Die CISA – Cybersecurity and Infrastructure Security Agency – hat mit Direktive 21-01 am 13.12.2020 die sofortige Abschaltung oder Isolation aller Solarwinds Produkte angeordnet.
This Emergency Directive calls on all federal civilian agencies to review their networks for indicators of compromise and disconnect or power down SolarWinds Orion products immediately.
(Quelle: https://www.cisa.gov/news/2020/12/13/cisa-issues-emergency-directive-mitigate-compromise-solarwinds-orion-network)
Empfohlen werden diese Maßnahmen:
- Keep these products disconnected
- Label and isolate all backups of the affected version
- Conduct forensic analysis or search
Also Abschalten, Datensicherungen prüfen und die forensische Analyse.
Wow – das wird richtig viel Geld kosten.
Jetzt zeigt sich aber auch ein weiterer Nachteil der Cloud. Der Kunde hat in der Regel keine Information darüber, welche Produkte dort z.B. im Netzwerkmanagement zum Einsatz kommen.
In der “supplemental guidance” (https://cyber.dhs.gov/ed/21-01/#supplemental-guidance) wird es entsprechend “schwammig”.
Hier arbeitet man mit der FedRAMP (Federal Risk and Authorization Management Program) zusammen, um bei den Anbietern eine entsprechende Reaktion zu bewirken.
Volle Transparenz sieht anders aus.
Für den Kunden sind die Cloud Lösungen eine reine “Vertrauenssache”.
Anwälte kümmern sich um Verträge, die Haftungsfragen klären sollen.
Allerdings nützt es mir wenig, wenn ich von der Haftung freigestellt bin. Den “Imageschaden” muss ich am Ende dennoch tragen.
Cloud Dienste sind im Moment “modern” und wer, wie ich, über 30 Jahre in der IT zuhause ist, der hat schon ähnliche Bestrebungen gesehen.
Die damit verbundenen Risiken allerdings sind nicht Teil der üblichen Verkaufsgespräche.
Schon der gute alte Friedrich Schiller hatte die Weisheit gefunden:
Drum prüfe, wer sich ewig bindet,
Ob sich das Herz zum Herzen findet.
Der Wahn ist kurz, die Reu‘ ist lang.