Exchange-Schwachstelle Hacker greifen Paul-Ehrlich-Institut an
Paul-Ehrlich-Institut in Langen
Foto: Patrick Scheiber / imago imagesBis vor wenigen Monaten war das Paul-Ehrlich-Institut in Langen bei Frankfurt eher in Fachkreisen ein Begriff. Die Coronapandemie hat das verändert und die Impfstoff-Behörde rund um ihren Chef Klaus Cichutek ins Rampenlicht gerückt. Hinter den Kulissen haben die Hessen allerdings seit einigen Tagen Sorgen vor nicht-biologischen Viren und deren möglichen Nebenwirkungen: Nach SPIEGEL-Informationen ist das Institut, neben mindestens acht weiteren Bundesbehörden, von einer Sicherheitslücke betroffen, die Microsofts E-Mail-System Exchange schwächt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte nach Bekanntwerden der Schwachstelle die rote Warnstufe ausgerufen, erst zum dritten Mal in seiner 30-jährigen Geschichte. Neben dem Paul-Ehrlich-Institut (PEI) sind auch die Bundesanstalt für Verwaltungsdienstleistungen und das Umweltbundesamt (UBA) betroffen, wie der SPIEGEL zuerst berichtete.
Das PEI gehört dabei zu den Einrichtungen, die Sicherheitsexperten nun als besonders gefährdet ansehen, denn dort hatten Angreifer bereits einen Schadcode für spätere Angriffe hinterlegt. Dass ausgerechnet die wichtigste Impfbehörde des Landes von einem gravierenden IT-Sicherheitsvorfall betroffen ist, sorgt bei Vertretern der Bundesregierung für erhebliche Unruhe. Das Paul-Ehrlich-Institut selbst wollte sich auf Anfrage nicht zu dem Vorfall äußern.
In der Pandemie so wichtig wie nie zuvor
Der Generalbundesanwalt hat nach SPIEGEL-Informationen inzwischen einen Beobachtungsvorgang zu den Angriffen über Microsoft-Exchange angelegt. Man beobachte die Situation genau, heißt es in Karlsruhe.
Das Paul-Ehrlich-Institut gehört zum Geschäftsbereich von Gesundheitsminister Jens Spahn (CDU) und ist eine der wichtigsten staatlichen Einrichtungen in der Coronapandemie. Das Institut überwacht die Impfstoff-Sicherheit – und ist mit seinen Einschätzungen zur Wirksamkeit und möglichen Nebenwirkungen von Corona-Vakzinen derzeit gefragt wie nie. Es genehmigt unter anderem die klinischen Studien für die Impfstoffe und prüft deren Chargen vor ihrem Einsatz. Die Expertise des PEI steht auch hinter der Entscheidung von diesem Montag, weitere Impfungen mit der Vakzine von AstraZeneca vorsorglich auszusetzen.
Die Gefahr soll von »Hafnium« ausgehen
Nach bisherigem Stand der Ermittlungen ist es bei keiner der betroffenen Bundesbehörden zu Datenabflüssen gekommen. Allerdings hatte Microsoft Anfang des Monats in einem Blogpost berichtet, die Schwachstellen in den eigenen Systemen würden von einer aus China operierenden, professionell vorgehenden und offenbar staatlich gesteuerten Gruppierung aktiv ausgenutzt. Der Konzern gab den Hackern den Namen »Hafnium«.
Zu den von Microsoft selbst bereits identifizierten Opfern bisheriger Angriffe gehörten neben Rüstungskonzernen und politischen Denkfabriken auch Forschungseinrichtungen für Infektionskrankheiten.
Das BSI warnt weitere mögliche Betroffene davor, das Problem auf die leichte Schulter zu nehmen. Demnach ist noch immer eine fünfstellige Anzahl von Microsoft-Exchange-Servern hierzulande über das Netz angreifbar.
BSI fürchtet zweite Welle von Cyberangriffen
Am Freitag hatte die Bonner IT-Sicherheitsbehörde die Administratoren und Dienstleister von Unternehmen bereits dringend aufgefordert , ihre Systeme mit den von Microsoft inzwischen verbreiteten Reparatur-Codes abzusichern und nach hinterlassenen Schadcodes zu suchen. Ihre Befürchtung: Eine zweite Angriffswelle von kriminellen Gruppen, die die wie im PEI bereits angelegten Hintertüren ausnutzen, um beispielsweise dann die Rechner der Betroffenen zu verschlüsseln und Lösegeld zu fordern.
»Wir beobachten, dass weltweit erste Server aufgrund der Exchange-Schwachstellen mit Ransomware angegriffen werden«, warnte BSI-Präsident Arne Schönbohm via Twitter . Vor allem die Situation bei kleineren und mittleren Betrieben in Deutschland bereiteten ihm Sorgen.
Noch ist unklar, ob das PEI gezielt angegriffen wurde oder Opfer eines automatisierten Versuchs wurde, die eklatanten Microsoft-Sicherheitslücken auszunutzen. Es ist jedenfalls bei Weitem nicht das erste Ziel von Hackerattacken mit Bezug zum Virus und dessen Bekämpfung während dieser Pandemie. Im Dezember war eine erfolgreiche Cyberattacke auf die Europäische Arzneimittelbehörde Ema bekannt geworden, bei der die Angreifer »unrechtmäßigen Zugriff« auf Impfstoffdokumente von Biontech erlangten, wie das Unternehmen damals bestätigte.
