Auch deutsche Computer-Netzwerke betroffen

von Peter Welchering
13.01.2021 | 17:22 Uhr
Bundesbehörden in Deutschland und Unternehmen haben die kompromittierte Netzwerk-Plattform von SolarWinds genutzt. Ein IT-Lockdown soll aber vermieden werden.
Quelle: epaHackern war es gelungen, SolarWinds Orion-Platttform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln.
Der SolarWinds-Hack ist wohl der größte Angriff auf die westliche Welt seit Jahrzehnten,
urteilt der FDP-Bundestagsabgeordnete Manuel Höferlin.
Er hat die Bundesregierung gefragt, welche Bundesministerien oder -behörden Produkte des Netzwerkherstellers SolarWinds einsetzen.
In einem Update der Orion-Netz-Plattform von SolarWinds sind bisher zwei Hintertüren nachgewiesen worden. Angreifer haben diese Hintertüren auch bereits für zahlreiche Angriffe ausgenutzt - unter anderem auf Quellcodes von Microsoft.

SolarWinds-Kunden in Deutschland

Doch wie sieht es in Deutschland aus? Wer setzt da die riskante Software ein?
"SolarWinds weist auch eine ganze Menge Kunden in Deutschland aus", hat der Informatik-Professor Hartmut Pohl mit Mitarbeitern seines Sicherheitsunternehmens Softscheck GmbH in Sankt Augustin ermittelt.

RKI hat SolarWinds-Produkte im Einsatz

Einige dieser Unternehmen betreiben sogenannte kritische Infrastrukturen. "Das heißt: Wasserwerke, Telekommunikationsanbieter, die wesentlichen Pharma-Unternehmen waren Kunde von SolarWinds", erläutert Pohl - und rät dazu, deren IT-Systeme rasch zu überprüfen.
Auch Bundesbehörden und Ministerien haben SolarWinds-Produkte im Einsatz. Das Verkehrsministerium ebenso wie das Familienministerium, das Bundeskriminalamt, aber auch das Robert-Koch-Institut, das Technische Hilfswerk und diverse Bundesämter.

Kombinierte Angriffe sind möglich

Besonderen Anlass zur Sorge gibt der Einsatz von SolarWinds-Produkten bei der Wehrtechnischen Dienststelle 61 und beim Informationstechnikzentrum Bund.
Denn die Wehrtechnische Dienststelle erprobt das fliegende Gerät der Bundeswehr. Das Informationstechnikzentrum Bund ist der zentrale IT-Dienstleister für Bundesbehörden, auch im Sicherheitsbereich.

Energieversorger im Visier der Hacker

Die Kombination lässt die Sicherheitsbehörden aufschrecken. Wer zum Beispiel bei einem Energieversorger in die Netzwerke eindringen kann und darüber hinaus auch noch Zugriff auf Netze der Sicherheitsbehörden hat, der kann nicht nur für einige Stunden gezielt in einigen Städten oder sogar bundesweit den Strom abschalten.
Nein, der kann viel mehr. Er kann nämlich die Maßnahmen zum Wiederhochfahren der Stromnetze nachhaltig manipulieren und sabotieren. Tagelange Ausfälle wären die Folge.
Wir sitzen hier auf einem Pulverfass.
Hartmut Pohl, Sicherheitsforscher

SolarWinds-Produkte auf Angriffsspuren untersuchen

Um diese Angriffe dann abwehren zu können, bleibt nicht mehr viel Zeit. Die Empfehlung von Professor Pohl: Alle betroffenen IT-Systeme vom Netz nehmen, herunterfahren und gezielt nach Hintertüren, Schadsoftware und verborgenen Kommunikationskanälen suchen.
Außerdem müssen alle Netzwerke von Unternehmen und Behörden, die SolarWinds-Produkte eingesetzt haben, auf Angriffsspuren und versteckte Schadsoftware hin analysiert werden.
Die Bundesregierung muss dringend aufklären, wo und wie schwer wir unter Beschuss waren und vielleicht noch sind.
Manuel Höferlin, FDP-Bundestagsabgeordneter
Denn nur so lässt sich ein IT-Lockdown vermeiden. Unternehmen und Behörden, die Angriffsspuren gefunden haben, müssen diese dokumentieren und unabhängigen Sicherheitsexperten zur Verfügung stellen. Denn nur daraus können die wichtigen Abwehrmaßnahmen abgeleitet werden.

Abwehrmaßnahmen und die Wiederherstellung der kompromittierten Systeme müssen Hand in Hand gehen. Nur dann kann ein IT-Lockdown vermieden werden. Und den will in Pandemie-Zeiten wirklich niemand riskieren.
FDP-Bundestagsabgeordneter, Manuel Höferlin.
Update vom 15. Januar 2021: Das Informationstechnikzentrum Bund hat mitgeteilt und auch in der Sitzung des Bundestagsausschusses "Digitale Agenda" am 14. Jnauar 2021 bekräftigt, dass es zwar Solarwinds-Produkte einsetze, aber nicht die Orion-Plattform. Somit sei der IT-Dienstleister des Bundes auch nicht von dem Hack betroffen.
Sicherheitsexperte Pohl hält eine Überprüfung aller eingesetzter Solarwinds-Produkte weiter für sinnvoll und notwendig: "Das muss jetzt sehr schnell, aber gründlich gemacht werden."

Mehr zum Thema IT-Sicherheit