Seit Dezember 2020 kommen immer mehr Details zum großflächigen Cyberangriff gegen das amerikanische IT-Unternehmen SolarWinds ans Tageslicht. Mittlerweile ist klar, dass über ein manipuliertes Update der SolarWinds-Software Orion sowohl bei zahlreichen Großunternehmen als auch bei US-Behörden Spionagesoftware installiert wurde.
Bis man die Attacke entdeckte, vergingen mindestens neun Monate. In dieser Zeit konnten sich die Angreifer ungehindert in den infiltrierten Systemen bewegen. Anfangs ging das Bundesamt für Sicherheit in der Informationstechnik (BSI) davon aus, dass sich Attacke nur geringfügig in Deutschland auswirkte. Allerdings mehren sich n den letzten Tagen die Anzeichen, dass auch deutsche Behörden zu den Opfern gehören könnten.
Bei der Orion-Software handelt es sich eine Netzwerk-Management-Software, die international bei zahlreichen Unternehmen und Behörden zum Einsatz kommt. Insgesamt haben sich über 17.000 Organisationen das schadhafte Update heruntergeladen. Die Spionagesoftware nutzte eine Hintertür, um in die Computersysteme einzudringen.
Zu den von der Cyberattacke betroffenen Unternehmen gehören unter anderem Microsoft, Deloitte und Intel. Auch bei weiten Teilen der US-Regierung wie dem Finanzministerium, dem Handelsministerium, dem Außenministerium und sogar im Pentagon fand sich die Spionagesoftware.
In Deutschland haben 16 Ministerien und Bundesämter zumindest teilweise SolarWinds-Software eingesetzt. Dazu gehören auch Sicherheitsbehörden wie das Bundeskriminalamt (BKA) oder das BSI. Ob auch das Bundesamt für Verfassungsschutz (BfV) oder der Bundesnachrichtendienst (BND) die Software genutzt haben und damit zu den potenziellen Opfern gehören, ist unklar. Aus Sicherheitsgründen dürfen keine Informationen zu von den Geheimdiensten genutzten Systemen an die Öffentlichkeit gelangen.
Die Bundesregierung gab in einer Stellungnahme zu, nach dem derzeitigen Wissensstand keinen Anspruch auf Vollständigkeit hinsichtlich der möglicherweise betroffenen Behörden erheben zu können.
Die Identität der Angreifer hinter der Cyberattacke ist unklar, die US-Geheimdienste NSA und FBI vermuten eine Spionageoperation von russischen Hackern. Eventuell war es die russische Hackergruppe APT 29, auch bekannt als Cozy Bear. Der Kreml dementiert jegliche Involvierung in die Aktion. Nach Expertenmeinung spricht das sehr umsichtige Vorgehen der Angreifer dafür, dass diese gezielt nach bestimmten Datensätzen suchten und nicht auf kurzfristigen Schaden aus waren.
Eine alternative Möglichkeit sei es, dass es sich bei der Attacke um eine Machtdemonstration handele, um das Vertrauen der Amerikaner in ihre IT-Systeme zu schädigen. Es könne Monate oder auch Jahre dauern, um alle Systeme zu bereinigen und das komplette Ausmaß des Schadens zu analysieren. Der FDP-Politiker Manuel Höferlin sprach in Hinblick auf den Solarwinds-Hack vom „massivsten Angriff auf die westliche Welt seit Jahrzehnten“.
Autor: Florian Schimikowski
Veröffentlicht am: 07.01.2021