Der sogenannte Solarwinds-Hack zieht immer weitere Kreise. Nachdem zunächst nur Angriffe auf das IT-Management-Unternehmen Solarwinds, den Sicherheitsdienstleister Fireeye und verschiedene US-Ministerien, darunter Handel, Finanzen und Homeland Security, gemeldet worden waren, berichtet das Wall Street Journal (WSJ) nun von einer weit größeren Dimension.

Das Magazin führte eine Untersuchung, die Installationen der kompromittierten Solarwinds-Software aufspüren sollte, durch und war damit in gut zwei Dutzend Fällen erfolgreich. Nach Einschätzung des WSJ dürften allerdings weit mehr Unternehmen und Organisationen betroffen sein. Die IT-Management-Firma Solarwinds, deren Netzwerküberwachungs-Tool die Hacker manipuliert und so mit einer Backdoor ausgestattet hatten, geht selbst davon aus, dass bis zu 18.000 ihrer Kunden betroffen sein könnten. Die Schadsoftware wurde nämlich über ein Routine-Update des Solarwinds-Tools automatisch ausgerollt.

Dabei liest sich bereits die jetzige Zusammenstellung des WSJ wie das Who-is-Who der internationalen Tech-Elite. Vom WSJ beauftragte Experten fanden das kompromittierte Tool bei Intel, Nvidia, VM-Ware und Belkin sowie bei der Beratungsfirma Deloitte, der Kent-Universität und der kalifornischen Zentralverwaltung für staatliche Krankenhäuser. Mit den Ergebnissen konfrontiert, zeigten sich die betroffenen Unternehmen und Organisationen teils recht verschlossen.

Intel bestätigt zwar den Befall, will aber ermittelt haben, dass die Backdoor in der Software nicht benutzt wurde. Auf diesen Standpunkt stellen sich auch Deloitte und VM-Ware.

Nvidia äußert sich vorsichtiger. Es gebe derzeit keine Beweise für die Ausnutzung der Backdoor durch Hacker, lässt das Unternehmen über einen Sprecher mitteilen. Auch Cisco bestätigt, dass das Solarwinds-Tool im eigenen Netz aktiv gewesen ist. Das sei allerdings nur bei wenigen Beschäftigten und einer kleinen Zahl an Arbeitssystemen der Fall gewesen. Auch hier heißt es, man gehe nicht von einer Schädigung aus.

Netzwerkausrüster Belkin sieht es ähnlich. Zwar habe man den Hack erst in der vergangenen Woche entdeckt und entfernt. Eine negative Auswirkung glaubt Belkin dennoch ausschließen zu können. Zumindest gäbe es bislang keine Hinweise darauf.

Aus der Kent-Universität und der kalifornischen Krankenhausverwaltung kommen offenere Aussagen. Beide bestätigen, die Vorfälle mit der Hilfe staatlicher Stellen zu untersuchen.

Wie sich diese Geschichte bislang entwickelt hat, erscheint es nicht unwahrscheinlich, dass wir bislang nur die Spitze eines Eisbergs sehen können. Immerhin 400 der Fortune-500-Unternehmen gehören zum Solarwinds-Kundenkreis. Vieles ist unbekannt.

Bislang ist etwa unklar, was die Angreifer in den betroffenen Organisationen tatsächlich gesucht oder was sie dort angestellt haben. Unklar ist in den meisten Fällen ebenso, ob die vorhandenen Backdoors überhaupt genutzt wurden. Weiterhin unklar ist, ob die Hacker gegebenenfalls fortdauernd in ihren Angriffszielen unterwegs sind – ob also das Solarwinds-Tool nur ein inzwischen obsoletes Einfallstor gewesen sein könnte.

Was Experten derzeit wissen, ist dementsprechend wenig. In einzelnen Fällen wurde offenbar auf die interne Kommunikation zugegriffen. Verschiedene Unterlagen wurden kopiert. Sensible Unterlagen über laufende Produktentwicklungen scheinen ebenso das Interesse der Angreifer angezogen zu haben.

Alles in allem gehen Experten daher derzeit davon aus, dass es sich bei dem Solarwinds-Hack nicht um eine Attacke handelt, bei der es um die Zerstörung von Infrastruktur geht. Vielmehr könnte es sich um eine groß angelegte Spionage-Aktion handeln.

Sicher sind sich die beteiligten Spezialisten nur dahingehend, dass eine Aktion dieser Größenordnung eine straffe Organisation und ein erhebliches Fachwissen benötigt. Typischerweise verfügen nur Staaten über die entsprechenden Ressourcen. Relativ schnell wurde daher der russische Geheimdienst SWR für die Angriffe verantwortlich gemacht – wenn auch mehr oder weniger „unter der Hand“.

Aus den derzeit zugänglichen Quellen lässt sich eine solche Schuldzuweisung nicht ableiten. Sie dürfte zumindest zum Teil politisch motiviert sein. Denkbar ist natürlich ebenso, dass nicht alle Informationen zum Hack nach außen kommuniziert werden.