Gastartikel :Der Patch ist der Angriff

Eine aktuelle Bewertung des SolarWinds-Hack

von Prof.Dr. Hartmut Pohl1

Erkannt wurde der Angriff zuerst durch das betroffene IT-Sicherheitsunternehmen FireEye2 um den 8. Dezember 2020; FireEye warnte vor dem Einsatz seiner eigenen Sicherheitsprodukte, bestritt aber, dass gespeicherte, unveröffentlichte Sicherheitslücken (Zero-Day-Vulnerabilities) ausgelesen worden seien. Die Täter hatten dazu ein Update der Netzwerküberwachungsplattform Orion der Fa. SolarWinds so manipuliert, dass eine backdoor (derzeit sind bereits zwei veröffentlicht) in den ca. 18.000 der etwa 300.000 Kundensysteme installiert wurde (supply chain attack). Kunden sind der öffentliche Sektor der USA, Großbritanniens sowie die weltweit größten Unternehmen aller Branchen (Verteidigungsunternehmen, Technologieunternehmen, Banken, Beratungs-, Pharma/Chemie, Telekommunikations- und Rohstoffunternehmen) in Nordamerika, Europa, Asien, im Nahen Osten und auch in Deutschland.3 Angesichts der immensen Angriffsfolgen (Kopieren von Daten und Programmen und Manipulation von Programmen) dürfte der Angriff weiterhin detailliert untersucht4 – und auch nachgeahmt und Angriffsdokumentationen (trotz eines zu erwartenden sehr hohen Preises) wie geschnitten Brot an Kriminelle und interessierte Sicherheitsbehörden verkauft werden. Unternehmen und Be-hörden sollten sich also durch vorbeugende Maßnahmen darauf einstellen. Die Eintrittswahrscheinlichkeit wird international als sehr hoch bewertet.

Die Systeme der US-Bundesbehörden wurden bei dem Angriff ebenfalls kompromittiert; dazu veröffentlichte die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Notfallrichtlinie, in der alle Bundesbehörden angewiesen wurden, die betroffenen Orion-Produkte sofort abzuschalten.
Der Cyber-Angriff von SolarWinds ist kein Einzelfall. Microsoft5 allein hat in den letzten zwei Jahren über 13.000 Warnungen an Kunden versandt. wurde. Ziel der Installation von backdoor ist, global bei Kunden dieses Herstellers Systeme fremdzusteuern. Der-zeit scheint es den Tätern nur teilweise um den finanziellen Erfolg (Erpressung) zu gehen. Dies gilt auch für Angriffe in der Ge-sundheitsbranche; sie richten sich derzeit (noch?) nicht gezielt gegen einzelne Patienten.

Die von Tätern genutzten Verfahren liegen durchweg auf sehr hohem technischem Niveau und zeigen die jahrelange Erfah-rung. Solche Fachleute finden sich nicht nur in allen Industriestaaten, sondern auch in sog. Entwicklungsländern. Solche Angriffs-techniken werden allerdings nicht an öffentlichen Hochschulen erforscht und gelehrt. Erste kriminelle Versuche gehen in Deutsch-land zurück auf den Beginn der 70er Jahre.

