Hackerangriff betrifft auch Deutschland – Telekom und Siemens auf der Liste

Hochprofessionelle Angreifer sind nicht nur in die US-Regierungsnetze eingedrungen. Auch deutsche Unternehmen und Behörden sind betroffen.

Der großangelegte Hackerangriff betrifft nicht nur US-Regierungsstellen: Das Bundesinnenministerium bestätigte an diesem Freitag auf Anfrage, dass auch deutsche Unternehmen und Behörden die infizierte Software einsetzten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stehe in engem Kontakt mit den betroffenen Unternehmen und Ämtern und unterstütze sie dabei, mögliche Angreiferaktivitäten aufzuklären.

„Die Zahl der Betroffenen ist nach derzeitigem Kenntnisstand gering“, sagte ein Sprecher des Ministeriums. Das BSI habe in den bisher bekannten Fällen keine Hinweise darauf, dass die Angreifer in den betroffenen Netzen aktiv seien.

Die Angreifer konnten für ihre Attacke die Software der US-Firma SolarWinds ausnutzen. Der Konzern stellt seine Lösungen für zahlreiche Firmen bereit. In den USA nutzen laut Firmenangaben 425 der Fortune-500-Konzerne Anwendungen des Unternehmens. Laut Kundenlisten, die das Handelsblatt einsehen konnte, zählen in Deutschland die Dax-Konzerne Siemens und Deutsche Telekom zum Kundenstamm, sowie Firmen wie Gilette Deutschland und die Sparkasse Hagen.

Die Deutsche Telekom räumte ein, die Software von SolarWinds einzusetzen. „Nach Analysen in Deutschland gibt es aktuell keine Indikationen, dass wir betroffen sind. Bei vereinzelten Tochtergesellschaften im Ausland dauern die Untersuchungen noch an“, sagte ein Telekom-Sprecher. Siemens sagte, das Unternehmen habe nach Bekanntwerden des Hacks umgehend die von SolarWinds empfohlenen Schutzmaßnahmen ergriffen.

Das BSI empfiehlt den Unternehmen und Behörden, sich nicht auf das Einspielen von Sicherheitspatches zu beschränken. Vielmehr sei es ratsam „zu analysieren, ob die Schwachstelle ausgenutzt und weitere Angriffsaktivitäten in den IT-Systemen festgestellt werden können“, sagte eine Sprecherin.

Offenbar handelt es sich dabei um die gleichen Angreifer, die in die internen Netzwerke der US-Regierung eingedrungen waren. Dort ist laut Medienberichten unter anderem die Atomwaffenbehörde NNSA sowie das Handels- und das Finanzministerium betroffen. Laut der US-Cybersicherheitsbehörde CISA habe dies erhebliche und dauerhafte Auswirkungen auf die Netzwerke der Behörden.

Das Sicherheitsunternehmen Fireeye hatte die Attacke öffentlich gemacht. Die Angreifer zeichneten sich durch ein sehr hohes Maß an Fachwissen aus, sagte Fireeye-Manager Mike Hart dem Handelsblatt.

Entgegen anderer Hackersoftware verstecke sich das Programm in diesem Fall mit einem ausgeklügelten Mechanismus in den Systemen der betroffenen Einrichtungen. „Das bedarf sehr viel Mühe aufseiten der Angreifer. Das weist darauf hin, dass es hier um eine Gruppe mit staatlicher Rückendeckung geht“, sagte Hart.

Die „Washington Post“ und die „New York Times“ hatten berichtet, bei den Angreifern handele es sich um Hacker mit Verbindungen zum russischen Geheimdienst. Die russische Regierung weist das zurück. Die Nachrichtenagentur AP zitierte einen Regierungsbeamten mit den Worten: „Das scheint die schlimmste Hackerattacke aller Zeiten zu sein. Sie sind wirklich überall reingekommen.“

Auch CISA sieht die Einfallstore bei dem SolarWinds-Programm. Das Unternehmen erklärte, bis zu 18.000 seiner Kunden hätten ein kompromittiertes Software-Update heruntergeladen, mit dem Hacker Unternehmen und Behörden fast neun Monate lang unbemerkt ausspionieren konnten.

