Folgenschwerster Cyberangriff auf die USA

Folgenschwerster Cyberangriff auf die USA

Washington, 13.2.2021

Die FBI- Mitteilung von Anfang Januar wurde kaum beachtet. Das war so beabsichtigt. Nachdem bekannt wurde, dass Ende Dezember mehrere amerikanische Behörden von Hackern angegriffen wurden, hätten FBI und NSA den Fall untersucht. Ergebnis: Das Ziel des Einbruchs sei das Sammeln von Informationen gewesen.

Das diese Attacke heruntergespielt wurde, lag im Interesse Donald Trump‘s, der noch im Amt war. Die Annahme einiger Sicherheitsexperten, Russland‘s Super- Hacker seien es gewesen, hielt er für ausgeschlossen. Bis zum letzten Amtstag ordnete der abgewählte US-Präsident keinerlei Gegenmaßahmen an. Cybersicherheit war für ihn offensichtlich nie ein Thema. Das wurde deutlich, als er vor drei Jahren den Posten eines Beraters für Cybersicherheit aufhob.

Zwei andere Politiker, der demokratische Vorsitzende des Geheimdienstausschusses ,Senator Mark Warner , sowie Marco Rubio, der ranghöchste Republikaner in diesem Gremium, hatten jedoch erkannt, dass dieser Angriff eine neue Qualität besitzt. In einem Brief an die Leiter der Nachrichtendienste beschwerten sie sich , wie unkoordiniert die Ermittlungen zu dem Cyberangriff bisher verlaufen seien und wie wenig der Kongress informiert sei.

Nun drang auch durch, dass die Hacker monatelang in Computersystemen von Firmen und mindestens einem Dutzend US – Behörden eingedrungen waren. Unbemerkt konnten sie die E-Mail-Kommunikation im Finanzministerium mitlesen oder im Justizministerium in das System gelangen, über das Anwälte Unterlagen für Gerichtsverhandlungen einreichen. Ausserdem infiltrierten sie auch die Netzwerke des Aussen- und des Verteidigungsministeriums sowie des Nuklearforschungszentrums.

Der neue Präsident Jo Biden richtete gleich nach der Amtseinführung den Posten eines stellvertretenden Sicherheitsberaters für Cyber- und aufkommende Technologien ein. Er wurde jetzt von Anne Neuberger besetzt – einer hohe Beamtin im Stab des Sicherheitsrates.

Sie arbeitete früher beim Nachrichtendienst NSA und leitete dort unter anderem eine Einheit, die während der Kongresswahlen 2018 einen Präventivschlag gegen russische Hackergruppen lancierte, Neubergers Aufgabe ist es , den betroffenen Ministerien bei der Bewältigung der Folgen des letztjährigen Angriffs zu helfen. Außerdem ist sie Kontaktperson zwischen den betroffenen privatwirtschaftlichen Firmen und der Regierung. Vor allem aber koordiniert sie die Reaktion der Regierung und versucht, grundsätzliche Lehren aus dem Angriff für die künftige Verteidigungsarbeit zu ziehen.

Nach und nach wird nun die wirklich Bedeutung klar. In einer Anhörung des Repräsentantenhauses brachte der IT- Sicherheitsexperte Dimitri Alperovitch den Fall vor einigen Tagen auf den Punkt: Es handele sich um den folgenschwersten Cyberangriff, den es je gegen die USA gegeben habe.

Anders als ursprünglich gedacht, drangen die Hacker nicht nur über die Software von Solarwinds in die Systeme ihrer Opfer ein, sondern auch über Drittfirmen wie Microsoft und Intel. Etwa 30 Prozent der Opfer hätten keine Verbindung zu Solarwinds, sagte Brandon Wales, der interimistische Leiter der nationalen Cyberschutzbehörde Cisa.

Unklar ist auch, ob die Hacker in den Computersystemen der Regierung «Hintertüren» für künftige Angriffe eingerichtet haben. Microsoft hat zugegeben, dass die Hacker in seine internen Systeme eingedrungen sind und sich Zugang zu geheimen Quellcode-Dateien verschafft haben. Quellcode dient als Grundlage für Software-Produkte und zählt üblicherweise zu den am besten gehüteten Geheimnissen einer Software-Firma. Laut Microsoft hätten die Hacker den Quellcode nicht verändern können, doch der Konzern räumte ein, dass sie über ein geknacktes Mitarbeiterkonto ins Innere seiner Systeme vorgedrungen waren. Um welche Art von Quellcode es geht, teilte der Softwareriese nicht mit. Experten äußerten die Befürchtung, dass die Hacker mit den bei Microsoft gewonnenen Erkenntnissen über Software-Interna nun weitere, noch ausgeklügeltere Angriffe planen könnten.