Zusammenfassung und Ideen

•  Angriffe auf IT-Systeme werden zunehmend von darauf spezialisierten Unternehmen durchgeführt.
• Durch die Eskalierung auf die vielen Opfer eines Angriffs (hier ca. 18.000) sinkt der Aufwand für die Angriffs-vorbereitung auf etwa 500 K$ bei einem zu erwartenden Erlös von aktuell 500 – 10.000 K$… jeweils pro Op-fer. Eine Vorfinanzierung ist durch die Organisierte Kriminalität oder Nachrichtendienste möglich. Weitere der-artig technisch gut ausgearbeitete Angriffe können also erwartet werden.
• Die Angreifer haben den Angriff über ca. 3 Jahre geplant und umgesetzt. Allein zwischen dem ersten unbe-rechtigten Zugriff bis zum Ausspionieren von Daten und Programmen vergehen etwa 6 – 18 Monate; darauf wurde schon früher durch Untersuchungen (auch im deutschen Sprachraum) hingewiesen.
• Eine Illusion ist die häufig anzutreffende Meinung, wenn die IT-Produktion erst wieder laufe, sei der Angriff abgewehrt. Wiederanlauf ist jedenfalls kein Zeichen abgewehrter Angriffe. Sofern nicht mindestens die ausge-nutzten Angriffspunkte wie unerkannte Sicherheitslücken (Zero-Day-Vulnerabilities), backdoors, covert chan-nels o.ä. ausgemerzt sind, muss mit erneuten Angriffen gerechnet werden. Dies ist wahrscheinlich angesichts der Marktmacht (technische Fähigkeiten, Stammpersonal) der kommerziellen Hacking Unternehmen. Die Ohn-macht vor den Hacking-Unternehmen zeigt auch die Hilflosigkeit der betroffenen US-Regierungsbehörden.
• Grundsätzlich werden nur Unternehmen angegriffen, deren finanzielle Bonität von den Tätern als hinreichend gut bewertet war. Die Täter griffen (bei passender Gelegenheit) wiederholt an.

1. Aktuelle Situation im Internet
Politikern und auch Entscheidern fehlt weitgehend das Verständnis für die Risiken von Angriffe auf die (eigene) IT. Dementsprechend wird der IT-Leiter befragt, ob denn alles sicher sei. Daher wird auch gar nicht ein unabhän-giger Rat von ‚draußen‘ eingeholt. Zumal die Angreifer meist sehr vorsichtig vorgehen, um den Angriff bis zu mehreren Jahren gegenüber dem Opfer zu verbergen.

2. Täter

Natürlich waren es die Russen (weiß Pompeo); aber es waren die Chinesen (schätzt Trump), Viel spricht für Korea – aber nur weil ein koreanisches Wort im Quelltext ‚gefunden‘ wurde (vielleicht eher Nordkorea)? Wenn einem gar nichts mehr einfällt, waren die Hacker wenigstens ‚staatsnah‘ Dies alles ist nichts weiter als die übliche politi-sche Propaganda der Politiker (vgl. die ‚Schurkenstaaten‘), die technisch nur äußerst aufwändig abgeklärt werden kann.
Grundsätzlich erscheint eine Tätertypisierung nach Skript-Kiddies, Freaks, Hacker, Cracker etc. veraltet. Die viel-fältigen und komplexen Angriffsmöglichkeiten erfordern Kompetenzen und Personal in allen Bereichen der Cyber-sicherheit, die von einzelnen Unternehmen, kommunalen Verwaltungen oder Privatpersonen nicht geleistet wer-den können6.
In den letzten 5 Jahren haben sich international Unternehmen entwickelt, die nach dem Motto ‚Crime as a Ser-vice (CaaS)7 weltweit entwickelte neue Angriffsverfahren gegen Entgelt für Auftraggeber durchführen – im Ransomware-Bereich z.B. gegen eine Beteiligung von 30% des erzielten Umsatzes.
Eine Unterscheidung zwischen Tätergruppen8 wie Skript Kiddies, Insidern, Hackern, Hacktivisten, Cybercriminals, staatlich gesponserten Gruppen, ‚Geheimdiensten‘ (staatliche Institutionen wie Sicherheitsbehörden) gehören der Vergangenheit an: Zunehmend werden die Hacking-Gruppen kommerzialisiert – d.h. die Angriffe werden von spezialisierten Unternehmen in Auftrag gegen ein festes Entgelt oder eine Umsatzbeteiligung von z.B. 30% (Ransomware) durchgeführt. Eine Unternehmensstruktur mit sehr kleinen Abteilungen wie Personal, Marketing, Accounting und Produktion etc. ist vorhanden. So wird sorgfältig analysiert, ob und wie das als Opfer vorgese-hene Unternehmen tatsächlich im gewünschten Umfang liquide ist (Gewinnorientierung). Die Personalstärke von Angriffsunternehmen beträgt bis zu 20 Mitarbeiter – mit bis zu 15 IT-Spezialisten; für spezielle Aufgaben werden free-lancer hinzugezogen.

