In den USA gilt dies als einer der größten Spionagefälle der vergangenen Jahre. Fünf Ministerien in der Regierung von Donald Trump sollen der Attacke zum Opfer gefallen sein, unter ihnen das Außen- und das Heimatschutzministerium. US-Außenminister Mike Pompeo weist bereits dem russischen Geheimdienst die Schuld zu. Aber auch in Deutschland, so wird nun immer deutlicher, bangen einige Behörden um ihre sensiblen Daten. Auch hierzulande könnte es den Cyber-Angreifern gelungen sein, an mehreren Stellen in die Computer staatlicher Stellen einzudringen.
Seit Tagen beraten sich Fachleute des Bundesamts für Sicherheit in der Informationstechnik (BSI) gemeinsam mit Polizei- und Nachrichtendienstexperten im Nationalen Cyber-Abwehrzentrum, einige Mitarbeiter sind eigens aus dem Urlaub zurückgerufen worden. Es geht um die Frage, wie viele Institutionen in Deutschland eine Software namens Orion des texanischen Herstellers Solar Winds genutzt haben. Bekannt ist, dass etwa Siemens oder die Deutsche Telekom dieses Programm nutzen. Aber auch einzelne Behörden sind Orion-Kunden gewesen, wie das BSI am Montag bestätigte.
Ein Update ist infiziert - doch wer hat es heruntergeladen?
Den anonymen Angreifern scheint es gelungen zu sein, einen speziell programmierten Schadcode in ein Update dieses Programms hineinzuschmuggeln. Nur dieses Update ist infiziert. Bis hin zum Bundesnachrichtendienst prüfen nun die Sicherheitsbehörden, wie viele staatliche Stellen sich im März dieses Jahres dieses Orion-Update heruntergeladen haben - mit der Folge, dass anonyme Angreifer schon seit Monaten unerkannt in ihren E-Mails gestöbert haben könnten.
"Die Zahl der Betroffenen ist nach derzeitigem Kenntnisstand gering", sagt zwar eine Sprecherin des BSI. Es handele sich aber um einen "mächtigen neuen Angriffsvektor, den wir ernst nehmen und mit Hochdruck analysieren". Unternehmen und Behörden empfehle man nicht nur, rasch die angebotenen Reparaturprogramme zu installieren, die sogenannten Patches, mit denen Sicherheitslücken geschlossen werden können. Sondern auch zu analysieren, ob die Schwachstelle tatsächlich als Einfallstor von Hackern ausgenutzt wurden.
Bekannt ist das Problem seit knapp zwei Wochen. Am 8. Dezember hatte das amerikanische Cybersicherheitsunternehmen Fire Eye erstmals gemeldet, dass unbekannte Hacker in sein System eingedrungen seien. Daraufhin hatte Fire Eye begonnen, die gesamte Kampagne der Hacker aufzudecken. Dem Fire-Eye-Chef Kevin Mandia zufolge haben zwar weltweit 18 000 Unternehmen im März das infizierte Orion-Update heruntergeladen. Das heißt, in all diesen Fällen hätten den Hackern unbemerkt Türen offen gestanden. Belege dafür, dass Hacker dann wirklich eingedrungen seien, gebe es bisher aber nur bei etwa 50 Organisationen.
Viel deutet auf einen staatlich unterstützten Angreifer hin
Mandia sagte dem US-Nachrichtensender CBS, die Angreifer hätten zunächst im Oktober 2019 einen Probelauf gestartet. Damals hätten sie ebenfalls ein Update der Firma Solar Winds geringfügig verändert, jedoch offenbar nur, um zu sehen, ob ihr Plan funktionieren würde. Im März sei dann schließlich der eigentliche Schadcode verteilt worden. Unter Fachleuten wird diese Art des Hackings "Lieferkettenangriff" genannt, weil die Opfer nicht einzeln angegriffen werden müssen. Stattdessen wird die Infrastruktur eines einzigen Unternehmens gekapert, welches dann, ohne es zu wissen, den Schadcode verteilt.
Viel deutet auf einen hochprofessionellen, gut ausgerüsteten und staatlich unterstützten Angreifer hin. Nur wenige Staaten haben in der Vergangenheit gezeigt, dass sie zu Cyberspionage-Kampagnen auf diesem Niveau fähig sind. Dies sind die USA selbst, Russland und China. Angesichts der Sorgen, die sich deutsche Behörden nun machen, üben Oppositionspolitiker auch Kritik an der Cyberabwehr der Bundesregierung. Von einem "hausgemachten Problem" spricht der Fraktionsvize der Grünen im Bundestag, Konstantin von Notz:"Die Bundesregierung redet seit Jahren über Cyberbedrohung, und getan wurde wenig. Die Gesetzgebung in Deutschland ist da nicht up to date."
Der FDP-Innenpolitiker Stephan Thomae weist darauf hin, dass mit Attacken wie dem Orion-Hack, die "in die langfristige Strategie Russlands, westliche Staaten zu destabilisieren", hineinpassen würden, jederzeit zu rechnen sei. Umso unverständlicher sei "das bewusste Offenhalten von Software-Sicherheitslücken, wie es die Bundesregierung für ihren Staatstrojaner betreibt". Ob es wirklich eine eindeutige Spur nach Russland gibt, das zählt nun aber zu den Fragen, die im Nationalen Cyber-Abwehrzentrum geklärt werden müssen. Ebenso wie die Frage, auf welche Informationen es die Angreifer abgesehen hatten.
