Nach US-Behörden: Hackerangriff betrifft auch Deutschland – Telekom und Siemens auf der Liste
In Cybersicherheitskreisen wurde vermutet, die Angreifer könnten aus Russland stammen.
Foto: ReutersBerlin, Düsseldorf. Das Ausmaß des Angriffs ist gewaltig: Neun Monate lang konnten Hacker weitgehend unentdeckt Behörden, Firmen und Organisationen weltweit infiltrieren. In den USA traf es das Finanzministerium, das Verteidigungsministerium und sogar die Behörde für Atomwaffen. Recherchen des Handelsblatts ergaben zudem, dass auch Behörden und Konzerne in Deutschland betroffen sind.
Die Hacker haben für den Angriff die Sicherheitslücke einer Software der US-Firma Solarwinds genutzt. Sie verschickten ein manipuliertes Update und verschafften sich damit Zugang zu Abertausenden Rechnern: 18.000 Solarwinds-Kunden weltweit haben das Update installiert, teilte das Unternehmen mit. Auf der Kundenliste stehen auch Dax-Konzerne wie Siemens und Deutsche Telekom.
Von dem Angriff könnten sogar Firmen betroffen sein, die bislang nichts mit Solarwinds zu tun hatten, warnt der Chef der US-Sicherheitsfirma Palo Alto Networks, Nikesh Arora, zum Beispiel, wenn enge Partner oder Zulieferer angegriffen wurden. „In Deutschland könnten Firmen betroffen sein, die es jetzt noch gar nicht ahnen“, sagte Mike Hart von der Sicherheitsfirma Fireeye dem Handelsblatt – sein Unternehmen hatte den Angriff aufgedeckt, nachdem es selbst Opfer geworden war.
Das genaue Ziel der Angreifer ist noch unklar. Noch nie habe es aber so eine ausgeklügelte Form von Cyberspionage gegeben, sagte Dmitri Alperovitch, Mitgründer des IT-Sicherheitsanbieters Crowdstrike. Der Angriff habe eine „ernsthafte technologische Verwundbarkeit für die USA und die Welt“ zur Folge, fürchtet Microsoft-Präsident Brad Smith. US-Außenminister Mike Pompeo ist sich „ziemlich sicher“, dass Russland hinter dem Angriff stecke. US-Präsident Donald Trump wiederum verdächtigt China.
Noch konzentriert sich die Analyse des Hackerangriffs unter dem Namen „Sunbust“ auf die USA. Solarwinds ist als Partner der US-Regierung sowie amerikanischer Firmen etabliert. Zwar löschte das Unternehmen kurz nach Bekanntwerden des Hackerangriffs die Kundenlisten, mit denen es zuvor noch geworben hatte. Das Handelsblatt konnte dennoch mehrere Listen einsehen.
Sie lesen sich wie das „Who’s who“ der US-Wirtschaft. 425 der Fortune-500-Konzerne nutzen die Lösungen der Firma aus Texas. Microsoft zählte zu den Opfern. Auch die US-Telekommunikationsunternehmen setzen fast alle auf die Lösungen von Solarwinds – damit könnte auch kritische Infrastruktur kompromittiert sein.
Der große Cyberangriff erreicht aber auch Deutschland. Auf den Kundenlisten von Solarwinds standen nicht nur die Dax-Konzerne Siemens und Deutsche Telekom, sondern auch kleine und mittelständische Betriebe wie Gilette Deutschland und die Sparkasse Hagen.
Die Telekom räumte auf Handelsblatt-Anfrage ein, die Software von Solarwinds einzusetzen. Aber: „Nach Analysen in Deutschland gibt es aktuell keine Indikatoren, dass wir betroffen sind. Bei vereinzelten Tochtergesellschaften im Ausland dauern die Untersuchungen noch an“, sagte ein Telekom-Sprecher. Siemens teilte mit, das Unternehmen habe nach Bekanntwerden des Hacks umgehend die von Solarwinds empfohlenen Schutzmaßnahmen ergriffen.
Das Bundesinnenministerium bestätigte, dass deutsche Unternehmen betroffen sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stehe in engem Kontakt mit den Unternehmen und Ämtern und unterstütze sie dabei, mögliche Angreiferaktivitäten aufzuklären. „Die Zahl der Betroffenen ist nach derzeitigem Kenntnisstand gering“, sagte ein Sprecher des Ministeriums. Das BSI habe in den bisher bekannten Fällen keine Hinweise darauf, dass die Angreifer in den Firmennetzen aktiv seien.
Mit großer Geduld vorgegangen
Das muss jedoch noch lange keine Entwarnung bedeuten. Das Sicherheitsunternehmen Fireeye hatte die Attacke öffentlich gemacht, nachdem es selbst angegriffen worden war. „Die Hacker sind mit großer Geduld vorgegangen und haben ihre Aktionen sehr gut verschleiert“, sagte ‧Fireeye-Manager Mike Hart dem Handelsblatt. Das mache den Angriff besonders gefährlich. „Die Hacker haben teilweise Monate auf der Lauer gelegen“, sagte Hart.