3. Betroffene
Geoutet haben sich oder veröffentlicht wurden viele Bundesministerien der USA sowie Unternehmen. Das BSI hat betroffene deutsche Unternehmen informiert. Tatsächlich sind wohl 18 – 35 Tausend Kunden9 von SolarWinds betroffen bei weltweit insgesamt mehr als 300.000.

4. Angriffsziele

Diffus sind die Berichte über erreichte Angriffsziele. Abgesehen von Marketingaussagen muss daher davon ausgegangen werden, dass wertvolle Unternehmensdaten ausspioniert wurden (Security-Tools, Exploits, medizinische Geräte) und auch Manipulationen an Steuerdaten von Produktionsprozessen (IoT10) zur Impfstoffherstellung11 und zur Herstellung von Chemikalien und Medikamenten vorgenommen wurde: Sabotage. Eine Nutzung für ter-roristische Ziele ist nicht auszuschließen – allerdings bisher nicht nachgewiesen. Eins der Ziele dürften Daten in (privaten und öffentlichen) Clouds sein (z.B. Microsoft Office 365-Konten).

5. Angriffsablauf

Insgesamt scheint dieser Hack eine vergleichbar technische Bedeutung zu haben wie der ja heute noch andauernde (!) Hack auf den Deutschen Bundestag12, Stuxnet13 oder NSA14. Diese Angriffe zusammen zeigen verwendeten Techniken den Stand der weltweiten Angriffstechnik auf; hier wird nur auf den Solarwinds-Hack Bezug genommen: A. Die ersten Hinweise15 auf unberechtigte Manipulation von Orion-Updates stammen von Oktober 2019 – also ca. 14 Monate vor der Angriffserkennung. B. Die ausgenutzten Angriffspunkte der SolarWinds-Systeme sind bisher unveröffentlicht oder sogar noch nicht identifiziert. Einzig mögliche Angriffspunkte sind ungepatchte, unveröffentlichte oder sogar nicht erkannte Si-cherheitslücken. Erfahrungsgemäß werden dazu unveröffentlichte (Zero-Day-Vulnerabilities) – zumindest So-larWinds nicht bekannte oder jedenfalls nicht gepatchte Sicherheitslücken – ausgenutzt (Initialisierung des Angriffs: März bis Juni 2020). Solange dieser Einstieg nicht identifiziert und gepatcht ist, können die folgenden Schritte von den Angreifern beliebig wiederholt werden. C. Die Angreifer machen sich dieser Sicherheitslücke unabhängig, indem sie (mindestens) eine backdoor im So-larWinds-System installieren Eine solche backdoor ist von SolarWinds nicht veröffentlicht oder nicht identifi-ziert. D. Um das manipulierte Update authentisch erscheinen zu lassen wird das Update korrekt digital signiert16. Die Code-Signierung ist eine der wichtigsten Sicherheitsmaßnahmen global agierender Softwareunternehmen. Kann die Signatur gefälscht werden, ist überhaupt jedem Missbrauch von Authentifizierung und Integritätsprü-fung Tür und Tor geöffnet. E. Im Quellcode des Updates wird der bösartige Code verschleiert (obfuscation, steganography); im Betrieb wird die Laufzeit-Umgebung geprüft, ob sie ein Unternehmensnetzwerk ist oder etwa die Workstation eines Analys-ten. F. Mit einem mit fast 4.000 Codezeilen17 manipulierten Update für die SolarWinds Orion Business Software wurde erstmal eine backdoor18 im Kundensystem (Orion Monitoring Software) installiert. Solange eine back-door nicht identifiziert und geschlossen