Archiv

IT-Sicherheit
Solarwind-Attacke betrifft auch deutsche Ministerien und Firmen

Der Mitte Dezember in den USA bekannt gewordene Hackerangriff auf weite Teile der digitalen Infrastruktur betrifft auch Deutschland, wie Dlf-Recherchen ergeben haben. Etliche Ministerien, viele Bundesämter und auch Firmen sind betroffen. Fachleute sprechen vom gefährlichsten Hack des Jahrhunderts.

Von Peter Welchering |
Bei einem Angriff haben Hacker auch Zugriff auf den Quellcode bei Microsoft erlangt
Bei einem Angriff haben Hacker auch Zugriff auf den Quellcode bei Microsoft erlangt (dpa / Andrew Brookes / Westend61)
Wie weit ist die Solarwind-Software in Deutschland verbreitet?
Die Solarwind-Software ist in Deutschland sehr weit verbreitet. Denn Solarwind hatte weltweit 300.000 Kunden, darunter auch in Deutschland. Der FDP-Bundestagsabgeordnete Manuel Höferlin hat deshalb eine Anfrage an die Bundesregierung gestellt, wie es denn auf der Ebene der Bundesverwaltung aussieht. Die Liste der Bundesbehörden und Ministerien ist ausgesprochen prominent:
Verkehrs- und Familienministerium, Bundesämter für Güterverkehr, Kartographie und Sicherheit in der Informationstechnik stehen genauso drauf wie das THW, das Bundeskriminalamt, das Kraftfahrt-Bundesamt, die Physikalisch-Technische Bundesanstalt. Besonderen Anlass zur Sorge gibt der Einsatz von Solarwinds-Produkten bei der Wehrtechnischen Dienststelle 61, beim RKI und beim Informationstechnikzentrum Bund. Denn das ist der zentrale IT-Dienstleister, der vom Auswärtigen Amt über Dienststellen der inneren Sicherheit bis hin zum Zoll viele Behörden betreut. Bisher stehen 16 Ministerien und Bundesämter auf der Kundenliste von Solarwinds.
Eine Frau in Sicherheitsweste entfernt Schmutz aus einem Wasserbecken in einem Pumpwerk in Nyeri in Kenia, aufgenommen 2012
Hackerangriffe gefährden Wasserversorgung
Mehreren Tests zufolge sind Wasserwerke Hackerangriffen bislang geradezu schutzlos ausgeliefert. Besonders anfällig seien die Bereiche Fernwartung und Pumpsysteme, erklärte Dlf-IT-Experte Peter Welchering. Kritiker mahnen zum schnellen Handeln.
Die Liste erhebt allerdings keinen Anspruch auf Vollständigkeit und über Dienstleister ist die Bundesverwaltung also breit betroffen. Das geht eben in solche Hochsicherheitsbereiche wie WTD61, die ja die gesamte fliegerische Infrastruktur der Bundeswehr testet. Das sind natürlich erstklassige Ziele für ausländische Geheimdienste.
Sind auch internationale Unternehmen betroffen?
Es haben auch noch weitere Angriffe stattgefunden, beispielsweise haben die Hacker es geschafft, sich Zugang zum Quellcode von Microsoft zu verschaffen. Die Angriffe, die sie dann über die Kenntnisse des Quellcodes ausführen können, kommen noch erschwerend hinzu.
Die amerikanische Sicherheitsbehörde CISA hat eine Übersicht veröffentlicht, die ziemlich beeindruckend ist. Der Routerhersteller Cisco ist betroffen, das Sicherheitsunternehmen Crowdstrike, Prozessorhersteller wie Intel und Nvidia, der Software-Riese Microsoft. Auch Siemens steht auf der Liste und gleich mehrere Anbieter von Cloud-Services.
Hinzu kommt, dass auch sehr viele deutsche Unternehmen die Solarwind-Netzwerk-Management-Software nutzen - auch die sind betroffen. Da handelt es sich um Wasserwerke, Pharmaunternehmen, um Telekommunikationsunternehmen und so weiter. Also, das ist eine ganz, ganz breite Angelegenheit. Fachleute sprechen vom bedeutendsten, gefährlichsten Hack des Jahrhunderts.
