SolarWinds-Hack: Kompromittierte Software auch in vielen deutschen Behörden im Einsatz

Der SolarWinds-Hack gilt als historisch, die USA vermuten russische Urheber dahinter. Nun wird klar: Auch deutsche Behörden wie das BKA und der zentrale IT-Dienstleister des Bundes haben die manipulierte Software genutzt.

SolarWinds-Zentrale in Austin, Texas

Foto: SERGIO FLORES / REUTERS

Seit im Dezember die ersten Nachrichten über einen groß angelegten Cyberangriff auf den IT-Dienstleister SolarWinds bekannt wurden, wächst die Liste der potenziell Betroffenen: Erhebliche Teile der US-Regierung sind darunter, Großunternehmen wie Microsoft, Intel und Deloitte. Inzwischen ist klar, dass es Opfer in aller Welt gibt, darunter zahlreiche Betreiber kritischer Infrastrukturen. Sie alle haben ein von Unbekannten manipuliertes Update einer Netzwerk-Management-Software von SolarWinds installiert. Für Deutschland meldete das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) aber noch im Dezember: »Die Zahl der Betroffenen ist nach derzeitigem Kenntnisstand gering«.

Der FDP-Bundestagsabgeordnete Manuel Höferlin wollte es genauer wissen und stellte eine schriftliche Frage an die Bundesregierung. Nun ist die Antwort eingegangen. Sie enthält eine Liste von 16 Ministerien und Bundesämtern, die zumindest zeitweise oder »vereinzelt« die Produkte des betroffenen amerikanischen Netzwerkherstellers »nutzen oder nutzten«. Darunter sind das Bundesverkehrsministerium von Andreas Scheuer (CSU), das Kraftfahrt-Bundesamt und das Robert Koch-Institut (RKI). Zudem sind auch viele Sicherheitsbehörden darunter, etwa das Bundeskriminalamt und das BSI selbst. Auch die Wehrtechnische Dienststelle für Luftfahrzeuge und Luftfahrtgerät der Bundeswehr (WTD 61) in Manching taucht in der Liste auf. In der Anlage mit eigenem Flugplatz wird das fliegende Gerät der Bundeswehr getestet und erprobt.

Besonders kritisch erscheint ein weiterer Eintrag: der zentrale IT-Dienstleister des Bundes, ITZ Bund. Der betreut »Kunden vom Auswärtigen Amt bis zum Zoll«, wie es in einer Selbstdarstellung heißt: Rund um die Uhr betreibe man »hochkritische Verfahren« aus Bereichen wie Verkehr, Zoll, Steuer und innerer Sicherheit. Auf Anfrage sagt der Direktor des ITZ Bund, Alfred Kranstedt: »Wir setzen punktuell Software von SolarWinds ein, aber nur ein Produkt, das nicht von dem Hack betroffen ist«. Es handle sich um eine »unkritische Version« einer Server-Software und nichts aus der gehackten SolarWinds Orion-Reihe – insofern sehe er das ITZ Bund von dem Hack »nicht betroffen«.

Liste hat »keinen Anspruch auf Vollständigkeit«

Der Einsatz von Produkten der kompromittierten Firma heißt noch nicht, dass die Hacker auch illegal auf Daten zugreifen konnten. Eine schnelle Ausbeutung der knapp 18.000 SolarWinds-Hintertüren, die durch das manipulierte Update eingerichtet wurden, würde selbst die Ressourcen staatlicher Akteure überfordern. Zudem haben die Täter die meisten Hintertüren selbst wieder geschlossen, vermutlich um nicht irgendwo aufzufallen, wo sie gar nicht aktiv sein wollten. Sie hatten also offenbar konkrete Ziele. Das legen erste Untersuchungen  nahe.

Die Bundesregierung äußert sich dazu in ihrer Antwort vorsichtig: »Nach derzeitigem Kenntnisstand der Bundesregierung hat es über das Sunburst genannte Schadprogramm in der Software SolarWinds Orion keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung gegeben.«

Die Zahl der Ministerien und Behörden, die hierzulande die SolarWinds-Software aktuell nutzen oder genutzt haben, könnte sich noch verlängern. Man habe die Antwort für den Abgeordneten nur unter »hohem Ressourcenaufwand und umfangreichen Abstimmungen« zusammenstellen können, die Liste erhebe daher »keinen Anspruch auf Vollständigkeit«.

Gar keine Aussage macht das antwortende Bundesinnenministerium zum möglichen Einsatz von SolarWinds-Produkten beim Bundesamt für Verfassungsschutz (BfV) und beim Bundesnachrichtendienst (BND). »Dies könnte einen Nachteil für die wirksame Aufgabenerfüllung des BfV sowie des BND und damit für die Interessen der Bundesrepublik Deutschland bedeuten«, schreibt das Bundesinnenministerium dem FDP-Abgeordneten auf seine Frage. Hier überwiege das »Staatswohlinteresse gegenüber dem parlamentarischen Informationsrecht«.

FDP-Abgeordneter kritisiert »Untätigkeit« der Bundesregierung

Für den FDP-Digitalexperten Höferlin ist der Hack nicht weniger als »der massivste Angriff auf die westliche Welt seit Jahrzehnten«. Die Attacke laufe mindestens seit dem letzten Frühjahr. Scharf kritisiert er den Umgang der Bundesregierung damit und wirft ihr »Untätigkeit« vor. Sie habe »bis heute noch nicht die leiseste Ahnung, wo und in welchem Ausmaß die deutsche IT-Sicherheit betroffen ist«. Es gebe bislang »keine Schadensanalyse. Kein Scherbenaufkehren. Keine Vorsorge. Nicht mal eine eindringliche Warnung. Diese Bundesregierung ist zum größten Sicherheitsrisiko für unser Land verkommen.« Sie müsse »umgehend klären, in welchem Umfang die deutsche IT-Sicherheit von dem SolarWinds-Hack betroffen ist«, fordert Höferlin.

Aufgefallen war der weitreichende und offenbar mindestens schon einige Monate andauernde Cyberangriff in den USA nicht den dafür eigentlich zuständigen Behörden, sondern dem ebenfalls betroffenen IT-Sicherheitsunternehmen FireEye. Experten bewerten den Vorgang als besonders kritisch, weil er auf einen international agierenden IT-Dienstleister zielt.

In einer aktuellen gemeinsamen Erklärung von NSA und FBI heißt es, dass »vermutlich« russische Hacker dafür verantwortlich seien und das Ziel im Ausspähen von Daten bestanden habe, also eher Spionage als Sabotage. Russland hat die auch schon von US-Politikern geäußerten Anschuldigungen zurückgewiesen.