ist, können auch die folgenden Angriffsschritte beliebig wiederholt werden.19 Dies gilt sinngemäß für die zwischenzeitlich zweite veröffentlichte backdoor20 sowie eventuelle weitere. Weitere backdoors sind realistisch. Solange nicht alle backdoors identifiziert und gepatcht sind, muss also mit weiteren gleichartigen Angriffen gerechnet werden. G. Durch die backdoor wird weiterer – ggf. auch aktualisierter – Code von einem Command&Control-Server ein-geschleust oder generell eine (auch ständige) Verbindung zwischen Angreifern und Zielsystem aufgebaut werden. So werden Dateien übertragen, ausgeführt, das System parametrisiert Systemdienste aktiviert und deak-tiviert und Computer neugestartet. Das Protokoll ähnelt dem SolarWinds-Protokoll. Zweckmäßigerweise wird die backdoor in einem der im Zielsystem installierten Solarwinds-Modulen eingebaut. Kennen die Angreifer weitere Software (wie Standardsoftware von Herstellern wie Microsoft) im Zielsystem, kann die backdoor auch dort eingebaut werden. Ein Angriff dauert solange wie die backdoor ausgenutzt wer-den kann. D.h. Dreh- und Angelpunkt ist die eingebaute backdoor. Angreifer bauen aus Resilienz-Gründen mehrere backdoors ein; nach Identifizierung einer (ersten) backdoor glaubt das Opfer häufig, der Angriff sei abgewehrt und damit beendet. Im Einzelfall wird sogar nach einem ‚Beweis‘ gefragt, warum noch nach weite-ren backdoors gesucht werde. H. Natürlich sind weitere Schritte durch die Angreifer möglich wie Kopieren und Löschen von (allen) Daten des Angriffsopfers und Verschlüsseln (Ransomware). Kopieren von Sicherheitsinformationen ist insbesondere rele-vant, wenn unveröffentlichte Sicherheitslücken gesammelt werden – z.B. für Zwecke der Strafverfolgungsbe-hörden. Bereits vor Abschluss der Untersuchungen wurde ein solcher Diebstahl von FireEye bestritten. I. Nachdem dieser Angriff aufgeflogen ist, vom Hersteller die backdoor identifiziert und mit einem (signierten Patch) geschlossen wurde, kann man davon ausgehen, dass die Angreifer die (geschlossene) backdoor nicht mehr nutzen. Über die Nutzung weiterer backdoors kann nur spekuliert werden. J. Zwischen Installation der backdoors und Ausnutzung liegt häufig mehr als ein halbes Jahr – der Zeitraum kann auch bis zu 18 Monate dauern. Entscheidend für diese Dauer ist, dass sich die Angreifer sicher sein wollen, dass das Opfer nichts von Ihrem Angriff bemerkt. Grundsätzlich kann nicht nachgewiesen werden, dass ein System backdoor-frei ist. Das bedeutet für die er-wähnten Hackingfälle wie NSA, Bundestag ein Beweis nicht erbracht werden kann. Und es bedeutet auch nicht, dass die Fälle tatsächlich abgeschlossen sind. Allerdings werden sich die Angreifer sehr vorsichtig bewe-gen, um keinen Hinweis auf ihre Aktivitäten zu geben.

6. Schäden und Schadenshöhe

Es kann wegen des Personen-Jahre dauernden Aufwands keine seriöse Schadensbewertung vorgenommen werden. Die offiziellen Abschätzungen dürften geheim bleiben.
Die Angreifer verwendeten auch neuartigen Schadcode, der im milliardenschweren Intrusion Detection System

