Weihnachten 2020 war für viele IT-Sicherheitsexperten in den USA eine Katastrophe, und zwar nicht nur wegen der Pandemie. Statt mit ihren Familien verbrachten sie die Feiertage damit, die Computernetzwerke ihrer Unternehmen nach digitalen Eindringlingen abzusuchen. John Hultquist lacht herzhaft, wenn man ihn auf seine Mitschuld am verkorksten Weihnachtsfest anspricht. "Ja, da ist etwas dran. Es war absehbar, dass das für viele Sicherheitsteams ziemlich ärgerlich werden würde." Hultquist ist Vizepräsident der IT-Sicherheitsfirma Fire Eye. Trotz der Folgen fürs Fest der Kollegen - Fire Eye hatte keine andere Wahl, als das Unternehmen Mitte Dezember die IT-Sicherheitsbranche in Aufruhr versetzte. Denn was Hultquist und seine Kollegen entdeckt hatten, war einer der größten Hackerangriffe in der Geschichte der USA.
Mutmaßlich russische Hacker hatten sich in eine weitverbreitete Software geschmuggelt. Das Programm "Orion" der Firma Solar Winds hilft Unternehmen, einen Überblick über alle Geräte in ihrem Netzwerk zu behalten. Es sitzt tief im System und ist deshalb ein idealer Ausgangspunkt für Hacker. Die Zahl möglicher Opfer war gigantisch: 300 000 Kunden setzen die Software ein, darunter viele Ministerien und große Unternehmen. Der Hack war ein Schock für ein Land, das sich für die Cyber-Nation Nummer eins hält.
Wenige Tage zuvor hatte es noch so ausgesehen, als habe nur Fire Eye ein Problem. Über das Unternehmen aus Kalifornien ergoss sich ein großer Kübel Spott aus der Infosecurity-Szene, als es am 8. Dezember verkündete, dass es Unbekannten gelungen war, die sogenannten Red-Team-Tools der Firma zu stehlen. Diese Angriffswerkzeuge verwenden Fire Eyes eigene Hacker, wenn sie andere Unternehmen in deren Auftrag angreifen - um Schwachstellen in der digitalen Verteidigung zu prüfen. Das "rote Team" ist in Hacking-Simulationen die Angreiferseite, das "blaue" verteidigt. Dass diese Werkzeuge von Hackern gestohlen werden konnten, war für Fire Eye peinlich.
Nach wie vor kursieren Mythen und fragwürdige Empfehlungen, wenn es um IT-Sicherheit geht. Befolgen Sie lieber diesen siebenteiligen Ratgeber zum Safer Internet Day.
Aufgefallen waren die Eindringlinge nur, weil sie versucht hatten, neue Geräte für die Zwei-Faktor Authentisierung zu registrieren. Mitarbeiter, die sich im Fire Eye-Netzwerk anmelden, müssen zusätzlich zu ihrem Passwort einen Einmal-Code eingeben, der auf ihren Handys generiert wird. Jedes neue Gerät eines Mitarbeiters muss dafür vom Sicherheitsdienst zugelassen werden. Auch in diesem Fall meldete sich die IT bei dem Mitarbeiter, für den ein neues Handy registriert wurde. Doch der hatte gar kein neues Telefon. In diesem Moment war klar: Fire Eye war gehackt worden.
"A-Team" gegen unbekannte Hacker
Im Nachhinein betrachtet sei der Angriff auf seine Firma wohl ein Fehler der Hacker gewesen, sagt Hultquist. Denn Fire Eye sah sich an der Ehre gepackt. Fire Eye ist nicht irgendein Unternehmen. Viele in der Branche halten die Incident Response Teams der Firma für die besten. Diese Teams sichern in Unternehmen und Regierungen Spuren, nachdem diese gehackt wurden. Und dieses Mal wurde ihr eigenes Zuhause angegriffen, das gab zusätzliche Motivation: "Wir haben ein absolutes A-Team zusammengestellt, das rund um die Uhr gearbeitet hat", sagt Hultquist. Nur wenige Tage später fand das Team die verantwortliche Schadsoftware in einer Datei von Solar Winds Orion-Programm. In Fire Eyes System war die Malware schon Monate vorher gekommen, auf dem einfachsten aller möglichen Wege: über ein Update der Software. Zertifiziert und über den normalen Update-Server von Solar Winds geladen.
