SolarWinds-Attacke: Viele deutsche Behörden nutzten manipulierte Software

Andreas Frischholz
100 Kommentare
SolarWinds-Attacke: Viele deutsche Behörden nutzten manipulierte Software
Bild: TheDigitalArtist | CC0 1.0

Zu den Betroffenen der SolarWinds-Attacke zählen neben US-Behörden sowie Tausenden Unternehmen wie Microsoft auch deutsche Ministerien, Ämter und Institute. Das geht aus einer Antwort der Bundesregierung auf eine kleine Anfrage der FDP hervor.

Wie der Spiegel berichtet, sind es demnach mehr als 16 Ministerien und Bundesämter, die SolarWinds Netzwerk-Management-Lösung Orion verwendet haben. Verteilt wurde der Schadcode über kompromittierte Updates, die zwischen März und Juni verteilt wurden. Die jeweiligen Ministerien und Bundesämter haben die SolarWinds-Produkte zumindest zeitweise oder vereinzelt verwendet.

Dazu zählen das Bundesverkehrsministerium, das Kraftfahrtbundesamt sowie das Robert Koch-Institut (RKI). Ebenfalls mit auf der Liste steht das ITZ Bund – das ist der IT-Dienstleister des Bundes, der laut dem Spiegel Kunden vom Auswärtigen Amt bis zum Zoll betreut. Allerdings verwendet das ITZ Bund zwar SolarWinds-Produkte, nicht aber die Orion-Software. Somit ist der Dienstleister nicht von dem Hack betroffen.

Mit auf der Liste stehen zudem Sicherheitsbehörden wie das BSI und das Bundeskriminalamt. Ob Geheimdienste wie der Verfassungsschutz und der Bundesnachrichtendienst die Orion-Software nutzen, teilte die Bundesregierung nicht mit.

Kritik: Bundesregierung müsse Aufklärung intensivieren

Ob die Systeme der Behörden mit der durch die Orion-Hintertür eingeschleusten Schadsoftware Sunburst infiltriert wurden, kann die Bundesregierung derzeit nicht ausschließen. Allerdings äußert man sich vorsichtig optimistisch. „Nach derzeitigen Kenntnisstand der Bundesregierung hat es über das Sunburst genannte Schadprogramm in der Software SolarWinds Orion keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung gegeben“, heißt es in der Antwort.

Ende Dezember verkündete die Bundesregierung bereits, Systeme der Bundesverwaltung seien von der Attacke nicht betroffen.

Allerdings sind die Untersuchungen noch nicht abgeschlossen, die seien mit einem hohen Ressourcen-Aufwand verbunden. Die nun zusammengestellte Liste erhebe daher noch „keinen Anspruch auf Vollständigkeit“, es könnten also noch weitere Ministerien und Behörden folgen.

Für die FDP reicht die bisherige Reaktion der Bundesregierung nicht aus. Der FDP-Digitalpolitiker Manuel Höferlein bezeichnet die SolarWinds-Attacke gegenüber dem Spiegel als „massivsten Angriff auf die westliche Welt seit Jahrzehnten“. Der Bundesregierung wirft er Untätigkeit vor, weil diese immer noch nicht sagen könne, in welchem Ausmaß die deutsche IT-Infrastruktur tatsächlich betroffen sei. Das müsse man nun „umgehend klären“.

Nicht alle betroffenen Kunden wurden infiltriert

Rund 18.000 SolarWinds-Kunden sollen von kompromittierten Orion-Updates betroffen sein. Dazu zählen große Teile der US-Regierung sowie bekannte Unternehmen wie Microsoft, Intel und Cisco. Bei Microsoft hatten die Angreifer sogar Zugang zum Quellcode. In welchem Ausmaß Daten abgegriffen wurden, lässt sich aber nicht sagen. Nach Einschätzung von Experten wären 18.000 Hintertüren selbst für staatliche Akteure nicht machbar, dafür mangele es schlicht an Ressourcen.

So erklären das FBI und die NSA in einer gemeinsamen Stellungnahme, nur bei einer kleinen Anzahl der rund 18.000 betroffenen SolarWinds-Kunden wurden die Systeme aktiv infiltriert. Demnach fallen weniger als zehn US-Behörden in diese Kategorie. Die Ermittlungen der US-Sicherheitsbehörden laufen derweil weiter.

Wie bereits Vertreter der US-Administration erklären nun auch FBI und NSA, die Attacke würde vermutlich von Russland ausgehen. Vertreter der russischen Regierung bestreiten die Vorwürfe.

Update 07.01.2021 11:50 Uhr

Wie das ITZ Bund mitteilt, verwendet man zwar SolarWinds-Produkte, allerdings nicht Orion. Somit ist der IT-Dienstleister des Bundes auch nicht von dem Hack betroffen. „Wir setzen punktuell Software von SolarWinds ein, aber nur ein Produkt, das nicht von dem Hack betroffen ist“, so ITZ-Bund-Direktor Alfred Kranstedt.