Die Zeichen stehen auf Sturm

Fest steht, dass die Angreifer für ihre Attacke die Software der US-Firma SolarWinds ausgenutzt haben. In den USA zählen laut Firmenangaben 425 der Fortune-500-Konzerne zu den Nutzern. Auf den Kundenlisten stehen auch die Dax-Konzerne Siemens und Deutsche Telekom. Die Bonner teilten mit: „Nach Analysen in Deutschland gibt es aktuell keine Indikationen, dass wir betroffen sind. Bei vereinzelten Tochtergesellschaften im Ausland dauern die Untersuchungen noch an.“ Siemens erklärte, das Unternehmen habe nach Bekanntwerden des Hacks umgehend die von SolarWinds empfohlenen Schutzmaßnahmen ergriffen.

Nachdem der internationale Sicherheitskonzern Fireeye den Fall untersucht hat, tröpfeln weitere Fakten an die Öffentlichkeit. Danach konnten die Hacker die zentrale Steuersoftware der US-Firma kapern, die unter dem Namen Orion läuft. Den Angreifern sei es gelungen, ein Update des Programms zu manipulieren und sich so Zugang zu den Systemen der Kunden zu verschaffen. „Die Kampagne könnte schon im Frühjahr 2020 begonnen haben und läuft derzeit weiter“, mutmaßen die Experten von Fireeye.

Die Schlüsselrolle beim Eindringen in die Netzwerke spielte das US-Softwareunternehmen Solarwind. Deren Software Orion steht allen relevanten US- Behörden zur Verfügung. Weil immer wieder Updates notwendig werden, hat der Angreifer dies genutzt, indem er quasi als Code in das Update geschlüpft sei und dadurch bei der Zugangskontrolle unerkannt eingelassen wurde. Wenig später begann der Datenklau.

So mancher Experte bekam heiße Ohren, weil die Cybersecurity and Infrastructure Security Agency (CISA) seit einigen Tagen fast stündlich mit neuen Hiobsbotschaften aufhorchen lässt. So wurden neben der NNSA auch die Federal Energy Regulatory Commission (FERC) Opfer des Angriffes. Die FERC ist in den USA für die bundesweite Sicherstellung der Strom-, Öl- und Gasversorgung zuständig. Dazu zählen Umspannwerke, Öl- und Gaslagerstätten, Terminals, Stromnetze, Energieprovider, also alles um die Wirtschaft und das tägliche Leben aufrecht zu erhalten. Der entdeckte exploit, also die »Beute« der Hacker, alleine im Verantwortungsbereich der FERC ist so umfangreich, dass die CISA eingestehen musste, nicht genügend Ressourcen zur Bewältigung zur Verfügung zu haben. Ihr Direktor, Christopher Krebs, wurde zudem erst vor kurzem vom abgewählten US-Präsidenten Trump entlassen.

Sollte irgendein staatlicher Akteur dahinterstecken: Er sei in jedem Fall gewarnt. Denn es scheint, dass die USA sich im Moment im Panikmodus befinden. Sie irren quasi durch ihren Keller auf der Suche nach den verräterischen Spuren der Einbrecher. Und mit jedem Hinweis, den sie entdecken, steigt das Bedürfnis nach Vergeltung. Das Völkerrecht kennt für den Cyberraum noch keine verbindliche Rechtsregime. Völkergewohnheitsrechtliche Maßnahmenpakete (unter anderem dargelegt im Tallinn Manual 2.0) sind nach wie vor umstritten. Es bleibt zu hoffen, dass die Wut der USA nicht in Gewalt umschlägt. Unbeantwortet wird der Angriff in jedem Fall nicht bleiben. Ob die umfangreichen Netzausfälle beim russischen Telekomanbieter Rostelecom vor wenigen Tagen bereits ein Zeichen für schlimmere Attacken sind – bleibt vorerst Spekulation. Die Zeichen stehen im Moment aber offenbar auf Sturm.