Sind Hacker auch in Deutschland in die Netzwerke eingedrungen?
Ja, der IT-Sicherheitsforscher Professor Hartmut Pohl hat ganz klar gesagt, wir müssen davon ausgehen. Alle genannten Behörden leben bis auf Weiteres mit einer Hintertür seit Oktober, November 2020. Und er hat darauf hingewiesen: Die Systeme auszulesen, dauert höchstens eine Woche. Seine Arbeitshypothese ist, dass schon viele der Daten bei den Angreifern sind. Wir müssen also davon ausgehen, dass weitere Angriffe vorbereitet werden, weitere Angriffe auch auf die Infrastruktur. Das macht sie so gefährlich. Deshalb müssen wir jetzt ganz schnell entsprechende Gegenmaßnahmen ergreifen, damit diese Angriffe keinen weiteren Schaden anrichten können, der dann wirklich beträchtlich wäre.
Wer steckt hinter den Angriffen?
Neben Spuren nach Russland wird derzeit auch über Spuren nach China und nach Nordkorea spekuliert. Auch über eine schiefgelaufene Eigenoperation des technischen Geheimdienstes der USA, der NSA, wird orakelt. Bislang sind das aber alles Mutmaßungen und Verdächtigungen.
Hackerangriff auf Olympia - Russische Geheimdienstler angeklagt
In den USA sind sechs Mitarbeiter des russischen Geheimdienstes angeklagt worden. Sie sollen an digitalen Angriffen auf die Olympischen Spiele in Pyeongchang und Tokio beteiligt gewesen sein. Die Angeklagten werden allerdings keinesfalls vor Gericht erscheinen.
Was tut die Bundesregierung dagegen?
Die Bundesregierung muss dringend aufklären, wo und wie die Zugriffe erfolgt sind. Sie muss dringend aufklären, welche weiteren Sicherheitslücken es gibt. Da schweigt sie im Augenblick. Auch bei der Anfrage von Manuel Höferlin hat sich die Bundesregierung nur auf eine der Hintertüren bezogen.
"Nach derzeitigen Kenntnisstand der Bundesregierung hat es über das Sunburst genannte Schadprogramm in der Software "Solarwinds Orion" keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung gegeben."
Es fällt auf, dass sich die Regierung hier nur auf die Sunburst-Schadsoftware bezieht, nicht aber auf die gleichfalls bereits gefundene Supernova-Schadsoftware. Zwar schränkt die Bundesregierung ein und äußerst sich nur sehr vorsichtig, dass es nach derzeitigem Kenntnisstand keine unberechtigten Zugriffe gegeben habe. Das tröstet Sicherheitsexperten allerdings nicht. Denn die Angreifer dürften die Spuren ihres Zugriffs nach ihrer Attacke gelöscht haben.
IT-Experte: "Die Sicherheitslücken müssen veröffentlicht werden"
Die zweite Hintertür hat die Bundesregierung vollkommen ausgelassen und dazu keine Angaben gemacht. Diese Dinge müssen zunächst aufgeklärt werden. Wenn wir nicht wissen, wie genau die Gefährdungssituation aussieht, dann können wir zu keiner ordentlichen Verteidigungsstrategie kommen. Und wir brauchen eine erste Strategie.
Am Haupteingang zum Universitätsklinikum Düsseldorf fährt ein Krankenwagen vorbei
Notaufnahme geschlossen - Der Hackerangriff auf die Uniklinik Düsseldorf
Die Uniklinik Düsseldorf ist Opfer eines Hackerattacke geworden: Operationen waren nicht mehr möglich, die Notaufnahme musste schließen, möglicherweise kostete der Angriff sogar einen Menschen das Leben. Der Regelbetrieb ist noch immer gestört.
