Hackerangriffe auf Forschungszentren Sechs Supercomputer in Deutschland kompromittiert

Mehrere Supercomputer-Betreiber in Deutschland und Großbritannien haben derzeit mit Hackerattacken zu kämpfen. Nach SPIEGEL-Informationen haben die Angriffe schon vor Monaten begonnen, blieben aber lange unentdeckt.
Der "superMUC"-Rechner im Leibniz-Rechenzentrum

Der "superMUC"-Rechner im Leibniz-Rechenzentrum

Foto: Handout/ dpa

Mehrere Hochleistungsrechenzentren in Europa haben derzeit mit Sicherheitsvorfällen zu kämpfen, mindestens sechs Supercomputer allein in Deutschland sind betroffen. Wie "heise online"  zuerst berichtete, betrifft das unter anderem das Leibniz Supercomputing Center in Garching bei München und den Hochleistungsrechner Hawk am Stuttgarter Höchstleistungsrechenzentrum (HLRS). "Hawk wurde wegen eines Sicherheitsvorfalls abgeschaltet", heißt es auf der HLRS-Seite  knapp. Das Leibniz-Rechenzentrum teilt mit : "Wir können einen Sicherheitsvorfall bestätigen, von dem unsere Hochleistungsrechner betroffen sind. Sicherheitshalber haben wir deshalb die betroffenen Maschinen von der Außenwelt abgeschottet. Die Benutzer und die zuständigen Behörden sind informiert."

Am Forschungszentrum Jülich ist eine der Supercomputer-Instanzen derzeit im Wartungsmodus, eine offizielle Erklärung bekam der SPIEGEL am Donnerstagabend - auch hier gab es demnach einen Sicherheitsvorfall, die entsprechenden Systeme wurden "daraufhin umgehend für alle Nutzer gesperrt", wie das Forschungszentrum mitteilte.

So erging es auch den Nutzern der beiden Hochleistungsrechner bwUniCluster 2.0 und ForHLR II am Karlsruher Institut für Technologie (KIT). Die Betreiber schreiben in einer E-Mail von einem "schweren Sicherheitsvorfall": "Die Systeme wurden durch Angriffe über gestohlene Nutzer-Accountdaten kompromittiert. Eine schnelle Behebung des Problems ist nach aktuellem Kenntnisstand unwahrscheinlich."

Erster Angriff wohl schon im Januar

Und auch das bwForCluster NEMO in Freiburg ist gehackt worden. In E-Mails, die an die Nutzer verschickt wurden, heißt es (übersetzt): "Der NEMO Login wurde in einer Cyber-Attacke kompromittiert. Die Angreifer verwendeten einen gestohlenen Nutzeraccount und verschafften sich Root-Privilegien." Das sind die höchsten Zugriffsrechte, die ein Computernutzer haben kann. Die Angreifer, heißt es weiter, hätten dann weitere Benutzernamen und Passwörter ausgelesen. Weitere bösartige Aktivitäten seien nicht festgestellt worden, könnten aber auch nicht ausgeschlossen werden. Der erste Angriff habe vermutlich bereits am 9. Januar stattgefunden, mindestens sechs weitere Versuche folgten.

Es handele sich "nicht um einen isolierten Fall", schrieb das NEMO-Team am heutigen Donnerstag: "Mehrere weitere Hochleistungsrechenzentren in Deutschland und dem Rest der Welt leiden unter ähnlichen Attacken".

Eines davon ist der ARCHER National Supercomputing Service im schottischen Edinburgh. Die Betreiber schrieben:  "Wir glauben jetzt, dass es sich um ein großes Problem für die Forschungsgemeinschaft handelt, da mehrere Computer in Großbritannien und anderswo in Europa kompromittiert wurden." Man habe das National Cyber Security Centre eingeschaltet. In einer ersten knappen Mitteilung am Montag hatten die Betreiber von einer "security exploitation on the Archer login nodes" gesprochen, womit kompromittierte Fernzugänge zum dortigen Cray-Supercomputer gemeint sein dürften.

Die Universität von Edinburgh hatte "The Register"  mitgeteilt, es gebe "keine Hinweise darauf, dass Forschungs-, Nutzer- oder personenbezogene Daten betroffen" seien.

Ob die Angriffe von denselben Tätern kommen, und ob sie ein gemeinsames Ziel hatten oder sonstige Übereinstimmungen, ist derzeit unklar. Experten, die nicht namentlich genannt werden wollten, spekulieren "The Register" zufolge, dass ARCHER ein offensichtliches Ziel für Hacker sei, um an Forschungsdaten mit Bezug auf das Coronavirus Sars-CoV-2 zu gelangen. Das gilt aber wohl nicht für alle betroffenen Systeme.

USA beschuldigen China, Corona-Forscher zu hacken

Erst am Mittwoch hatten das FBI und das US-Heimatschutzministerium DHS offiziell "Cyber-Akteure" mit "Verbindungen zur chinesischen Regierung" beschuldigt, US-Einrichtungen anzugreifen, an denen zum Coronavirus geforscht wird. "Diese Akteure wurden beobachtet, wie sie versuchten, wertvolles geistiges Eigentum sowie Daten zu Impfungen, Behandlungsmöglichkeiten und Tests aus Netzwerken und von Personal, das Covid-19-Forschung betreibt, zu erlangen", heißt es in der Mitteilung der US-Behörden .

John Hultquist vom US-Sicherheitsunternehmen FireEye nannte weitere Akteure: "Wir haben bei mehreren Unternehmen, die zu Covid-19 forschen, Cyber-Spionage-Aktivitäten festgestellt", sagte er. "Russische, chinesische und iranische Akteure haben mehrere öffentliche und private Organisationen ins Visier genommen, die Covid-19-Therapien entwickeln. Wir vermuten, dass die Geheimdienste weltweit der Sammlung von Informationen über Covid-19 höchste Priorität eingeräumt haben."