Gibt es deutsche Opfer des SolarWinds-Hacks?

Auch deutsche Ministerien und Behörden setzen die SolarWinds Orion-Software ein. Insgesamt scheinen 16 dieser Organisationen unter den Kunden der SolarWinds Orion-Software zu sein, wie eine Anfrage an die Bundesregierung ergeben hat. Diese Institutionen sind auch potentielle Opfer der SOLARBURST-Backdoor. Speziell, wenn es sich um Einrichtungen der Bundeswehr oder die zentrale IT des Bundes handelt.


Anzeige

Bisher war klar, dass der SolarWinds-Hack vor allem die USA und deren Administration ins Mark getroffen hat. Mutmaßlich staatlichen Angreifern war es gelungen, eine DLL in der Orion-Software von SolarWinds mit einer SOLARBURST genannten Backdoor zu infizieren. Das Ganze wurde dann als digital signiertes Update an alle Nutzer der SolarWinds Orion-Software verteilt. Die Hacker konnten über viele Monate unbemerkt auf die Systeme der Opfer zugreifen und sich dort festsetzen. Inzwischen gibt es eine gemeinsame Erklärung von FBI, CISA, ODNI und NSA (siehe auch), die Russland für den Angriff verantwortlich machen.

Da die SolarWindows Orion-Produkte von vielen Kunden eingesetzt werden, ist die Zahl der Opfer enorm (potentiell wird von 18.000 Betroffenen gesprochen). In den USA geht man nach bisherigen Analysen von ungefähr 200 US-Behörden und -Firmen (von Intel über Cisco bis hin zu Microsoft) aus, die wohl gezielt Opfer dieser Hacker-Aktion geworden seien (siehe SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?).

Deutschland auch betroffen?

Es ist klar, dass die SolarWinds Orion-Software auch in vielen deutschen Unternehmen eingesetzt wird. Die spannende Frage war daher, ob und wie viele deutsche Behörden oder Unternehmen betroffen sind. Im Artikel Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt hatte ich nicht nur eine Liste der US-Opfer des SOLARBURST-Angriffs, sondern auch eine Liste der SolarWinds Kunden, veröffentlicht. Dort waren auch deutsche Namen wie die Siemens, Sparkasse Hagen, oder Gilette Deutschland GmbH aufgeführt.

Im Blog-Beitrag SolarWinds-Hack: Auch Microsoft & Co. betroffen? hatte ich auf eine Analyse eines Threat Research Manager bei Sophos verwiesen, der mögliche Opfer-Domains auflistet. Dort waren mir zwei deutsche Firmennamen aufgefallen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meinte im Dezember 2020: »Die Zahl der Betroffenen ist nach derzeitigem Kenntnisstand gering«. Aber was heißt gering?

Manuel Höferling, Bundestagsabgeordneter der FDP-Fraktion, hat eine Anfrage an die Bundesregierung gestellt und wollte genauer wissen, welche Behörden und Ministerium die SolarWinds Orion-Software verwenden. Die Antwort ist wohl eingegangen, wie Spiegel Online hier schreibt. In einer Liste sind 16 Ministerien und Bundesbehörden aufgeführt, die "zeitweise oder vereinzelt" auf die Orion-Software setzen. Hier einige Namen, ohne Anspruch auf Vollständigkeit:

  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Bundeskriminalamt (BKA)
  • Bundesverkehrsministerium
  • ITZ Bund (zentrale IT-Dienstleister des Bundes)
  • Kraftfahrtbundesamt
  • Robert Koch-Institut (RKI)
  • Wehrtechnische Dienststelle für Luftfahrzeuge und Luftfahrtgerät der Bundeswehr (WTD 61)

Es bedeutet nicht, dass diese Institutionen auch aktiv über die SOLARBURST-Schwachstelle angegriffen wurden. Aber es könnte sich durchaus irgendwann herausstellen, dass eine der Stellen auch 'Opfer' und im Visier der Hacker war.

Generell wird die Aufklärung ein schwieriges Pflaster, da die Angreifer die Backdoor beseitigt haben, nachdem sie erfolgreich über die infizierte DLL in ein System eingedrungen waren und sich eingenistet hatten. Die Analyse der Details lässt sich bei FireEye nachlesen. Es würde mich nicht wundern, wenn bald weitere Details bekannt werden.

Kürzlich hatte ich ja über einen Cyber-Angriff auf die Reederei Aida Crusies berichtet (IT-Ausfall bei AIDA durch Cyberangriff?), bei dem sich das Opfer mit Details auffällig bedeckt hält. Aktuell heißt es auf deren Webseite Wir sind derzeit von IT-technischen Einschränkungen betroffen. Daher sind wir für unsere Kunden telefonisch und per E-Mail nicht zu erreichen. Dies gilt auch für den Login auf MyAIDA. Dass ein einfacher Server abgeraucht oder ein verunglücktes Update die Ursache ist, kann inzwischen ausgeschlossen werden – zumal die Staatsanwaltschaft eingeschaltet wurde. Wenn es kein Ransomware-Angriff war (mir ist da noch nichts bekannt geworden), könnte man ja auch an einen Hack a la SUNBURST denken, bei dem das IT-Netzwerk mit der Active Directory-Struktur des Unternehmens kompromittiert wurde. Das würde erklären, warum die IT auch nach über einer Woche nicht einsatzfähig ist.

Ergänzung: Heise hat hier über das Thema berichtet. Der Redaktion liegt die Antwort auf die Anfrage an die Bundesregierung vor – das Dokument ist im heise-Artikel verlinkt.


Anzeige

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Gibt es deutsche Opfer des SolarWinds-Hacks?

  1. 1ST1 sagt:

    Wenn tatsächlich russische Staatshacker Solarwinds gehackt haben, um in amerikanische Behörden einzudringen, und vielleicht um Quellcode bei Microsoft einzusehen, was wollen die dann mit einem Aida-Schiff?

  2. Bernard sagt:

    Woher weiss ich eigentlich, ob in unserem kleinen Betrieb in irgendeinem Gerät SolarWindows-Software drinsteckt?

    Seit Wochen gibt es Meldungen, aber es wird nicht GENAU gesagt, wie man herausbekommt, welche SolarWindws-Software in welchen Geräten steckt.

    Oder in welcher Software. Sind Microsoft-Produkte betroffen? Fritzboxen? QNAP, Synology?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.