Deutsche Märkte geschlossen

„Operation Sunburst“ – Sieben Fragen und Antworten zum Hack auf die US-Regierung

Scheuer, Stephan
·Lesedauer: 5 Min.

Das US-Finanzministerium, die Atomwaffenbehörde und Microsoft sind Opfer einer Cyberattacke geworden. Was ist passiert, und wie geht es jetzt weiter?

Die Dimensionen sind gewaltig: Hacker konnten sich in einer monatelangen Aktion Zugang zu weiten Teilen der US-Regierung verschaffen. Das Finanzministerium, Handelsministerium, Heimatschutzministerium, Außenministerium, Teile des Pentagons und sogar die für die Atomwaffen zuständige Behörde zählen wohl zu den Opfern.

US-Außenminister Mike Pompeo sagte, es sei „ziemlich sicher“, dass Russland hinter dem Angriff stecke. US-Präsident Donald Trump vermutete hingegen öffentlich die Volksrepublik China hinter der Attacke.

Für den Mitgründer der Cybersicherheitsfirma Crowdstrike, Dmitri Alperovitch, handelt es sich um die weitreichendste Cyberspionage-Aktion der Geschichte – Sicherheitsforscher bezeichnen sie als „Operation Sunburst“. Das Handelsblatt beantwortet sieben zentrale Fragen zu den Entwicklungen.

Wie sind die Hacker vorgegangen?

US-Behörden gehören zu den am besten vor Cyberattacken gesicherten Regierungsstellen der Welt. Entsprechend geschickt gingen die Angreifer vor. Sie kaperten die Software der amerikanischen Firma Solarwinds. Sie liefert Werkzeuge, mit denen die Netzwerke von Firmen und Behörden überwacht werden können. Das soll eigentlich dazu dienen, sie besonders sicher zu machen. Die Programme von Solarwinds haben dadurch jedoch auch weitreichenden Zugang in die internen Netzwerke der Organisationen, die sie einsetzen. Das machte Solarwinds zu einem perfekten Ziel für die Angreifer.

Die Hacker drangen bei Solarwinds ein und manipulierten ein Update für die wichtige Software Orion. Alle Kunden, die das Update aufriefen, wurden potenziell von den Hackern infiltriert. 18.000 Kunden seien betroffen, teilte Solarwinds mit. Die Aktion habe vermutlich bereits im Frühjahr begonnen.

Wie ist die Attacke aufgefallen?

Es waren nicht zuerst US-Behörden, sondern die Cybersicherheitsfirma Fireeye, die den Angriff öffentlich machte. Fireeye setzt selbst die Software von Solarwinds ein und war selbst kürzlich Opfer eines Hackerangriffs geworden. Dabei waren zentrale Cyberwaffen von Fireeye entwendet worden. Bei der Analyse stießen die Sicherheitsexperten darauf, dass sie nur ein Teil einer großangelegten Attacke waren.

„Die Hacker sind sehr clever vorgegangen“, sagte Fireeye-Manager Mike Hart dem Handelsblatt. Über Monate hätten sich die Angreifer Zugang zu Systemen verschafft und dafür sehr großen Wert darauf gelegt, unerkannt zu bleiben. Das Vorgehen sei so ausgeklügelt gewesen, dass dies für staatliche Hacker sprechen würde, vermutete Hart. Die Analyse dauere aber noch an.

Ist Deutschland auch betroffen?

Ja. Das Bundesinnenministerium bestätigte auf Anfrage, dass auch deutsche Unternehmen und Behörden die infizierte Software einsetzten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stehe in engem Kontakt mit den betroffenen Unternehmen und Ämtern und unterstütze sie dabei, mögliche Aktivitäten von Angreifern aufzuklären.

Solarwinds stellt seine Lösungen für zahlreiche Firmen bereit. In den USA nutzen laut Firmenangaben 425 der Fortune-500-Konzerne Anwendungen des Unternehmens. Laut Kundenlisten, die das Handelsblatt einsehen konnte, zählen in Deutschland die Dax-Konzerne Siemens und Deutsche Telekom zum Kundenstamm, sowie Firmen wie Gilette Deutschland und die Sparkasse Hagen.

