Eher Darmwind als Sonnenwind

Ein Leser hat mich darauf aufmerksam gemacht, dass ich noch überhaupt nichts zu dem gewaltigen Skandal um SolarWinds geschrieben habe.

Kontext: Die Firma SolarWinds hat eine Software namens Orion im Angebot, mit der sich IT-Infrastrukturen überwachen lassen. Viele Firmen nutzen dieses Produkt. Und haben sich jetzt sehr ernste Probleme eingefangen: Irgendwie tauchten wohl Zugangsdaten zu einem Update-Server von SolarWinds in der Öffentlichkeit auf, was prompt genutzt wurde, um Updates mit Schadsoftware zu verseuchen. Die kompromittierten Updates wurden dann von verschiedenen SolarWinds-Kunden eingespielt. Tschingderassa-Bumm.

Stimmt, ich habe dazu bisher noch nichts geschrieben. Problem ist, ich weiß nicht so recht, wie ich das Thema angehen soll. Man könnte Stunden darüber schwadronieren, wie skandalös das alles ist und wie man all jene Firmen zur Rechenschaft ziehen sollte, die diesen Software-Rotz überhaupt einsetzen, anstatt selbst die Verantwortung für Sicherheit und Monitoring zu übernehmen. Man kann auch sagen: Oh, waren bestimmt mal wieder die bösen Russen, diese Fieslinge. WIR - sprich: der Westen - machen solches Hacking ja ÜBERHAUPT nicht.

Die Liste der betroffenen Firmen ist lang. Nur um mal einen kleinen Ausschnitt zu nennen:

AT&T, CBS, Cisco, Credit Suisse, Ford Motor Company, Gillette Deutschland GmbH, Hertz Corporation, ING Direct, Kodak, MasterCard, McDonald’s Restaurants, Microsoft, Nestle, Siemens, Sparkasse Hagen, Subaru, Symantec, Visa USA, Volvo, Yahoo, ...

Ich muss schon ziemlich lange suchen, um einen Bekannten oder Verwandten zu finden, der nicht Kunde irgendeines Unternehmens ist oder war, das auf der Liste steht. Auch ich bin ein potenziell Betroffener. Benachrichtigt wurde ich selbstverständlich von keinem Unternehmen, das meine Daten lagert und erwischt wurde von dem Hack.

Derzeit ist unklar, welche Daten von den Angreifern wo rausgetragen wurden. Aber da umfassendes Monitoring von Hard- und Software häufig tiefgreifende Systemrechte benötigt, dürft ihr davon ausgehen, dass potenziell sehr viele, sehr kritische Systeme sehr intensiv kompromittiert wurden, und grundsätzlich die Sicherheit jeder Art von Daten in Frage steht - inklusive eurer personenbezogenen.

Naja, was soll ich sagen. Die Konsequenzen für die Verantwortlichen, sowohl auf "Opfer"- als auch Täterseite, werden - im Verhältnis zur Größenordnung des Problems - so verschwindend gering sein, dass einem eigentlich nur noch das Ausweg bleibt: Auf eine einsame Insel ziehen und vom Rest der Welt abschotten.