Der Sunburst-Hack ist in aller Munde, die irgendwas mit IT zu tun haben. Ich hatte ja bereits darüber erzählt. Aber es gibt noch wesentlich mehr Informationen. Über das Wochenende trudelte so einiges zum Thema ein. Und man fragt sich ernsthaft, wohin das noch führt. Solarwinds ist ja das Eine. Microsoft das Andere. Aber dann haben wir das, was das Sicherheitsunternehmen FireEye alles so erzählt hat. Und da wird es irgendwie klar: Ich habe bestimmt nicht übertrieben, als ich den Sunburst-Hack als biblisch bezeichnet habe.
Wie reagiert denn Microsoft auf den Sunburst-Hack?
Also zunächst einmal: Microsoft hatte bekannt gegeben, dass ihre Systeme auch von dem massiven Angriff auf Solarwinds betroffen waren. Zunächst hatte wohl Reuters von der Kompromittierung bei Microsoft berichtet. Die Cloud-Produkte des Riesen aus Redmond wurden benutzt, um andere Opfer anzugreifen, die Microsoft 365 / Office 365 / Exchange Online / Azure etc. nutzen. Allerdings soll es zu keinem Einbruch in die Produktionssysteme gekommen sein.
Microsoft hat nach Hinweisen auf die Kompromittierung gesucht und die bösartigen Binärdateien aus Solarwinds Orion gefunden. Diese wurden isoliert und entfernt. Es gibt laut Microsoft keine Hinweise darauf, dass Systeme von Ihnen für Angriffe auf andere benutzt wurden. Ebenso gab es keinen Zugriff auf Kundensysteme. Dennoch stellt der Sunburst-Hack nach wie vor eine ernsthafte Bedrohung für alle möglichen Bereiche dar. Näheres könnt ihr hier auf Englisch nachlesen.
Nach dem Angriff: Wie schützen?
Jetzt können wir alle viel erzählen und Alarm schlagen. Bislang hat Microsoft mehr als 40 Organisationen festgestellt, die durch den Sunburst-Hack getroffen wurden. Und offenbar ist diese massive Attacke noch nicht vorbei. Deshalb sollte man sich über ein Sicherheitskonzept im Klaren sein. Wer schon Microsoft Cloud-Produkte benutzt, kann sie auch mit Bordmitteln absichern. Das klappt ziemlich gut mit dem Defender ATP und Sentinel. Ja, ich hatte auch schon mal Sentinel am Wickel.
Es gibt einen neuen Threat Analytics Report. Der spricht von der „Solorigate Supply Chain Attack“. Das ist die Microsoft-eigene Bezeichnung zum Sunburst-Hack. Jedenfalls gibt es wichtige Hinweise von Microsoft nach der Attacke. Vor allem in hybriden Umgebungen spielt da einiges eine Rolle. Diese Hinweise darf gern jeder Administrator gelesen haben. Zentrales Element sind die Administrator-Konten. Diese dürfen unter keinen Umständen zwischen lokalen Rechenzentren und der Cloud irgendwas gemein haben.
Kurz gesagt: Natürlich ist es einfacher, alle Konten – inkl. Administrator-Konten – zwischen On-Premises und Microsoft 365 zu synchronisieren. Aber der Sunburst-Hack setzt ganz genau dort an, wenn man sich so die Meldungen anschaut. Und deshalb sollten Cloud-Administratoren immer verschieden zu lokalen Administratoren sein. Und sie sollten immer nur exakt darauf berechtigt sein, was sie unbedingt brauchen. Kein Unternehmen der Welt braucht einen ganzen Zoo an Global Admins.
Und die US-Regierung?
Auch trotz solcher Sachen wie dem Sunburst-Hack gilt: Es kann niemals eine absolute Sicherheit geben. FireEye findet immer wieder Lücken, Botnets und so genannte Advanced Persistent Threats. Allerdings ist Sunburst eine gewaltige Attacke. Es ist daher komplett unverständlich, wieso der noch-amtierende US-Präsident Donald Trump diese Nummer herunterspielt. Ich meine, es ist doch offensichtlich, dass mehrere Ministerien und US-Bundesbehörden angegriffen und ausspioniert wurden. Was soll das?
Man weiß noch nicht, woher das Ganze kam. Aber man nimmt an, dass die zufällig entdeckte Attacke staatlich unterstützt war. Ob der Sunburst-Hack nun aber irgendwas mit Russland, China, den arabischen Gotteskriegern oder „Dem Pinkie und dem Brain“ zu tun hat, weiß man nicht. Vielleicht spielt Trump die Geschichte herunter, um die Angreifer in Sicherheit zu wiegen. Aber ich würde nicht darauf wetten wollen. Der Angriff wurde zufällig entdeckt, deshalb kann noch alles mögliche herauskommen.
Es bleibt jedenfalls spannend. Und ich nehme an, dass der ganze Hack nicht auf die USA beschränkt bleibt. Ich habe beim Lesen und durch den Kontakt mit dem einen oder anderen Kunden gelernt, dass die Admin-Konten getrennt sein sollen und die Admins bitteschön eine Zwei-Faktor-Authentifizierung nutzen sollen. Auch solche Dinge wie Windows Hello oder sonstwas ist nicht ganz von der Hand zu weisen. Man muss es einrichten, ja. Vielleicht treibt der Sunburst-Hack ja viele Leute dahin, Sicherheit ernst zu nehmen.