SolarWinds-Software auch in deutschen Behörden im Einsatz

Wenige Wochen nach Bekanntwerden des groß angelegten Hackerangriffs auf US-Bundesbehörden unter Kompromittierung der Software des Unternehmens SolarWinds hat der FDP-Bundestagsabgeordnete Manuel Höferlin in Erfahrung gebracht, dass auch deutsche Regierungsbehörden diese verwendet haben und teilweise sogar noch verwenden.

Dies geht aus der Antwort auf eine schriftliche Frage hervor, die der Abgeordnete an die Bundesregierung gerichtet hatte. Das Dokument ist noch nicht auf dem Webportal des Bundestages abrufbar.

Liste hat „keinen Anspruch auf Vollständigkeit“

Wie der „Spiegel“ berichtet, umfasst die von Höferlin präsentierte Liste, die „keinen Anspruch auf Vollständigkeit“ erhebt, 16 Ministerien und Bundesämter, in denen zumindest „zeitweise oder vereinzelt“ Produkte des in Texas ansässigen Softwareherstellers verwendet wurden – oder nach wie vor werden.

Unter den betroffenen Einrichtungen seien das Bundesverkehrsministerium und das Kraftfahrtbundesamt aufgelistet. Allerdings stehen noch deutlich sensiblere Einrichtungen auf der Liste. Dazu gehören die Testeinrichtung WRD 61 für Flugzeuge der Bundeswehr in Manching, das Bundeskriminalamt (BKA), das Robert Koch-Institut und sogar das Informationssicherheitsamt BSI selbst.

Sogar das Informationstechnikzentrum Bund, zu dessen Kunden Zollbehörden ebenso wie Finanzämter oder das Auswärtige Amt zählen, greift auf SolarWinds zurück. Dies allerdings nur punktuell, wie Alfred Kranstedt, Chef der Einrichtung, gegenüber dem „Spiegel“ betonte. Es gehe zudem nur um „ein Produkt, das nicht von dem Hack betroffen ist“, nicht um die betroffene Orion-Reihe.

Nur „Orion“-Software kompromittiert

Dem Fachportal „Golem“ zufolge sei auch der in Tschechien ansässige Software-Hersteller Jetbrains im Visier der Ermittler. SolarWinds sei seinerseits Kunde dieser Dienste. Bezüglich der genauen Verbindung zwischen beiden Unternehmen halten sich die Ermittler bislang noch bedeckt. Russische Entwickler hatten Jetbrains gegründet, zudem unterhalte das Unternehmen in Russland Entwicklungsbüros. Das Unternehmen selbst sei, wie es vonseiten eines Sprechers heißt, nicht über Ermittlungen im Bilde, aber bereit, umfassend zu kooperieren.

Höferlin sprach unterdessen gegenüber dem „Spiegel“ vom „massivsten Angriff auf die westliche Welt seit Jahrzehnten“. Die Bundesregierung dürfe keine Zeit verlieren, um zu klären, ob und gegebenenfalls in welchem Umfang die deutsche IT-Infrastruktur betroffen gewesen ist.

Die Hacker selbst hätten von sich aus Hintertüren wieder geschlossen, durch die sie eingedrungen sind, um das Risiko entdeckt zu werden zu minimieren. Dies spreche für ein zielgerichtetes Eindringen.

Die Bundesregierung geht jedoch „nach derzeitigem Kenntnisstand“ davon aus, dass es „über das Sunburst genannte Schadprogramm in der Software SolarWinds Orion keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung gegeben“ habe. Ähnlich habe sich laut „Computerbase“ bereits Anfang Dezember ein Regierungssprecher geäußert.

Hacker infiltrierten mehrfach Deutschen Bundestag

In einer Stellungnahme der US-Behörde für Cybersicherheit CISA zusammen mit dem FBI und der NSA hieß es, dass auch in den USA nur ein Bruchteil der etwa 18.000 betroffenen SolarWinds-Kunden aktiv infiltriert worden sind.

In Deutschland war bislang der Bundestag mehrfach von Hackerangriffen betroffen, deren Urheber in Russland vermutet wurden. Der Weitreichendste begann Anfang 2015 und soll mehrere Monate gedauert haben. Die Hacker sollen versucht haben, das von rund 20.000 Accounts im Bundestag genutzte Kommunikationssystem Parlakom zu infiltrieren.

Politiker und Medien befürchteten, die erlangten Daten könnten im Bundestagswahlkampf 2017 zur Beeinflussung der Stimmung genutzt werden. Erhärtet haben sich die Befürchtungen nicht. Allerdings gab es in den späteren 2010er Jahren auch noch Angriffe auf mehrere NATO-Staaten sowie Rüstungsunternehmen, insbesondere aus der Luft- und Raumfahrtbranche. Auch soll ein Rechner des „Netzwerk Informationsverbund Berlin-Bonn“ (IVBB) infiltriert worden sein.

Bei Microsoft sogar an Quellcodes gelangt

Der „BBC“ zufolge wurde die Netzwerkmanagement-Software aus dem in Texas ansässigen Unternehmen SolarWinds gehackt und so Zugang zu Daten bedeutender Institutionen erlangt. Über die Infiltration dieser Software durch ein Update sei es Hackern gelungen, ein „hohes Maß an Kontrolle“ über Organisationen zu erhalten, die diese Software verwenden. Ziel war vor allem die Abschöpfung von Daten gewesen, nicht deren Zerstörung.

Sogar der IT-Gigant Microsoft soll ins Visier der Datendiebe geraten sein, deren Herkunft Ermittlungsbehörden und Geheimdienste bislang in der Russischen Föderation vermuten. Aufgrund des Aufwands und des Umfangs des Hacks gehen Ermittler davon aus, dass staatliche Stellen involviert gewesen sein mussten.

US-Präsident Donald Trump mahnte hingegen im Dezember, auch eine mögliche Verwicklung des Regimes in China nicht vorschnell auszuschließen. Im Fall von Microsoft seien die Cyberkriminellen sogar an Quellcodes gelangt. Vertreter der russischen Regierung bestreiten eine Verwicklung in die Angelegenheit.

SolarWinds zufolge könnten 18.000 der 300.000 Kunden des Unternehmens betroffen sein. Die Aktion könnte Ermittlern zufolge bereits im März des Vorjahres begonnen haben. Neben Regierungsbehörden hätten die Akteure dahinter auch bei Privatunternehmen versucht, Malware in SolarWinds-Updates einzuschleusen. Sollte dies gelungen sein, hätten sie über Monate hinweg Zugriff auf die Systeme.