Die Solarwind-Systeme müssen vom Netz. Die Systeme müssen daraufhin untersucht werden, welche konkreten Hintertüren es gibt, nicht nur die beiden gefundenen, sondern auch noch weitere, vermutete. IT-Sicherheitsforscher Hartmut Pohl geht noch von einer Hintertür Nummer drei und Nummer vier aus, davon sei er fest überzeugt. Die müssen gefunden werden. Und auch weitere Sicherheitslücken müssen gefunden werden, darüber ist noch gar nicht gesprochen worden. Die verborgene Schadsoftware und die verborgenen Kanäle, die aufgebaut wurden für die Kommunikation von einem Server, der weitere Schadsoftware auf diese Systeme streut, die müssen natürlich auch ausfindig gemacht werden und abgeschaltet werden.
Könnte es zu einem IT-Lockdown kommen?
Die Eintrittswahrscheinlichkeit ist hoch, sagen Fachleute. Die digitalen Angriffe der vergangenen Wochen und Monate waren heftiger als in den Jahren zuvor: Angriffe auf Krankenhäuser, Angriffe auf Lieferketten, Angriffe auf die Verteilung der Impfstoffe.
Bei den Orion-Hintertüren von Solarwinds ist nun wichtig, dass die Unternehmen, die bereits einen Angriff festgestellt haben, der über die Updates von Solarwinds ausgeführt wurde, den genauen Ablauf des Angriffs dokumentieren und unabhängigen Sicherheitsexperten zur Verfügung stellen. Daraus können wichtige Abwehrmaßnahmen abgeleitet werden. Wir müssen alles tun, damit es in der jetzigen Pandemie-Situation nicht auch noch zu einem IT-Lockdown kommt.
Wenn die Wiederherstellungsmaßnahmen intelligent gemacht werden, ist so ein IT-Lockdown vermeidbar. Dafür braucht es einen Plan und massives Testen der betroffenen Behörden und Unternehmen. Eine Risikoanalyse wäre die Voraussetzung, um über die Trennung vom Netz, die Installation neuer Geräte und Software und die Überprüfung aller gespeicherten Daten zu einem umfassenden Test zu kommen.
Welche langfristigen Abwehr-Maßnahmen sind nötig?
Wir brauchen endlich sichere Software. Die Solarwinds-Software beispielsweise weist enorm viele zugekaufte Module und Versatzstücke auf. Da brauchen wir eine ganz andere Sicherheitsüberprüfung, viel strengere Kriterien, bevor solch ein Modul überhaupt verarbeitet werden darf.
Das Update ist signiert ausgeliefert worden. Unsere gesamte Signaturinfrastruktur ist in sicherheitstechnischer Hinsicht ein Desaster. Wir müssen endlich zu einem systematischen Management der Sicherheitslücken kommen. Die müssen systematisch aufgespürt, gemeldet, kontrolliert beseitigt und geschlossen werden. Stattdessen fehlt im neuen IT-Sicherheitsgesetz immer noch die Meldepflicht für Sicherheitslücken.
Meldepflicht für Sicherheitslücken fehlt
Und zwar deshalb, weil Militärs, Nachrichtendienste und andere Sicherheitsbehörden sagen: "Wir brauchen Sicherheitslücken für unsere digitalen Waffen, für unsere Ausspähaktionen." Die Regierungen der EU-Mitgliedstaaten wollen Hintertüren in die Verschlüsselung einzubauen. Stärker kann man IT-Sicherheit gar nicht schwächen. Und noch eines hat Solarwinds gezeigt: Das Sicherheitsbewusstsein von Managern und Mitarbeitern der IT-Sicherheitsindustrie ist einfach unterirdisch.
Beispielsweise lagen Systempassörter für die Solarwinds-Software einfach auf einem Server im Netz herum. Als die ersten Hinweise kamen, dass die Netzwerkplattform korrumpiert sein könnte, wurden die einfach weggedrückt. Nach dem Hack auf die Quellcodes, den Microsoft einräumen musste: Wieder dasselbe Leugnen der Risiken und Herunterspielen. So werden wir die Sicherheitsprobleme nicht in den Griff kriegen.