7. Schutzmaßnahmen nach Angriffserkennung
Der Hersteller empfiehlt, zeitnah auf die jüngste Orion Platform Version 2020.2.1 HF 1 upzudaten, um die Sicher-heit der Umgebung zu gewährleisten. Ob ein einfaches Update der Orion Plattform reicht, um eine Infektion zu beseitigen, darf aber angesichts der komplexen Sachverhalte bezweifelt werden. Wer die kompromittierten Soft-ware-Builds im Einsatz hatte, kommt um eine Überprüfung und forensische Analyse der betroffenen Systeme nicht herum. Dazu liegen die Signaturen der beiden veröffentlichten backdoors vor.
Die Identifizierung von backdoors ist leicht, wenn sie wie in diesem Fall zumindest teilweise bekannt sind. Auf-wändiger ist die Identifizierung möglichst aller – insbesondere der bisher nicht erkannten bzw. unveröffentlichten backdoors. Letzteres erfordert eine ausgefeilte Methodik. Leichter lassen sich Backdoors identifizieren, die doku-mentierte Eingabe- oder Ausgabeschnittstellen missbrauchen.
Der Umfang der Wiederherstellungsmaßnahmen ist abhängig vom Wert der verarbeiteten Daten und gesteuerten Prozesse (Risikoanalyse) und reicht vom einfachen Update der Orion Software bis zur sofortigen Trennung vom Internet, Installation neuer Geräte und Software sowie einer Überprüfung aller gespeicherten Daten; Angriffssoft-ware kann schließlich überall gespeichert sein – in (Standard-)Software, in Firmware und Microcode von Geräten und Steuerungen und auch in Daten. Erst nach einer erneuten Überprüfung kann dann das System wieder in Be-trieb genommen werden.
Allein den Wiederanlauf anzustreben ohne weitere Aktivitäten kann fahrlässig sein. Gegen diesen speziellen An-griff können auch Anti-Virenprogramme und das Einspielen der jüngsten Updates ö.ä.22 helfen. Modifikationen des Angriffs dürften mit diesen Maßnahmen allerdings nicht erkannt werden. Betroffene sollten sorgfältig abwä-gen, ob der erfolgreiche Angriff veröffentlicht werden sollte.

8. Vorbeugende Maßnahmen
Kommerzielle und staatliche Intrusion-Detection-Systeme sind wenig sinnvoll, wenn sie dokumentierte Angriffe nicht erkennen. Gesetzliche Maßnahmen23 wie die Forderung nach Meldung von Angriffen binnen 6o Kalenderta-gen gehen völlig ins Leere angesichts der Erkennung von Angriffen erst nach mindestens 6 Monaten bis hin zu 18 Monaten – im Solarwinds-Fall 13 Monate. Es entsteht der Eindruck, dass die US-Behörden sehr gute Angriffe entwickeln, aber nicht in der Lage sind, sich gegen Angriffe Dritter hinreichend zu schützen.

In der Bundesrepublik wird großer Wert auf Überwachung (Entschlüsselung jeglicher Kommunikation) der Bürger gelegt – die Überwachung des Internetverkehrs und der Schutz vor Kriminellen scheint vernachlässigt. Die immer wiederkehrende Kryptodebatte kann daher als Ablenkung der Bürger von den tatsächlichen Risiken des Internets bezeichnet werden.
Die Politik muss sich fragen lassen, wie sie das Grundrecht auf körperliche Unversehrtheit24 garantieren will – z.B. in den Krankenhausfällen und bei der Versorgung mit Impfstoffen

25. Angriffe wie der hier diskutierte Solar-Winds-Fall können selbst von kapitalkräftigen Unternehmen nicht mehr erkannt, untersucht oder gar abgewehrt werden.
Ziel der Politik muss sein, Angriffe zu identifizieren und Unternehmen und Behörden rechtzeitig zu warnen indem auf bisher unveröffentlichte Sicherheitslücken, backdoors und covert channels hinzuweisen. Eine solche Initiative gehört in das IT-Sicherheitsgesetz.

Zwei grundlegende Techniken zur Identifizierung von backdoors und covert channels26 sind die Analyse der Res-sourcen eines Systems und eine sorgfältige Static Source Code Analysis (Quellcode-Analyse). Erfahrungsgemäß können nur 30% der covert channels Tool-gestützt erkannt werden.
Wenig hilfreich ist der Microsoft-Vorschlag27 die Bildung einer Signatur über den im SolarWinds praktizierten An-griff und Vergleich mit aktuellen Datenströmen – vergleichbar Anti-Virenprogrammen. Damit kann zwar der So-larWinds-Hack erkannt werden, aber kaum ein anderer.
Ein konstruktiver Zugang zum Thema stellt das ‚Internet Governance Forum‘28 (IGF) der Vereinten Nationen dar 21 Im Juni 2019 berichtete die New York Times, dass das US Cyber Command tiefer als je zuvor in russische Elektrizitätsversorger eingedrungen sei und Malware eingesetzt hat. https://bit.ly/38MwOG3

