bedeckt München

Cyber-Attacke auf US-Ministerien:Angriff mit dem Superspreader

Federal Treasury Increases Stake In Citigroup, To 36 Percent

"Wer die Software kontrolliert, kann in den Netzwerken praktisch tun, was er will": Das musste man auch im US-Finanzministeriumfeststellen, in dessen E-Mail-Verkehr Hacker eindringen konnten.

(Foto: MARK WILSON/AFP)

Bei einem Cyber-Angriff auf US-Ministerien lesen die Eindringlinge E-Mails der Regierung mit. Fachleute gehen davon aus, dass staatsnahe russische Hacker dahinterstecken. Deren Kampagne gefährdet Behörden und Unternehmen weltweit.

Von Jannis Brühl

Eine weltweite Cyberattacke hochprofessioneller Hacker hat die US-Regierung getroffen. Die Eindringlinge hätten sich in die Computer von Handels- und Finanzministerium eingeschlichen und dort E-Mails mitgelesen, berichtete Reuters. Das Handelsministerium bestätigte dem Sender CNN den Angriff. Der Sprecher des Nationalen Sicherheitsrates, John Ullyot, teilte am Sonntagabend mit: "Die US-Regierung ist sich dieser Berichte bewusst und wir unternehmen alle notwendigen Schritte, um mögliche Probleme im Zusammenhang mit dieser Situation zu identifizieren und zu beheben." Unklar ist, welche Informationen die Hacker erbeutet haben.

Die Washington Post berichtete unter Berufung auf anonyme Insider, Hacker mit Verbindungen zum russischen Geheimdienst SWR seien für die Angriffe verantwortlich. APT29 oder Cozy Bear, wie Fachleute die Gruppe getauft haben, gilt als eine der Elite-Truppen, die für den russischen Staat hacken. "Wir haben nichts damit zu tun", sagte Kremlsprecher Dmitrij Peskow der Agentur Interfax zufolge in Moskau. "Wenn auch die Amerikaner viele Monate lang nichts dagegen tun konnten, sollte man nicht gleich den Russen alles so grundlos vorwerfen." APT29 hatte sich nach Aussage der US-Geheimdienste schon während der Amtszeit von Barack Obama Zugriff auf die E-Mail-Systeme von Außenministerium und Weißem Haus verschafft.

Einer am Sonntag veröffentlichten Analyse des IT-Sicherheitsunternehmens Fire Eye zufolge sind die Angriffe Teil einer weltweiten Kampagne, die seit März läuft. Regierungsstellen, Telekommunikations- und Rohstoffunternehmen in Nordamerika, Europa, Asien und dem Nahen Osten seien betroffen. Fire Eye selbst hatte vergangene Woche erklärt, man sei gehackt worden. Bei der Suche nach den Eindringlingen in den eigenen Systemen stießen die Fachleute nun auf die Spuren der weltweiten Offensive.

Als Angriffskanal diente den Hackern Technik des Unternehmens Solar Winds aus Austin. Es bietet Technik für das Management und die Sicherung interner Computernetzwerke an. Wer die Software kontrolliert, kann in den Netzwerken praktisch tun, was er will. Über eine sogenannte Hintertür in der Software haben die Angreifer einen Weg ins Herz Tausender Behörden und Unternehmen gefunden. IT-Fachleute in Unternehmen auf der ganzen Welt müssen nun prüfen, ob sie über diese Sicherheitslücke, die Fire Eye "Sunburst" getauft hat, gehackt wurden. Um sie zu schließen sollten sie in jedem Fall die neueste Version von Solar Winds "Orion"-Software herunterladen. Für Dienstag hat das Unternehmen ein Notfall-Update angekündigt, welches das Problem beheben soll.

In den USA ermittelt das FBI. Der Nationale Sicherheitsrat war am Samstag zusammengekommen, um über den Angriff zu beraten. Die Cybersicherheitsbehörde CISA gab eine ihrer seltenen Notverordnungen heraus. Die verpflichtet alle Bundesbehörden, sofort zu handeln: Computer mit alten Versionen der betroffenen Software müssen sofort abgeschaltet werden. Die Behörden sollen zudem ihre Systeme durchleuchten, um zu sehen, welche Daten herein- und herausgeflossen sind. Die Behörde gab auch Namen der gefährlichen Dateien heraus, nach denen die Behörden in ihren Computern suchen sollen.

Die Hacker hatten es offensichtlich nicht auf Zerstörung abgesehen, sondern wollten spionieren. Das deutet eher auf den Angriff eines Geheimdienstes hin. Auch das Können der Angreifer lässt Fachleuten zufolge auf staatliche oder staatsnahe Hacker schließen. Sie schlichen sich in die Solar-Winds-Plattform "Orion" ein, die von den Ministerien genutzt wird. "Lieferkettenattacke" (supply chain attack) nennen Fachleute so einen Angriff: Hacker infiltrieren ein gut geschütztes Ziel nicht direkt, sondern schleichen sich in schlechter gesicherte Soft- oder Hardware ein, die in dem eigentlichen Ziel eingesetzt wird. Im aktuellen Fall schleusten sie manipulierte Software in einen Server von Solar Winds ein, von dem Kunden regelmäßig neue Versionen der Software herunterladen. Von März bis Juni diente der Server praktisch als Superspreader: 300 000 Kunden, darunter US-Notenbank, Luftwaffe, Nasa, das Büro des US-Präsidenten und das Pentagon nutzen Solar Winds zufolge dessen Technik. Außerdem seien die zehn größten Telekommunikationsunternehmen der USA Kunden. Vermutlich werden aber nicht alle dieser Kunden aktiv angegriffen werden, da der Angriff sehr aufwendig ist.

Ein Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das in Deutschland für IT-Sicherheitstechnik zuständig ist, erklärte, man untersuche den Fall und prüfe, ob deutsche Unternehmen betroffen sind: "Das BSI hat zudem gestern an seine Verteilerkreise in Verwaltung und Wirtschaft eine Vorfalls-Warnung zum Supply-Chain-Angriff über manipulierte Solar-Winds-Orion-Software verschickt."

Firmen in der ganzen Welt müssen nun ihre Systeme prüfen und sichern. Dmitri Alperovitch, Chef des IT-Sicherheitsunternehmens Crowdstrike, schrieb auf Twitter: "Montag dürfte ein schlimmer Tag für viele IT-Sicherheits-Teams werden."

© SZ
Zur SZ-Startseite
Dmitri Alperovitch

Cybersicherheit
:"30 Prozent aller Angestellten klicken auf alles, was du ihnen schickst"

Dmitri Alperovitch, Mitgründer der IT-Sicherheitsfirma Crowdstrike, über die Frage, warum russische Hacker die schnellsten sind, was an Nordkorea innovativ ist und warum KI seine Firma nie ersetzen wird.

Interview von Max Muth

Lesen Sie mehr zum Thema