SolarWinds-Hack Der Spionagefall des Jahres

Experten sprechen von einem historischen Hack: Unbekannte haben die Computersysteme Tausender US-Behörden und Unternehmen kompromittiert. Auch in Deutschland gibt es Betroffene.
Angriffsziel Computersystem

Angriffsziel Computersystem

Foto: Yanawut Suntornkij / EyeEm / Getty Images

Mit jedem Tag wächst die Liste der prominenten Opfer des sicherlich spektakulärsten Hacking-Angriffs des Jahres. Erst schien es nur um das IT-Sicherheitsunternehmen FireEye zu gehen, das über ein verseuchtes Update der SolarWinds-Software Orion kompromittiert wurde. Doch dann stellte sich nach und nach heraus, dass sich auch das US-amerikanische Finanzministerium, Handelsministerium, Heimatschutzministerium, Außenministerium und Teile des Pentagons auf diesem Weg eine raffinierte Spionagesoftware eingefangen haben. Zuletzt wurde bekannt, dass selbst das US-Energieministerium mitsamt seiner untergeordneten National Nuclear Security Administration (NNSA)  betroffen ist. Die NNSA verwaltet das Atomwaffenarsenal der USA.

Microsoft, das die Malware ebenfalls in seinen Systemen entdeckt hat, spricht  von einem »breit angelegten und erfolgreichen Angriff auf vertrauliche Informationen der US-Regierung sowie auf die Technikwerkzeuge, die sie eigentlich beschützen sollen«.

Welche vertraulichen Informationen das gewesen sein können, ist derzeit völlig unklar. Aber die Täter hatten, so viel darf nach bisherigen Analysen als gesichert gelten, umfassende Zugriffsrechte innerhalb der infiltrierten Systeme und monatelang Zeit, sich darin umzusehen und festzusetzen. Alle Betroffenen müssen davon ausgehen, dass die Täter, hinter denen staatliche Akteure vermutet werden, zumindest Teile ihrer E-Mail-Kommunikation und andere Daten eingesehen haben. Es kann jedoch Monate dauern, bis sie wissen, was heimlich nach außen geschleust wurde. Bisher jedenfalls spricht nichts für einen kriminellen Akt zur Bereicherung oder einen Sabotageversuch, sondern alles für eine Spionage-Operation.

SolarWinds-Plakat an der New York Stock Exchange zur Feier des Börsengangs (2018)

SolarWinds-Plakat an der New York Stock Exchange zur Feier des Börsengangs (2018)

Foto: REUTERS

Dass es zu viele Betroffene gibt, ist für den IT-Sicherheitsexperten Dmitri Alperovitch noch die beste Nachricht an dem Vorfall: »Kein Angreifer hat genug menschliche Ressourcen für jedes der potenziellen Opfer«, schrieb der ehemalige Technikchef der IT-Sicherheitsfirma CrowdStrike auf Twitter . »Sie müssen sich auf die konzentrieren, die ihnen am wichtigsten sind.«

»Nach derzeitigem Kenntnisstand« wenige Betroffene in Deutschland

Die Größenordnung der Operation ist in der Tat atemberaubend: Seit mindestens diesem März sind Tausende Behörden, Unternehmen und Betreiber kritischer Infrastrukturen umfassend kompromittiert. Es gibt Opfer vor allem in Nordamerika, aber auch in Europa, im Mittleren Osten und in Asien.

Auch Deutschland ist nicht verschont geblieben, das Ausmaß der Schäden ist allerdings auch hier unklar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigener Aussage vom Freitag »Kenntnis davon, dass Unternehmen und Behörden in Deutschland die Software von SolarWinds einsetzen. Die Zahl der Betroffenen ist nach derzeitigem Kenntnisstand gering.«

Keine Reaktion von Donald Trump

Klar ist: Es gab mehr als einen Infektionsweg, doch der erste, der bekannt wurde, hat es in sich. Die Täter kaperten und manipulierten ein Update der Netzwerkmanagement-Software Orion der texanischen Firma SolarWinds. Mehr als 17.000 Organisationen luden das Update herunter und fingen sich damit unwissentlich eine Hintertür in ihre Computersysteme ein.

