#Massiver Cyberangriff gefährdet deutsche Behörden

Fällt das Wort „historisch“ im Zusammenhang mit einer Cyberattacke, ist grundsätzlich Vorsicht geboten. Hackerangriffe geschehen fast jeden Tag und nach Einschätzung von Fachleuten dürfte es kaum ein Unternehmen in Deutschland geben, das noch nicht aus dem Cyberspace angegriffen wurde. Doch die Attacke auf den amerikanischen IT-Dienstleister Solarwinds, der Hackern im Handstreich einen Zugang in die Systeme von mehr als 250 amerikanischen Behörden, Ministerien und prominenten Unternehmen eröffnete, hat einige Berechtigung, als „historisch“ zu gelten.

Nicht nur das schiere Ausmaß der Attacke ist bestürzend: Den Hackern gelang es, eine Hintertür in die Updates von Solarwinds verbreiteter Netzwerksoftware „Orion“ einzubauen. Durch die automatisch heruntergeladenen Aktualisierungen erhielten sie so Zugriff auf insgesamt rund 18.000 Netzwerke von Unternehmen und Regierungsbehörden. Vor allem aber geschah das schon mindestens im Frühling vergangenen Jahres. Die Hacker hatten so rund neun Monate Zeit, sich ungestört in den Systemen umzuschauen und mutmaßlich geheime Daten mitzulesen und abzuschöpfen. Unter anderem gelang es ihnen, bei Microsoft bis zu den streng geschützten Quellcodes der Programme des Softwarekonzerns vorzudringen.

Der Angriff fiel erst auf, als Mitte Dezember der private Sicherheitsdienstleister Fireeye Alarm schlug – nicht eine der amerikanischen Behörden, zu dessen Aufgabenbereich die Cyberabwehr gehört. Bis dahin waren die Hacker schon in die Netzwerke des amerikanischen Finanz- und Außenministeriums, des Pentagon und auch des Energieministeriums mitsamt seiner untergeordneten Behörde NNSA eingedrungen, welche das Atomwaffenarsenal der Vereinigten Staaten verwaltet.

16 deutsche Behörden hatten oder haben Solarwinds-Software im Einsatz

Nun zieht der „Solarwinds-Hack“ sogar noch weitere Kreise. Denn Software des kompromittierten Unternehmens wurde auch von deutschen Ministerien und Behörden genutzt. Das bestätigt die Antwort auf eine schriftliche Anfrage des FDP-Bundestagsabgeordneten Manuel Höferlin, die der F.A.Z. vorliegt. Demnach hatten oder haben nicht weniger als 15 Bundesbehörden und ein Ministerium Software von Solarwinds im Einsatz. Zudem heißt es, dass die Aufstellung „keinen Anspruch auf Vollständigkeit“ erhebe.

Unter den betroffenen Regierungsstellen sind das Bundeskriminalamt, das Verkehrsministerium von Minister Andreas Scheuer (CSU) und das die Bekämpfung der Corona-Pandemie anführende Robert-Koch-Institut. Auch das Technische Hilfswerk (THW), das Bundessozialgericht und die sogenannte Wehrtechnische Dienststelle 61 hatten potentiell Hacker im Haus. Letztere ist für die Erprobung von Flugzeugen und sonstigen Luftfahrzeugen der Bundeswehr zuständig.

Als noch beunruhigender könnte sich herausstellen, dass laut der Antwort, über die zuerst der Spiegel berichtete, auch der zentrale IT-Dienstleister der Bundesregierung, das ITZ Bund, Software von Solarwinds im Einsatz hatte oder noch hat. Das ITZ stellt für eine Vielzahl von Ministerien und Behörden IT-Lösungen zur Verfügung, sodass seine Kompromittierung auch noch zahlreiche andere Stellen gefährden könnte. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschlands technische Cyberabwehr-Behörde, steht auf der Liste der Betroffenen. Dem Vernehmen nach wird die Software dort aber nur zu Erprobungszwecken eingesetzt.

Rund die Hälfte des Antworttextes auf die Frage des Abgeordneten verwendet das antwortende Bundesinnenministerium zudem darauf, zu begründen, warum die Frage nach dem Einsatz von Solarwinds-Software bei den Geheimdiensten BND und Verfassungsschutz nicht beantwortet werden kann. „Die Offenlegung könnte Rückschlüsse auf nachrichtendienstliche Methoden und deren Anwendungen erlauben“, heißt es. Damit bleibt offen, ob auch die deutschen Geheimdienste potentiell eine Sicherheitslücke haben.

„Der massivste Angriff auf die westliche Welt seit Jahrzehnten“

Immerhin heißt es in dem Dokument, dass es „nach derzeitigem Kenntnisstand der Bundesregierung“ zumindest bislang „keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung gegeben“ habe. Doch andererseits hieß es auch vergangenen Monat noch vom BSI, die Zahl der Betroffenen sei „nach derzeitigem Kenntnisstand gering“. Es ist also bei weitem nicht ausgeschlossen, dass in den nächsten Wochen noch Schäden bekanntwerden.

Für den Abgeordneten Manuel Höferlin steht fest, dass der Solarwinds-Hack „der massivste Angriff auf die westliche Welt seit Jahrzehnten“ war. Dennoch habe die Bundesregierung „bis heute noch nicht die leiseste Ahnung, wo und in welchem Ausmaß die deutsche IT-Sicherheit betroffen ist“. Auf seine Initiative hin werde sich nun der Innenausschuss des Bundestags bei seiner nächsten Sitzung mit dem Thema beschäftigen. Die Urheber des Angriffs vermutet Höferlin, wie es auch amerikanische Sicherheitsbehörden tun, in Russland.

Die meisten der kürzlich entdeckten Cybereingriffe in Netzwerke innerhalb und außerhalb der amerikanischen Regierung hätten „wahrscheinlich“ einen russischen Ursprung, hieß es in einer vor zwei Tagen veröffentlichten Erklärung des FBI, des koordinierenden Direktoriums der Geheimdienste, des Geheimdienstes NSA und der Behörde für Cybersicherheit (Cisa). Sie widersprachen damit dem scheidenden Präsidenten Donald Trump. Dieser hatte gemutmaßt, China könnte hinter der Attacke stecken.