Hacker kapern Software-Update

SolarWinds ist ein US-Technologieunternehmen, das sich auf die Überwachung und Steuerung von IT-Systemen konzentriert. Die Firma konzentriert sich stark auf Angebote für Behörden und wirbt gerade auch in Deutschland um Kunden. In einer Werbebroschüre der Firma für Behördenkunden in Deutschland heißt es etwa: „Wir verfügen über geeignete Software-Tools für technologische Herausforderungen öffentlicher Auftraggeber, die Budgetzwänge und enge Implementierungszeitfenster berücksichtigen müssen.“

Die Hacker konnten die zentrale Steuersoftware der US-Firma kapern, die unter dem Namen Orion läuft, berichtete Fireeye. Den Angreifern sei es gelungen, ein Update des Programms zu manipulieren und sich so Zugang zu den Systemen der Kunden zu verschaffen.

„Die Kampagne könnte schon im Frühjahr 2020 begonnen haben und läuft derzeit weiter“, heißt es in der Fireeye-Analyse. Unter dem Opfern befänden sich auch etliche Organisationen, Behörden und Firmen in Europa.

Laut Fireeye sei das manipulierte Update von Orion gezielt so ausgelegt worden, dass es nicht von Virenscannern oder anderen Sicherheitswerkzeugen entdeckt werden konnte. Fireeye bezeichnete die Hackergruppe als UNC2452, machte aber keine näheren Angaben über den Ursprung der Angreifer. Auch in Cybersicherheitskreisen wurde vermutet, die Angreifer könnten aus Russland stammen.

Der Vizechef der Münchner Sicherheitskonferenz, Boris Ruge, erwartet, dass die Aktion die Beziehungen zwischen den USA und Russland belasten wird: „Moskau hat durch seine großangelegte Aktion jede Aussicht auf einen noch so bescheidenen Neustart in den Beziehungen zerstört und den Ton gegenüber der Biden-Administration gesetzt“, sagte er.

Parallelen zu russischer Attacke auf Ukraine

Der Ablauf des Angriffs ist nicht neu. 2017 war Hackern ein großer Cyberangriff mit einer Software unter dem Namen NotPetya gelungen. Das Spionageprogramm hatten die Angreifer ebenfalls in ein Update eines weitverbreiteten Softwareprogramms eingeschleust. In diesem Fall handelte es sich um das Buchhaltungsprogramm MeDoc.

Die Software wurde zur Erfassung von Steuerzahlungen in der Ukraine verwendet. Ein Großteil der von dem Angriff betroffenen Systemen war in dem Land. Es waren jedoch auch viele Firmen in Deutschland betroffen, unter anderem weil sie Geschäftskontakte zur Ukraine pflegten. Cyberexperten und die ukrainische Regierung machten Russland für den Angriff verantwortlich.

Zu den betroffenen Unternehmen gehörte unter anderem der Pharmakonzern Merck, dessen weltweite Produktion beeinträchtigt wurde. Der dänische Logistikkonzern Maersk verlor zwischenzeitig den Zugriff auf dutzende Schiffe auf den Weltmeeren und musste im Nachgang des Angriffs mehr als 50.000 Laptops, Computer und Smartphones aus Sicherheitsgründen zerstören. Die US-Regierung bezifferte den wirtschaftlichen Schaden auf zehn Milliarden Dollar.

Knockout der Elektrizitätsnetze

Die Ukraine wurde auch zuvor schon zweifach heftig von russischen Hackern attackiert: In der Hauptstadt Kiew gingen in der Nacht zum 17. Dezember 2016 die Lichter aus wie ein Jahr zuvor schon in der Westukraine.

