Zum Inhalt springen

SolarWinds-Lücke Spektakulärer Hackerangriff gefährdete 300 Ziele in Deutschland

Die Spur der Attacke führt nach Russland: Nach SPIEGEL-Informationen waren mehr deutsche Stellen als bislang bekannt durch den SolarWinds-Hack gefährdet. Auch im Kanzleramt war die Operation Thema.
US-Firma SolarWinds: Ein spektakulärer Spionagefall

US-Firma SolarWinds: Ein spektakulärer Spionagefall

Foto: SERGIO FLORES / REUTERS

Die Hacking-Operation rund um das Unternehmen SolarWinds gilt als einer der spektakulärsten Spionagefälle der vergangenen Jahre. Über ein schadhaftes Update, das die Angreifer unbemerkt in Produkte des Software-Anbieters SolarWinds einschleusten, öffnete sich bei zahlreichen Behörden und Unternehmen weltweit für mehrere Monate eine Hintertür. Diese ließ sich für Angriffe samt Datenabflüssen einsetzen.

Schon die Komplexität des Angriffs deutet darauf hin, dass staatliche Hackergruppen hinter der Operation stecken. Zu den Zielen des Angriffs gehörten das US-Außenministerium, Großkonzerne wie Microsoft, aber auch deutsche Behörden wie das Bundeskriminalamt und das Robert Koch-Institut.

Seit die Operation im vergangenen Dezember bekannt wurde, ist die Liste der betroffenen Firmen und Behörden immer länger geworden. Inzwischen geht die Bundesregierung davon aus, dass rund 300 »Stellen« in Deutschland von der Attacke betroffen sein könnten. So steht es in einer Antwort der Bundesregierung auf eine Kleine Anfrage des Grünenabgeordneten Konstantin von Notz, die dem SPIEGEL vorliegt.

Alle 300 Stellen waren demnach Kunden von SolarWinds und könnten über die anfällige Software Orion des Unternehmens angegriffen worden sein. Das gehe aus einer Liste hervor, die Deutschland aus den USA übermittelt wurde, heißt es von der Bundesregierung.

Ob es sich bei den rund 300 möglicherweise betroffenen SolarWinds-Kunden um Unternehmen, Bundesbehörden oder beispielsweise Kommunen handelt, führt die Bundesregierung in ihrer Antwort nicht weiter aus. Alle potenziellen Opfer sind den Angaben zufolge aber am 11. Februar durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert worden.

Zähe Rückmeldung der potenziell Betroffenen

Allein die Existenz einer Hintertür bedeutet noch nicht, dass bei betroffenen Organisationen auch tatsächlich Daten abgeflossen sind. Nachdem die Hacker in einem ersten Schritt über das schadhafte SolarWinds-Update einen Zugang zu ihren Zielen geöffnet hatten, konnten sie auf diesem Weg aber weitere Schadsoftware nachladen, über die dann Daten abfließen konnten.

Vor diesem Hintergrund wollte das BSI wissen, bei wie vielen der rund 300 Stellen auch tatsächlich jener zweite Schritt des Angriffs, mit dem Informationen abgegriffen werden konnten, durchgeführt wurde. Bisher hätten sich hierzu 13 Stellen beim BSI zurückgemeldet, heißt es in der Antwort der Bundesregierung. Sie alle konnten demnach Entwarnung geben und wurden nicht über die zweite Stufe des Angriffs tatsächlich attackiert.

Dass sich bislang offenbar erst so wenige der vom BSI informierten Stellen zurückgemeldet haben, wirkt angesichts der offenkundigen technischen Versiertheit und Gefährlichkeit der Angreifer allerdings bedenklich.

Wer hinter der SolarWinds-Operation steckt, ist bisher nicht bekannt. Allerdings konnten Sicherheitsforscher Spuren identifizieren, die nach Russland weisen. Teile des Angriffs tragen demnach die Handschrift der Hackergruppe Turla, die laut Experten im Auftrag Russlands und vermutlich für den dortigen Geheimdienst FSB agiert. Die US-Regierung macht ebenfalls russische Hacker für die Attacke verantwortlich. Laut den US-Geheimdiensten NSA und FBI sei es den Angreifern darum gegangen, Netzwerke auszuspionieren und Informationen zu sammeln.

Angriff in nachrichtendienstlicher Lage besprochen

Der Hacking-Angriff wurde auch im Bundeskanzleramt thematisiert. Nach SPIEGEL-Informationen war der Vorfall Teil der sogenannten nachrichtendienstlichen Lage. Dabei besprechen die deutschen Geheimdienste und die Bundesregierung besonders relevante sicherheitspolitische Vorgänge und Themen. Eine öffentliche Reaktion der deutschen Regierung blieb allerdings bisher aus. In den USA dagegen machte der damalige Außenminister Mike Pompeo Russland öffentlich für den Angriff verantwortlich. Auch die Biden-Regierung erklärte inzwischen, über Gegenmaßnahmen nachzudenken.

Der Grünenpolitiker Konstantin von Notz kritisiert, dass die Bundesregierung und das zuständige Innenministerium angesichts des SolarWinds-Vorfalls und einer anderen schweren Schwachstelle in Microsoft Exchange-Servern nicht genug unternehmen. »Angesichts dieser beiden verheerenden IT-Sicherheitsvorfälle innerhalb kürzester Zeit müssen eigentlich alle Alarmlampen der Bundesregierung an sein«, sagt der stellvertretende Fraktionsvorsitzende der Grünen. »Stattdessen taucht Horst Seehofer komplett ab und dokumentiert damit, dass eines der wichtigsten sicherheitspolitischen Themen unserer Zeit bei ihm in extrem schlechten Händen ist.«

Von Notz wünscht sich vor allem mehr Aufklärung. Die Regierung habe auf zahlreiche seiner Fragen – darunter auch die, was im Kanzleramt zu dem Vorfall besprochen wurde – eine substanzielle Antwort verweigert, bemängelt der Grünenpolitiker.

Aktuell laufen in Deutschland offenbar mehrere Ermittlungsverfahren wegen des Hacking-Angriffs. Sowohl bei den Cybercrime-Experten der Zentralstelle zur Bekämpfung der Internetkriminalität in Frankfurt am Main als auch bei weiteren Staatsanwaltschaften auf Länderebene würden Ermittlungen geführt, heißt es in der Antwort der Bundesregierung.

Die Wiedergabe wurde unterbrochen.