Die US-Cybersicherheitsbehörde CISA hat nach eigenen Angaben  Beweise für weitere Methoden gefunden, mit denen sich die Täter in die fremden Systeme geschlichen haben, das sei im Detail aber noch nicht spruchreif. »Dieser Akteur hat Geduld, Vorsicht und komplexe Spionagefähigkeiten an den Tag gelegt«, teilte die CISA mit. »Wir gehen davon aus, dass es für die betroffenen Organisationen sehr schwer und herausfordernd sein wird, die Täter aus ihren Systemen zu entfernen.«

Neben dem Ausmaß der Aktion ist auch die Reaktion von Donald Trump erstaunlich, oder besser: die Nicht-Reaktion. Denn der Nochpräsident hat bisher kein Wort über den Vorfall verloren. Einige US-Politiker fragen sich schon , ob Trump einfach kein Interesse mehr an seinen von Hackern fachmännisch zerlegten Behörden hat. Der republikanische Senator und Ex-Präsidentschaftskandidat Mitt Romney etwa forderte, das Weiße Haus müsse mit aggressiven Ansagen auf die Geschehnisse reagieren. »Das hier ist fast so, als würde ein russischer Bomber unentdeckt über das Land fliegen.«

»Möglicherweise historisches Ereignis«

Für Erstaunen sorgt zudem, dass die beiden Mehrheitseigner von SolarWinds, die Investmentfirmen Silver Lake und Thoma Bravo, sechs Tage vor Bekanntwerden des Hacks Aktien im Wert von insgesamt 286 Millionen Dollar verkauften . Warum es zu dem Verkauf kam, ist noch offen.

Kaum absehbar ist bisher, welche technischen und sicherheitspolitischen Folgen der Vorfall haben wird. Sven Herpig, Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung, sagt: »Während das vollständige Ausmaß des Schadens noch vollkommen unklar ist, deuten die Rahmenbedingungen auf ein – für die internationale Cybersicherheitspolitik – möglicherweise historisches Ereignis hin«. Es werde »vermutlich Monate bis Jahre dauern, um alle Systeme wieder zu bereinigen, abzusichern und das gesamte Ausmaß des Schadens zu analysieren«.

Aggressive Ansagen aus der Politik erwartet er, anders als Romney, nicht unbedingt: »Die USA selbst haben ein elementares Interesse daran, dass nicht jede Spionageaktivität im Cyberraum als Kriegserklärung angesehen wird, denn sie selbst möchten gerne unbehelligt ihre eigenen Operationen fortsetzen.« Wegen der politischen Rahmenbedingungen und der außergewöhnlichen Schwere des Vorfalls könne es jedoch sein, dass die US-Regierung nicht beim business as usual bleibt.

Wenn die Lieferkette Malware liefert

Was wird die Welt daraus lernen? SolarWinds ist Teil einer IT-Lieferkette, von der große Organisationen und Unternehmen abhängen, ein sogenannter Managed Service Provider (MSP), also ein Dienstleister für die IT eines Kunden. Als Angriffsvektor ist die texanische Firma damit hochinteressant für Spione, aber auch kriminelle Hacker.

Calvin Gan, Sicherheitsforscher bei der Firma F-Secure, sagt: »Warnungen, dass MSPs ein Ziel von Hackern werden, gab es schon vor Monaten. Sie sollten als Teil der Organisation angesehen werden, von der sie eingesetzt werden, und die gleichen Sicherheitsüberprüfungen bekommen wie interne Systeme.«

Auch ein Sprecher des ITZBund, dem IT-Dienstleister der deutschen Bundesverwaltung, sieht das so: »Um sich wirksam gegen solche Angriffe zu schützen, müssen Sie im Grunde alle Komponenten aus der gesamten Lieferkette auf ihre IT-Sicherheit und mögliche Angriffsmöglichkeiten prüfen. Das ist teilweise sehr arbeitsaufwendig, weil Sie im Grunde jedes Update und jede Lieferung vom Hersteller bis zum Einbau genau auseinandernehmen müssen«. Insbesondere kleinere und mittlere Behörden oder Unternehmen könnten sich alternativ zum Beispiel auch mit Sicherheitserklärungen der Lieferanten zufriedengeben. Das sei eine Frage vom Verhältnis von Aufwand zu Nutzen.

Oder vom Verhältnis von Aufwand zu potenziellem Schaden.

Die Wiedergabe wurde unterbrochen.