9. Abschließende Bewertung

• Der Gesamtschaden kann von Betroffenen (Unternehmen und Behörden) nur sehr aufwändig abgeschätzt werden – und dies auch nur, wenn automatisiert Logs auf unterschiedlichen Ebenen erstellt wurden.
• Weitere Angriffsvektoren30 – über die 2 veröffentlichten backdoors hinaus – dürften noch identifiziert werden – ggf. auch nicht unter Nutzung der Orion-Software; jedenfalls sind alle Aussagen wie „wurde nicht ausspio-niert, nicht sabotiert“ fachlich nicht gerechtfertigt. Daneben sind die ‚üblichen‘ Sicherheitsfehler zu erkennen wie Veröffentlichung von Passworten, zu lange Reaktionszeiten nach Malware-Erkennung.
• Wenn hier der Eindruck entsteht, dass dieser Fall zu den wenigen außergewöhnlichen gehört, ist das falsch. Vergleichbare Angriffe – vielleicht nicht mit diesem Umfang – sind alltäglich. Dementsprechend hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) 5 Tage nach Veröffentlichung des Falls eine Notfallrichtlinie31 herausgegeben, die SolarWinds-Produkte einsetzende US-Behörden auffordert, den Fall forensisch zu analysieren und Netzwerkverkehr zu Adressen außerhalb der Organisation zu blockieren. Behörden ohne entsprechendes Fachwissen sollen die Produkte wegen einer möglichen Kompromittierung so-fort stilllegen.
  Dieses Papier stellt die Kurzfassung eines vertraulichen Prüfberichts dar.

Fußnoten / LINKS/Quellen

1 Prof. Dr. Hartmut Pohl, Geschäftsführer der IT-Sicherheitsberatung softScheck GmbH Köln – Sankt Augustin https;//www.softScheck.com Hartmut.Pohl@softScheck.com
2 https://bit.ly/35gbyb5
3 So wurde erfolgreich auf die Quellcodebasis von Windows (Microsoft) zugegriffen (https://bit.ly/2JA91AC); bisher unbestätigt (aber wahrscheinlich) sind Zugriffe auf die supply chain, die – wie beim Zugriff auf die SolarWinds Supply Chain auch – backdoors in über 85% aller Computer auf der Welt ermöglichte. Die politischen und wirtschaftlichen Folgen wurden bereits vor Jahrzehnten untersucht (https://bit.ly/3rK8ZHN), wuden aber nicht verstanden: Weltweit können von den Angreifern binnen weniger Tage oder auch schlagartig fast alle Computer und damit das Internet still gelegt werden. Terroristische Interessen (Sabotage) können nicht ausgeschlossen werden.
4 https://bit.ly/38NCIH1
5 https://bit.ly/34YHuQP6 https://bit.ly/3o2ZO2Y
7 https://bit.ly/2WW1jE2
8 https://bit.ly/353iecp
9 Eine grobe (unbestätigte) Übersicht der CISA findet sich im Internet (https://adobe.ly/386Cvj1): Belkin, Cisco, CrowdStrike, Deloitte (seit Juni 20019), FireEye (mit CIA Beteiligung), Intel, Nvidia, Siemens, VMware. Auch eine Reihe von US-Behörden wurden durch die schädliche Software kompromittiert. So soll es den Hackern gelungen sein, in das Department für Homeland Security einzudringen, das Finanz- und das Handelsminis-terium und das Energieministerium und in die Systeme der US-Atomwaffenbehörde, Flughafennetze wie Austin, der NSA, … Betroffen sind also die Sektoren Telekommunikation, Luft- und Raumfahrt sowie Verteidigung und Gesundheitswesen. Weiterhin werden Unternehmen in Großbritannien und der Türkei genannt sowie insbesondere Cloud/Hosting-Anbieter wie Amazon, DigitalOcean, Microsoft Azure. Auch der britische Nationale Ge-sundheitsdienst, das Europäische Parlament und die NATO. Klassische Ransomware-Angriffe scheinen dagegen die auf Aida, Funke, Hetzner, Symrise etc. zu sein. Die Bundesregierung erklärte, es seien keine Zugriffe auf ihre Systeme erfolgt. Zwischenzeitlich hat auch Microsoft einen erfolgreichen Angriff eingeräumt – allerdings nicht veröffentlicht, seit wann die Angreifer in Microsoft-Netzen schon aktiv sind. (https://reut.rs/352s1PQ)! Da der Angriff Monate zurückliegt, verfügen einige Unternehmen nicht mehr über die forensischen Daten, die für eine vollständige Untersuchung unverzichtbar sind.
10 https://bit.ly/382txUb
11 https://bit.ly/382Sq1Y
12 https://bit.ly/3pHJl4n
13 https://bit.ly/2L7igZy
14 https://bit.ly/38QBUB4
15 https://bit.ly/38Prwd3, https://on.wsj.com/3hIujZG