Statt infizierte Systeme sofort zu kapern, hätte die Spionagesoftware zunächst bis zu zwei Wochen in den Systemen der Opfer verbracht – ohne sich zu melden, um nicht aufgespürt zu werden. Erst dann habe sie die Hacker über die erfolgreiche Penetration informiert. Diese verschleierten monatelang und akribisch den Einbruch – um dann umso effektiver die Systeme auszuhorchen.
„Das Ausmaß des Angriffs ist noch nicht absehbar“, sagt Hart. Die Analyse stehe ganz am Anfang. Zusammen mit Microsoft, das ebenfalls Opfer der Attacke war, hat Fireeye ein System programmiert, das zumindest einen Teil der infizierten Systeme unschädlich machen soll. Zudem stellt Solarwinds selbst ein Update für seine Programme bereit, das die bekannten Sicherheitslücken schließt.
Trotz dieser Maßnahmen kann nicht ausgeschlossen werden, dass Hacker weiterhin Zugriff auf die Systeme bekommen. Der Vizechef der Münchner Sicherheitskonferenz, Boris Ruge, vermutet Russland hinter der Attacke und fürchtet weitreichende Konsequenzen in Europa: „Da das System Solarwinds auch in Europa genutzt wird, stellt sich die Frage, ob und welche Systeme auf dieser Seite des Atlantiks penetriert wurden und was für Informationen an die russische Seite abgeflossen sind.
Dazu haben wir bislang von europäischen Regierungen nicht sehr viel gehört.“ Ruge wies ausdrücklich darauf hin, dass der Hackerangriff nicht von der US-Regierung öffentlich gemacht wurde, sondern von einer privaten Sicherheitsfirma.
Runge erwartet gemeinsame Aktionen der USA sowie ihrer Verbündeten gegen Russland als Antwort auf den Hackerangriff. Dazu gebe es Signale des künftigen US-Präsidenten Joe Biden, sagt er: „Ohne Russland zu erwähnen, machte Biden deutlich, dass man gemeinsam mit Bündnispartnern Gegenmaßnahmen ergreifen werde. Moskau hat durch seine groß angelegte Aktion jede Aussicht auf einen noch so bescheidenen Neustart in den Beziehungen zerstört und den Ton gegenüber der Biden-Administration gesetzt.“
Der Ablauf des Angriffs ist nicht neu. 2017 war Hackern ein großer Cyberangriff mit einer Software namens NotPetya gelungen. Das Spionageprogramm hatten die Angreifer ebenfalls in ein Update eines weitverbreiteten Softwareprogramms eingeschleust – in diesem Fall des Buchhaltungsprogramms MeDoc. Die Software wurde zur Erfassung von Steuerzahlungen in der Ukraine verwendet. Ein Großteil der von dem Angriff betroffenen Systeme befand sich in dem Land. Es waren jedoch auch viele Firmen in Deutschland betroffen, etwa weil sie Geschäftskontakte zur Ukraine pflegten. Cyberexperten und die ukrainische Regierung machten Russland für den Angriff verantwortlich.
Zu den betroffenen Unternehmen gehörte unter anderem der Pharmakonzern Merck SE, dessen weltweite Produktion beeinträchtigt wurde. Der dänische Logistikkonzern Maersk verlor den Zugriff auf Dutzende Schiffe auf den Weltmeeren und musste im Nachgang des Angriffs mehr als 50.000 Laptops, Computer und Smartphones aus Sicherheitsgründen zerstören. Die US-Regierung bezifferte den wirtschaftlichen Schaden mit zehn Milliarden Dollar.
Programm vom US-Geheimdienst
Die Ukraine war vorher schon zweimal heftig von russischen Hackern attackiert worden: In der Hauptstadt Kiew gingen in der Nacht zum 17. Dezember 2016 die Lichter aus, ein Jahr zuvor passierte das Gleiche in der Westukraine. Über eine E-Mail an einen Juristen der Elektrizitätswerke – mit einer Excel-Tabelle, einem Bild und einem PDF mit einem Gerichtsbeschluss als Anlage – war ein Virus eingeschleust worden.
Über den wurde Black Energy geladen, ein Programm, das wie eine Hintertür wirkt und so Zugriff auf die Steuerungssoftware der Stromversorgung erlaubte. Das Bild führte auf einen in der Türkei stehenden Server und ins verschlüsselte Tor-Netz. Hellhörig wurde niemand, weil Empfänger und Erwartungshaltung perfekt passten und weder Antivirenprogramm noch Firewall anschlugen.
Bei dem Angriff auf internationale Großkonzerne über die ukrainische Steuersoftware war der Grund für die weitreichende Wirkung ‧Eternal Blue. Der Codename beschreibt eine vom US-Geheimdienst entwickelte Cyberwaffe. Die Regierungsbeamten hatten ein Programm entwickelt, das über eine Schwachstelle im Betriebssystem Windows fremde Computer kapern konnte.
Im April hatte eine Gruppe namens Shadow Brokers die US-Geheimdienstwaffe offen ins Internet gestellt. Anschließend griffen Hacker das Programm auf, um Computer zu infiltrieren – unter anderem im Rahmen von NotPetya. Bei dem Angriff auf Solarwinds sollen Cyberwaffen von Fireeye gestohlen worden sein. Das könnte die Angreifer künftig noch gefährlicher machen.