Das Robert-Koch-Institut in Berlin gehört ebenso zu den Betroffenen des Solarwinds-Hack. (Foto: Shutterstock)
Mit nach ersten Ermittlungen mindestens 18.000 eingerichteten Hintertüren dürfte das Schadprogramm Sunburst, das über die Netzwerk-Management-Software Solarwinds Orion eingeschleust wurde, für einen der größten Hacker-Angriffe aller Zeiten verantwortlich sein.
FDP-Digitalexperte stellt Anfrage an Bundesregierung
Unternehmen, staatliche Stellen und andere Organisationen weltweit zählen zu den Betroffenen. Nun ist klar: Auch in Deutschland ist Sunburst weiter verbreitet als zunächst angenommen. Damit darf die Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus dem Dezember 2020, wonach die Zahl der Betroffenen „nach derzeitigem Kenntnisstand gering“ ist, als überholt gelten.
Auf eine offizielle Anfrage des FDP-Bundestagsabgeordneten Manuel Höferlin, der in seiner Fraktion als Digitalexperte gilt, hat die Bundesregierung eingeräumt, dass mindestens 16 Bundesämter und Ministerien in unterschiedlichem Ausmaß vom Solarwinds-Hack betroffen sind, weil sie die kompromittierte Software zumindest zeitweise oder vereinzelt nutzen oder nutzten. Das berichtet der Spiegel.
Zu den betroffenen Stellen gehören das Bundesverkehrsministerium, das Kraftfahrtbundesamt und das Robert-Koch-Institut (RKI). Kritischer zu bewerten dürfte allerdings sein, dass auch viele Sicherheitsbehörden unter den potenziellen Angriffszielen sind – darunter das Bundeskriminalamt und das BSI. Ob auch der Bundesnachrichtendienst oder das Bundesamt für den Verfassungsschutz bedroht sind, wollte die Bundesregierung Höferlin unter Verweis auf das „überwiegende Staatswohlinteresse“ nicht verraten – verneinte es aber nicht.
Als eine Art Meta-Betroffener darf der ITZ Bund, der zentrale IT-Dienstleister des Bundes, betrachtet werden. Der betreut nach eigenen Angaben Kunden „vom Auswärtigen Amt bis zum Zoll“ und betreibt für sie „hochkritische“ Verfahren aus Bereichen wie Verkehr, Zoll, Steuer und innerer Sicherheit.
Kein Anspruch auf Vollständigkeit, Höferlin sauer
So verwundert es nicht, dass die Bundesregierung ihre Antwort mit der Aussage schließt, dass die Vollständigkeit der Angaben nicht garantiert werden kann. Nach „derzeitigem Kenntnisstand“ habe es aber „keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung“ gegeben.
Höferlin reichen diese Informationen nicht. Er macht der Bundesregierung schwere Vorwürfe und konstatiert, sie habe „bis heute noch nicht die leiseste Ahnung, wo und in welchem Ausmaß die deutsche IT-Sicherheit betroffen ist“. Nicht einmal eine saubere Schadensanalyse habe bisher stattgefunden – und das, obwohl der Angriff bereits seit mindestens dem Frühjahr 2020 laufe.
Solarwinds-Hack lief lange unbemerkt
Zur Wahrheit gehört dabei, dass der Solarwinds-Hack überhaupt erst Anfang Dezember letzten Jahres aufgefallen war. Die Datierung auf einen Angriffsbeginn spätestens im Frühjahr 2020 war anhand der ersten Untersuchungen im Nachgang dazu erfolgt. Zunächst hatte es so ausgesehen, als sei lediglich das US-Sicherheitsunternehmen Fireeye gehackt worden.
Schnell wurde klar, dass auch US-Regierungsstellen zu den Opfern des Angriffs gehörten. In einem weiteren Schritt stellten Großunternehmen wie Intel, Cisco und Microsoft die Kompromittierung ihrer Infrastruktur fest. Microsoft musste zuletzt sogar einräumen, dass es den Hackern gelungen war, auf Teile der Sourcecodes von Microsoft-Produkten zuzugreifen.
Das wundert mich auch gar nicht. Heute erst habe ich einen Beitrag gelesen, darin mitgeteilt wird, dass in der Bundesregierung und ihren Ämtern noch über 60.000 PCs mit Windows 7 laufen – sie haben den Umstieg bis heute (noch) nicht geschafft. Dafür gibt die Bundesregierung aber auch Hunderttausende Euros aus, um die Systeme weiterhin mit Updates zu versorgen.