert. Dieses Passwort: «solarwinds123». Danach wurde es zwar geändert, es war aber seit 2017 im Umlauf — und natürlich auch nicht wirklich schwer für Hacker zu erraten.

Sowohl der ehemalige als auch der aktuelle Solarwinds-Chef machten in der Anhörung vor dem US-Repräsentantenhaus einen Praktikanten dafür verantwortlich. Dieser habe gegen die Passwort-Richtlinien des Unternehmens verstossen und das Passwort auf seiner persönlichen Seite beim Entwickler-Dienst Github veröffentlicht.

Die Kongressabgeordnete Katie Porter war wenig beeindruckt von dem bei Solarwinds verwendeten Passwort.
Die Kongressabgeordnete Katie Porter war wenig beeindruckt von dem bei Solarwinds verwendeten Passwort.
dj

Experten sehen Führungsversagen

Verständlicherweise stiess diese Aussage sowohl bei Kongressmitgliedern als auch bei Sicherheitsexperten auf Kopfschütteln. «Ich habe ein stärkeres Passwort als ‹solarwinds123›, um meine Kinder davon abzuhalten, zu viel YouTube auf dem iPad zu schauen», sagte etwa die Abgeordnete Katie Porter. Experten sehen hier klar ein Führungsversagen.

Es ist allerdings unklar, ob das miserable Passwort wirklich das Einfallstor für den grossen Angriff gewesen ist oder ob die Hacker eine andere, bislang unentdeckte, Sicherheitslücke genutzt haben. Die Angreifer sind hochprofessionell vorgegangen und hatten einen langen Atem. So wurden auch Microsoft und VMware unabhängig von Solarwinds von denselben Hackern kompromittiert.

Zurück zur Startseite