Der Angriff auf die Software-Lieferkette ermöglichte den Hackern auf einen Schlag Zugriff auf tausende Unternehmen. 18 000 Solar Winds-Kunden luden das verseuchte Update herunter. Es waren aber offenbar nur einige wenige, sehr prominente Ziele, in denen die Hacker die Hintertür tatsächlich nutzten, um zu spionieren: Microsoft, Intel, Cisco, Nvidia und natürlich Fire Eye - dazu noch eine Reihe von US-Behörden. Was genau die Spione entdeckten, welche Geheimnisse sie stahlen, ist in vielen Fällen ungeklärt. Die Untersuchungen dauern an. Das US-Justizministerium jedoch gab kürzlich bekannt, dass die Hacker Zugang zu mindestens drei Prozent der E-Mail-Postfächer im Ministerium hatten.
Dass sich Joe Biden nun genauso wie sein Vorgänger Donald Trump zu Beginn seiner Amtszeit mit den Auswirkungen eines mutmaßlich russischen Hackerangriffs herumschlagen muss, entbehrt nicht einer gewissen Ironie. Wegen der Erfahrung mit der russischen Einflusskampagne von 2016, als Hacker in die Systeme der Demokratischen Partei eingedrungen waren, hatten die USA die Sicherheitsvorkehrungen für die Wahl massiv hochgefahren. Schließlich galten der Hack der Demokraten-E-Mails und die folgende Veröffentlichung von Interna auf Wikileaks als ein Grund für Hillary Clintons Niederlage gegen Trump.
Waren die USA abgelenkt?
Haben die USA während des Wahljahrs also andere Sicherheitsmaßnahmen vernachlässigt? John Hultquist glaubt nicht, dass das einen Einfluss hatte. Der Angriff sei so raffiniert gewesen, dass er auch den Profis von Fire Eye fast durchgerutscht wäre. "Die USA erwarten von privaten Unternehmen, die besten Geheimdienste der Welt abzuwehren. Das ist ein hartnäckiger, gut ausgerüsteter, hervorragend organisierter, staatlich unterstützter Angreifer." Sich dagegen erfolgreich zu wehren, das könne man von Unternehmen kaum erwarten.
Seit 2014 waren mithilfe des Botnetzes Emotet Passwörter gestohlen, Banking-Daten ausgespäht und Unternehmen erpresst worden.
IT-Sicherheitsexperten geraten ins Schwärmen, wenn man sie auf Details des Solar Winds-Hack anspricht. Schon der eingeschleuste Software-Code sei technisch interessant, sagt Holger Unterbrink, der für die Talos Research Group des Unternehmens Cisco an IT-Sicherheit forscht. Wirklich großartig sei jedoch, wie sich die Hacker davor schützten, entdeckt zu werden. Um sich zu tarnen, veränderten sie nicht den Quellcode der neuen Solar Winds-Dateien, denn das hätte bei einer Überprüfung auffallen können. Sie warteten auf den Moment, in dem der noch rohe Code zu einer ausführbaren Datei zusammengebaut wird. Genau in diesem Moment schmuggelten sie ihre Version des Codes temporär in den Kompilierungsprozess ein. Die Entwickler hatten kaum eine Chance, sie dabei zu entdecken.
"Was die Angreifer da gemacht haben, ist ziemlich cool, wenn auch nicht unbedingt neu", sagt ein südafrikanischer Hacker, der in der Szene nur unter seinem Nachnamen bekannt ist: "the Grugq". Der IT-Sicherheitsexperte, der in Bangkok lebt, kennt sich aus mit den Arbeitsweisen internationaler Geheimdienste. Bis vor einigen Jahren hat er ihnen gegen üppige Provision Schwachstellen in Software verkauft. "the Grugq" ist einer der wenigen echten Promis der IT-Sicherheitsszene. Auf Twitter, wo er statt seines Gesichts ein Foto des Film-Samurai Kambei Shimada zeigt, verfolgen mehr als 100 000 Menschen seine Tweets zu globalen Cyber-Bedrohungen. Auch zu dem Solar-Winds-Hack hat the Grugq eine klare Meinung: "Cyberspionage ist ein stetiger Wettkampf", schreibt er der SZ. Ein Wettkampf, in dem die USA es gewohnt seien, auf der Gewinnerseite zu stehen. "Wenn es dann der anderen Seite gelingt, ein klares Tor zu schießen, dann ist das ein bisschen peinlich für die USA."