16 Aus Praktikabilitätsgründen wird die Nachricht (hier das Update) erst gehasht und dieser Hashwert mit einem (streng geheim zu haltenden) priva-ten Schlüssel von Solarwinds zu einer Prüfzahl verschlüsselt. Nur mit dem zugehörigen öffentlichen Schlüssel kann die Prüfzahl wieder entschlüsselt werden, so dass das Update authentisch von Solarwinds und unverändert scheint. Der unberechtigte Einsatz des Signaturverfahrens setzt also voraus, dass die Angreifer den privaten Schlüssel unberechtigt lesen und benutzen konnten!
17 https://bit.ly/38Prwd3
18 Backdoor. Hintertür oder auch Falltür. Verdeckt (undokumentiert) implementierte Folge von Instruktionen (Programme, Programmteile in Hard-ware, Firmware und/oder Software), die einen Zugriff auf ein IT-System durch Umgehung des Sicherheitssystems (Zugriffskontrollsystems) ermög-licht.
19 Daher wurde auf dem zugehörigen Command & Control Server ein Killswitch installiert, der bei Aufruf durch die manipulierte Software die backdoor automatisiert löscht. https://bit.ly/350NqZQ

20 In Orion-Code von einem weiteren Angreifer eingebettete Webshell ‚Supernova‘.
des Department of Homeland Security (DHS) ‚Einstein‘ (noch) nicht gespeichert war.
Eine Bereinigung der bekannt gewordenen Manipulationen wird weit mehr als 6 Monate benötigen erwartet.

21Allerdings greifen in dieser Form auch die USA andere Staaten an.

22 https://bit.ly/34ZsUZh
23 https://bit.ly/2MoRjBl
24 Art. 2 Abs. 2 GG
25 https://bit.ly/3aVA84z
26 Verdeckter Kanal. Logischer Kanal, der nicht zur Informationsübertragung vorgesehen ist – gleichwohl die unberechtigte und verdeckte (nicht–dokumentierte) Übertragung d.h. den Austausch von Informationen ermöglicht und damit die Sicherheitspolitik des IT-Systems verletzt. Es werden zwei Klassen von covert channels unterschieden covert storage channels und covert timing channels. Kanal, der einen den Sicherheitszielen zuwi-derlaufenden Informationsfluss zwischen mindestens 2 zusammenarbeitenden Instanzen ermöglicht – ohne durch die Zugriffskontrolle kontrollierbar zu sein, d.h. die Sicherheitspolitik verletzt.
27 https://bit.ly/3834v76
28 https://bit.ly/3o3kPKK
sowie das ‚Council to Secure the Digital Economy‘29 (CSDE) der IT- und Telekom-Industrie.

29 https://bit.ly/2JICXe8
30 https://bit.ly/3aWiA8h
31 https://cyber.dhs.gov/ed/21-01/