#Auch Außen- und Heimatschutzministerium betroffen

Das Ausmaß der Cyberattacke auf die amerikanische Regierung, Ministerien und private Firmen ist größer als bislang bekannt war. Am Montag stellte sich heraus, dass auch das Außenministerium, das Heimatschutzministerium, Teile des Pentagons und die nationalen Gesundheitsinstitute betroffen sind. Schon am Wochenende war berichtet worden, dass das Finanz- und das Handelsministerium angegriffen worden waren. Sie waren jedoch nur die ersten Ministerien, bei denen das Problem entdeckt wurde. Fachleute gehen davon aus, dass es noch mehr Betroffene gibt, sowohl in den Vereinigten Staaten, als auch im Rest der Welt.

Aufgedeckt hatte den Angriff die Cybersicherheitsfirma Fireeye, die in der vergangenen Woche ebenfalls Opfer einer Attacke geworden war. Das Unternehmen alarmierte die amerikanischen Geheimdienste, die daraufhin begannen, die Systeme nach Eindringlingen zu durchforsten. Was genau die Angreifer erbeuten konnten, wird wohl noch eine Zeit lang unklar blieben. Fachleute vermuten, dass Russland hinter dem Versuch steckt, amerikanische Geheimnisse zu stehlen. Möglicherweise handele es sich um den KGB-Nachfolger SWR, genauer um eine Gruppe namens APT 29 oder „Cozy Bear“ („Kuscheliger Bär“).

Wie am Montag bekannt wurde, hatten sich die Angreifer Zugang zu dem Softwareunternehmen Solarwinds verschafft. Dort konnten sie in eine Software namens Orion ihren eigenen Code einschleusen. Orion ist ein Programm zur Überwachung von Netzwerken und wird von vielen Teilen der amerikanischen Regierung und von privaten Firmen eingesetzt. Wie die Fachleute berichten, war es den Hackern gelungen, ein Update für Orion so zu manipulieren, dass sie darüber Zugang zu den dahinterliegenden Netzwerken erhielten. Dazu konnten sie Daten von Nutzerprofilen erbeuten und einsetzen, die von der Software als vertrauenswürdig eingestuft werden. Solarwinds teilte mit, es seien bis zu 18.000 seiner Kunden davon betroffen. Fachleute von Fireeye vermuten, dass die Zahl der wirklich Geschädigten lediglich in die Dutzende geht.

Laut den Ermittlern gingen die Angreifer extrem vorsichtig, zielgerichtet und raffiniert vor. Seinen Anfang habe der Angriff schon im März, also vor neun Monaten genommen. Die Hacker hätten nicht versucht, ihren Zugriff so schnell und groß wie möglich auszunutzen, weil dann das Risiko entdeckt zu werden höher ist. Vielmehr hätten sie sich Zeit genommen und nur die Ziele ausgebeutet, die für sie am wertvollsten gewesen seien. Die Behörde für Cybersicherheit und Infrastruktur, eine Unterbehörde des Heimatschutzministeriums, hat allen Nutzern empfohlen, Orion abzuschalten. Das heißt jedoch nicht, dass die Angreifer aus dem System verbannt wurden. Solange die Sicherheitslücken nicht geschlossen werden, haben sie weiterhin Zugang, wenn das Programm wieder gestartet werden sollte. Solarwinds hat schon ein Update zur Verfügung gestellt und will noch im Laufe des Dienstags ein weiteres präsentieren.

Wie die „New York Times“ berichtet, nutzten fast alle der 500 größten Unternehmen der Vereinigten Staaten – unter anderem auch die Zeitung selbst – Programme von Solarwinds zur Überwachung ihrer Netzwerke. Das heißt jedoch nicht, dass alle auch ausgespäht worden seien.

Thomas Rid, Professor für Politikwissenschaft an der Johns-Hopkins-Universität in Washington, wies darauf hin, dass es sich wohl um klassische Spionage handele. Es sei ein verdeckter Versuch gewesen, Geheimnisse der Vereinigten Staaten auszuspähen. Außerdem ist der jetzige Angriff weit weniger zerstörend als der Angriff von 2016, als russische Hacker in amerikanische Netzwerke eindrangen und Geheimnisse stehlen konnten und diese kurz vor der amerikanischen Präsidentenwahl veröffentlichten. Außerdem inszenierten sie seinerzeit Desinformationskampagnen in den sozialen Netzwerken, um die Wahlen zu beeinflussen. Der damalige Angriff wurde nach Ansicht der Fachleute vom russischen Militärgeheimdienst GRU ausgeführt, von einer Gruppe namens APT 28 oder „Fancy Bear“ („Schicker Bär“). Diese Angreifer gingen damals bei weitem nicht so vorsichtig vor wie die Hacker des jetzt entdeckten Angriffs.

Die russische Botschaft in Amerika wies die Vorwürfe, Russland stecke hinter der Attacke, umgehend zurück. Es sei nur ein „Versuch der amerikanischen Medien, Russland für Hacker-Attacken auf Teile der amerikanischen Regierung“ verantwortlich zu machen. Russland führe „keine offensiven Aktionen im Cyberbereich“ durch, hieß es in der Stellungnahme.