Die Deutsche Telekom räumte ein, die Software von Solarwinds einzusetzen. „Nach Analysen in Deutschland gibt es aktuell keine Indikationen, dass wir betroffen sind. Bei vereinzelten Tochtergesellschaften im Ausland dauern die Untersuchungen noch an“, sagte ein Telekom-Sprecher. Siemens erklärte, das Unternehmen habe nach Bekanntwerden des Hacks umgehend die von Solarwinds empfohlenen Schutzmaßnahmen ergriffen.

Welche Folgen hat der Angriff?

Das kann noch niemand absehen. Der US-Konzern Microsoft, der selbst Opfer der Attacke war, sprach von einem „breit angelegten und erfolgreichen Angriff auf vertrauliche Informationen der US-Regierung“.

Was die Angreifer genau erbeuten konnten, bleibt jedoch unklar. US-Verteidigungsminister Mike Pompeo sprach davon, dass aus Gründen nationaler Sicherheit viele Details über den Umfang der Attacken vermutlich niemals veröffentlicht würden.

„Wir wissen nicht, in welchen Netzwerken sie sind, wie tief sie drin sind, welchen Zugang sie haben, welche Werkzeuge sie zurückgelassen haben“, sagte der bekannte Sicherheitsexperte Bruce Schneier der Nachrichtenagentur AP.

Ist der Angriff beendet?

Vermutlich nicht. Solarwinds hat ein Update seiner Software veröffentlicht, das die Sicherheitslücke schließen soll. Damit wären aber bereits kompromittierte Computersysteme nicht gerettet.

Microsoft hat zusammen mit Fireeye die von den Hackern genutzte Internetdomain Avsvmcloud.com übernommen und so manipuliert, dass in manchen Fällen die manipulierte Software abgeschaltet werden kann. Aber auch das bietet keine komplette Sicherheit.

Fireeye wies darauf hin, dass die Maßnahmen des Unternehmens zusammen mit Microsoft den Hackern zwar den Zugriff auf die Systeme erschweren, aber nicht komplett unterbinden könnten. Die Gefahr ist nicht gebannt.

Sicherheitsexperte Schneier sagte: „Das Aufräumen ist nur Phase eins.“ Der einzige Weg, wie man sichergehen könne, dass ein Netzwerk sauber sei, wäre, „es niederzubrennen und wieder aufzubauen“.

Was müssen betroffene Unternehmen jetzt machen?

Zunächst sollten sie die von Solarwinds bereitgestellten Updates so schnell wie möglich einspielen, um die bekannten Sicherheitslücken zu schließen. Dann sollten sie die Analyse von Fireeye genau studieren. Die Sicherheitsfirma hat genau aufgeschlüsselt, wie Hacker in bekannten Fällen vorgegangen sind, und damit Hilfestellungen geliefert, wonach IT-Abteilungen suchen müssen, um einen Befall des eigenen Systems nachvollziehen zu können.

Das sind aber nur die ersten Schritte einer tief greifenden Analyse. Als im Jahr 2017 die Logistikfirma Maersk Opfer der Cyberattacke mit der Software Notpetya wurde, sah sich das Unternehmen letztlich gezwungen, 50.000 Computer, Laptops und Telefone zu zerstören, um eine weitere Infektion auszuschließen. Trotz intensiver Untersuchungen konnte sich die Firma nicht sicher sein, alle Spuren der Angreifer ausgeschaltet zu haben. Daher entschloss sich Maersk zu dem drastischen Schritt.

Wer steckt hinter der Attacke?

Das ist noch nicht abschließend geklärt. US-Außenminister Mike Pompeo sagte, es sei „ziemlich sicher“, dass Russland hinter dem Angriff stecke. US-Präsident Donald Trump stellte hingegen öffentlich die Vermutung auf, die Volksrepublik China stehe hinter der Attacke.

Fireeye, die sich gerade auch auf die Analyse der Hinterleute bei Angriffen spezialisiert hat, wollte sich nicht festlegen. Fireeye-Manager Hart sagte aber, dass der Umfang des Angriffs sehr dafür spreche, dass Staatshacker hinter der Attacke steckten.