Cyberattacken: Auch deutsche Behörden nutzten SolarWinds-Software – nur welche?

15 deutsche Ministerien und Bundesämter nutzten laut Bundesregierung Software von SolarWinds. Aber ob es das gehackte Orion-Tool war, sagt die Regierung nicht.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 59 Beiträge

(Bild: Andrew Derr/Shutterstock.com)

Von
  • Axel Kannenberg

Auch in Deutschland könnten Behörden vom Hack auf die Netzwerksoftware der Orion-Reihe vom Anbieter SolarWinds betroffen sein. Demnach nutzen oder nutzten 15 Ministerien und Bundesämter zumindest teilweise oder "vereinzelt" Produkte der US-Firma, wie aus einer Antwort der Bundesregierung auf Anfrage des Bundestagsabgeordneten Manuel Höferlin (FDP) hervorgeht, die heise online vorliegt. Darunter sind der zentrale IT-Dienstleister des Bundes, ITZ Bund, das Bundesverkehrsministerium, das Kraftfahrt-Bundesamt, das Robert Koch-Institut, das Deutsche Patent- und Markenamt, das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Völlig offen lässt die Liste, ob es sich auch um die gehackte Software aus dem SolarWinds-Portfolio handelt, die zum Einsatz kam. Im Falle des ITZ Bund sei es nur eine "unkritische Version" einer Server-Software gewesen und nicht das gehackte SolarWinds Orion, erklärte inzwischen der Direktor des ITZ Bund, Alfred Kranstedt, gegenüber dem Spiegel. Folglich sei man nicht betroffen. Der Spiegel hatte zuerst über das Thema berichtet.

Zur Frage, ob bei den genannten Einrichtungen eventuell unbefugte Zugriffe auf sensible Daten verübt wurden, erklärte die Bundesregierung: "Nach derzeitigem Kenntnisstand der Bundesregierung hat es über das Sunburst genannte Schadprogramm in der Software SolarWinds Orion keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung gegeben." Die Liste der genannten Einrichtungen erhebe aber noch "keinen Anspruch auf Vollständigkeit" und sei unter "hohem Ressourcenaufwand und umfangreichen Abstimmungen" erstellt worden.

Zu einem Einsatz von SolarWinds-Tools beim Bundesamt für Verfassungsschutz (BfV) und beim Bundesnachrichtendienst (BND) machte die Bundesregierung keine Angaben. "Dies könnte einen Nachteil für die wirksame Aufgabenerfüllung des BfV sowie des BND und damit für die Interessen der Bundesrepublik Deutschland bedeuten", lautet die Begründung in der Antwort.

FDP-Politiker Höferlin kritisierte, die Bundesregierung habe "bis heute noch nicht die leiseste Ahnung, wo und in welchem Ausmaß die deutsche IT-Sicherheit betroffen ist. Statt sich um die Integrität der eigenen Systeme und die Auswirkungen auf die IT-Sicherheit in ganz Deutschland zu sorgen, beschwert sie sich sogar noch über den Rechercheaufwand zu meiner Anfrage."

Die von den Angreifern eingesetzte Malware Sunburst war mindestens seit dem Frühjahr über verseuchte Updates für die Netzwerkmanagement-Plattform Orion von SolarWinds auf Systeme von bis zu 18.000 Kunden des Dienstleisters gelangt. Dort hatte der Schädling eine Hintertür installiert und so die Übernahme infizierter Systeme aus der Ferne in die Wege geleitet. Hinter den Attacken soll dieselbe Gruppe stecken, die zuvor auch erfolgreich die IT-Sicherheitsfirma FireEye attackiert hatte. Unter den Betroffenen befanden sich mehrere US-Ministerien und Behörden, aber auch Firmen wie Microsoft.

US-Geheimdienste und -Sicherheitsbehörden gehen inzwischen davon aus, dass wahrscheinlich Russland hinter der Cyber-Attacke steckt. Bereits Ende Dezember hatten Justizminister Barr und Außenminister Pompeo Moskau beschuldigt. Laut den US-Diensten sei nur eine viel kleinere Zahl der 18.000 Betroffenen durch nachfolgende Angriffe gezielt kompromittiert worden. So seien weniger als zehn US-Regierungsbehörden betroffen. Man arbeite noch daran, alle Opfer in der Privatwirtschaft ausfindig zu machen.

Das US-Justizministerium teilte etwa mit, es sei Angreifern geglückt, hauseigene Office-365-Mailboxen anzuzapfen und damit den Mailverkehr von drei Prozent der rund 100.000 Mitarbeiter abzugreifen.

Im Falle Microsofts konnten die Angreifer wohl so weit in die Netzwerke des Softwareunternehmens eindringen, dass sie Zugriff auf Quellcode erlangten. Der Schaden halte sich aber in Grenzen, erklärte Microsoft. Weder die eigene Sicherheit noch die der Kunden sei gefährdet, Hinweise, dass Programme des Unternehmens danach zum Angriff auf Dritte genutzt wurde, gebe es keine.

Berichte vom Wall Street Journal und der New York Times legen nahe, dass US-Dienste inzwischen eine mögliche Verbindung des Falls mit der in Tschechien beheimateten Softwarefirma JetBrains untersuchen. Demnach könnte diese ihrerseits kompromittiert worden sein und als Einfallstor zu SolarWinds gedient haben – konkret sei das unter Entwicklern beliebte Tool Teamcity unter Verdacht. Es dient während der Softwareentwicklung im Team dazu, durchgeführte Änderungen kontinuierlich in die Code-Basis zu integrieren (Continuous Integration) und zu testen.

JetBrains-Chef Maxim Shafirov erklärte, dass seine Firma weder in irgendeiner Weise am Hack beteiligt gewesen sei noch Kenntnis über Untersuchungen von Sicherheitsdiensten oder Behörden habe. SolarWinds sei zwar Kunde und nutze auch Teamcity, habe aber bezüglich des Hacks keinen Kontakt zu JetBrains aufgenommen. Man achte auf Sicherheitsupdates und informiere transparent über diese, sagte Shafirov. Sollte Teamcity für den Hack genutzt worden sein, könne dies auch an einer Fehlkonfiguration des komplexen Tools gelegen haben und nicht unbedingt an einer Sicherheitslücke.

Zu den Cyber-Attacken via SolarWinds:

(axk)