Über eine Mail an einen Juristen der Elektrizitätswerke mit einer Excel-Tabelle, einem Bild und einem PDF mit einem Gerichtsbeschluss als Anlage wurde ein Virus eingeschleust. Über diesen wurde BlackEnergy geladen, ein Programm, das wie eine Hintertür wirkt und so Zugriff auf das Steuerungsprogramm erlaubt.

Das Bild, das angeklickt werden musste, führte auf einen in der Türkei stehenden Server und ins verschlüsselte Tor-Netz. Hellhörig wurde niemand, weil Empfänger und Erwartungshaltung perfekt passten und weder Antivirenprogramm noch Firewall anschlugen.

Bei dem Angriff auf internationale Großkonzerne über die ukrainische Steuer-Software war der Grund für die weitreichende Wirkung EternalBlue. Der Codename beschreibt eine vom US-Geheimdienst entwickelte Cyberwaffe. Die Regierungsbeamten hatten ein Programm entwickelt, dass über eine Schwachstelle im Betriebssystem Windows fremde Computer kapern konnte.

Im April stellte eine Gruppe unter dem Namen Shadow Brokers die US-Geheimdienstwaffe offen ins Internet. Anschließend griffen Hacker das Programm auf, um Computer zu infiltrieren – unter anderem im Rahmen von NotPetya.

Aus dem Westen wurde 2010 das iranische Atomprogramm mit dem Computerwurm Stuxnet angriffen, dabei wurde die Nuklearforschungsanlage in Natanz und die Steuerung des Atomkraftwerks Buschehr lahmgelegt. Dort waren seinerzeit noch Microsoft Windows-Programme installiert.

Expertin spricht von Cyberwar

„Weder der erste noch der zweite Angriff auf die ukrainische Energieversorgung wurden jemals von irgendeiner Regierung verurteilt. Das ist besorgniserregend, weil die rote Linie weiter nach hinten verschoben wurde“, empört sich Marina Krotofil. Denn die ukrainische Cyberexpertin weist darauf hin, dass lebenswichtige zivile Infrastruktur gezielt angegriffen wurde. Es stelle sich „die Frage von Cyberkrieg und Ethik. Insbesondere, weil der Angriff auf Stromnetze ein Angriff auf Zivilisten ist.“

Russische Hacker mit Staatsauftrag haben in den letzten Jahren massiv westliche Einrichtungen angegriffen sowie die nach Westen strebende Ukraine: Die IT-Infrastruktur des Bundestages, Computer der US-Demokraten 2014, um damit die Wahl zugunsten Donald Trumps zu manipulieren, zuletzt die European Medicines Agency, die derzeit für die Zulassung der Corona-Impfstoffe zuständig ist.

Putins Rache für Angriffe gegen ihn?

Russlands Staatsführung ist hochgradig verärgert über Leaks, die direkt Kremlchef Wladimir Putin und sein Umfeld treffen. Und weil die USA kurz nach Trumps Amtsantritt bekannt gaben, einen engen Mitarbeiter Putins im Kreml als Spion geführt zu haben und aus Sorge, dass Trump dies verrät, abgezogen hätten.

Noch am Donnerstag – nur Stunden bevor der neuerliche Cyberangriff auf die USA bekannt wurde – hatte sich Putin ereifert, die Enthüllung von acht Agenten des russischen Geheimdienstes FSB, die den Kremlkritiker Alexej Nawalny verfolgt und vergiftet haben sollen, stamme von US-Diensten.

Ähnliches vermutet der Kreml über die Enthüllungen der Auslands-Milliarden, die Putins enger Freund Sergej Rodulgin („Der Cellist“) laut den Enthüllungen der „Panama Papers“ für den Staatschef verwalten soll. Oder über Putins Liebschaft zur Ex-Olympiasiegerin Alina Kabajewa, ein mögliches uneheliches Kind sowie weitere Finanzskandale von ihm und mit ihm verbundener Oligarchen.

Mehr: Lesen Sie hier, was russische Hacker so erfolgreich und gefürchtet macht.