"Mund abwischen, weitermachen"
US-Nachrichtendienste glauben, dass die Angreifer aus einer Abteilung der russischen Geheimdienste kommen. Der Kreml bestreitet das. Einige US-Politiker fordern aber bereits Vergeltung: Am weitesten lehnte sich der demokratische Senator Richard Durbin aus dem Fenster. In der Rangordnung des US-Senats ist Durbin die Nummer zwei hinter Chuck Schumer. Dem Fernsehsender CNN sagte Durbin wenige Tage nach der Enthüllung des Hacks: "Das ist nahezu eine Kriegserklärung Russlands." Interessant und möglicherweise nicht ganz unabsichtlich war dabei die Wortwahl. Durbin sagte nämlich "This is virtually a declaration of war". War es nun eine virtuelle Kriegserklärung oder eine Beinahe-Kriegserklärung? The Grugq winkt ab. "Russland hat eine gute Spionage-Operation abgeliefert und die USA haben verloren. Das passiert." Sein Ratschlag an die USA: " Take the L and move on." Das L steht für Loss, also Niederlage. Übersetzt würde man wohl sagen: Mund abwischen, weitermachen.
Eines jedoch ist nach dem großen Hack klar: Cyberspionage gegen Ziele in den USA ist deutlich verbreiteter als angenommen. Im Januar berichtete das Wall Street Journal unter Berufung auf den Interimschef der Cybersicherheitsbehörde CISA, dass die gleichen Angreifer nicht nur die Solar-Winds-Lücke nutzten, um US-Netzwerke zu infiltrieren. 30 Prozent der Opfer seien auf anderem Weg gehackt worden, sei es durch das Erraten von Passwörtern oder durch andere Lücken in bekannter Software. Unter den so kompromittierten Unternehmen war unter anderem die IT-Sicherheitsfirma Malwarebytes. Zudem scheinen auch andere Gruppen die Schwachstelle in der Software von Solar Winds genutzt zu haben. In dieser Woche berichtete Reuters, dass auch eine chinesische Gruppe die Lücke in der Software Orion nutzte, um US-Ministerien zu knacken.
Fire Eye-Vize John Hultquist sieht die Operation weniger als Cyber-Kriegsakt. Zwar sei die Angriffsfläche potenziell riesig gewesen. Von den 18 000 möglichen Zielen hätten sich die Spione jedoch nur in einigen Dutzend ausgebreitet. Diejenigen Solar Winds-Kunden, denen das passierte, seien allesamt klassische Spionage-Ziele gewesen: Microsoft und sein Cloud-Dienst 365, wichtige Ministerien. Befürchtungen einiger Experten, die Angreifer hätten sich möglicherweise Zugang verschaffen wollen, um später etwa mit einer großen Löschaktion Schaden anzurichten, teilt Hultquist nicht.
Eine klare Reaktion der neuen Regierung von Joe Biden auf die Spionage-Aktivitäten steht noch aus. Der Präsident habe die Nachrichtendienste angewiesen, eine genaue Analyse der Angriffe vorzulegen, hieß es aus dem Weißen Haus. Sprecherin Jen Psaki sagte: "Wir behalten uns das Recht vor, jederzeit und auf jede Art auf Cyberattacken zu antworten."
Das klingt bedrohlich. Experten wie "the Grugq" bezweifeln aber, dass die Reaktion allzu vehement ausfallen wird. Der Grund sei einfach: "Es gibt keine Norm, die hier verletzt wurde, die die USA selbst als Grenze für ihre eigenen Operationen akzeptieren würde." Und diese eigenen Spionage-Operationen seien zahlreich und oft erfolgreich. Aus Russland oder China werde über erfolgreiche US-Hacks aber kaum berichtet. So entstehe in der westlichen Öffentlichkeit ein verzerrtes Bild, ganz so als wären die USA nur Opfer. Was erfolgreiche Cyberspionage-Missionen angeht, spielten die USA jedoch immer noch in einer eigenen Liga.
