Etliche Behörden und Unternehmen in den USA sind von einer Cyberattacke auf die Software des US-Unternehmens Solarwinds betroffen. Experten sprechen von einem historischen Hack. Auch deutsche Behörden nutzen die Programme. Aktuell ist die Dimension des Cyberangriffs noch nicht absehbar. Unser Netzreporter mit einem Überblick.

Mit seiner Netzwerksoftware gehört das Tech-Unternehmen Solarwinds aus den USA zu den großen Playern unter den IT-Dienstleistern. Weltweit hat es Kunden mit seinem Programm versorgt, mit dem Behörden und größere Unternehmen ihre oft komplexe Netzwerk-Infrastruktur verwalten, kontrollieren und steuern können. In den USA nutzen die Nuklearbehörde, das Department of Homeland Security oder auch die Cybersecuritybehörde CISA die Software.

18.000 Kunden haben infizierte Updates installiert

Im Dezember letztens Jahres wurde dann öffentlich, dass Hacker eine Hintertür in die Software "Orion" des IT-Dienstleisters einbauen konnten, die ihnen den Zugriff auf die Netzwerke der Kunden von Solarwinds ermöglicht.

Rund 18.000 Kunden soll das betreffen. Sie haben sich die Schadsoftware "Sunburst" über Updates heruntergeladen, installiert – und damit ihre eigenen Systeme infiziert, ohne es zu wissen. Wie die Hacker die Software-Updates manipulieren konnten, ist noch unklar, erklärt Deutschlandfunk-Nova-Netzreporter Michael Gessat. Auch steht noch nicht fest, wie groß das Ausmaß der Cyberattacke ist.

"Die Kunden, die sich die verseuchten Updates dieser Solarwinds-Software runtergeladen und eingespielt haben, hatten keine Chance, das Einnisten der Schadsoftware zu erkennen oder zu verhindern, weil die Solarwinds-Software legitim und ordnungsgemäß signiert war."
Michael Gessat, Deutschlandfunk Nova

Solarwinds-Software in deutschen Bundesbehörden

Zu den Kunden des IT-Dienstleisters gehören auch deutsche Behörden. Auf die Anfrage des FDP-Bundestagsabgeordneten Manuel Höferlin hat die Bundesregierung geantwortet, dass 16 Ministerien und Ämter auf der Ebene der Bundesverwaltung vereinzelt Produkte des US-Softwareunternehmens nutzen würden oder das in der Vergangenheit getan hätten.

Neben dem Bundeskriminalamt (BKA) stehen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Informationstechnikzentrum Bund oder auch das Robert Koch-Institut auf der Liste. Probleme mit der Schadsoftware "Sunburst" seien bislang aber keine bekannt, so steht es in der Antwort vom 4. Januar 2021 auf die Anfrage.

Inzwischen kam heraus: Neben "Sunburst" sollen die Hacker offenbar weitere Schadsoftware in die Updates von Solarwinds "Orion" eingebaut haben. Auch spricht die US-Sicherheitsbehrörde CISA von Hinweisen, dass die gleichen Hacker Systeme bei Behörden und Firmen zusätzlich über andere Angriffsweg infiziert haben.

"Der Fall ist noch längst nicht abgeschlossen, und daher lässt sich auch das Ausmaß des Problems noch nicht seriös beziffern."
Michael Gessat, Deutschlandfunk Nova

Unser Netzreporter Michael Gessat schätzt den Cyberangriff auf Solarwinds als Spionageaktion ein. Denn: Die Hintertüren, welche die Hacker in die Updates eingebaut haben, sollen wohl nur bei ein paar Hundert Firmen und Behörden aktiviert worden sein. Das zeige, wie strategisch die Hacker gearbeitet haben, mit dem Ziel, unentdeckt zu bleiben.

"Eine Netzwerk-Software oder Softwarestruktur, die praktisch von allen benutzt wird, die ist ein extrem lohnendes Angriffsziel."
Michael Gessat, Deutschlandfunk Nova