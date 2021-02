Hinter dem schwerwiegenden Hackerangriff auf mehr als 250 amerikanische Unternehmen und Behörden steht offenbar deutlich mehr als die Kompromittierung des IT-Anbieters Solarwinds, die bislang im Fokus stand. Stattdessen nutzten die Hacker auch aus, wie Microsoft seine Cloud-Software konfiguriert, sagte der Chef der amerikanischen Cyberabwehrbehörde Cisa, Brandon Wales, der Zeitung „Wall Street Journal“. Rund 30 Prozent der Opfer hätten gar keine direkte Verbindung zu Solarwinds gehabt – und seien trotzdem angegriffen worden.

Das lässt Befürchtungen wachsen, dass bald auch Unternehmen zu Opfern werden könnten, die sich zur Zeit in Sicherheit wiegen, weil sie keine Solarwinds-Software im Einsatz haben oder hatten. Im Zuge des Angriffs hatten sich Hacker spätestens ab September 2019 Zugriff auf den texanischen IT-Anbieter verschafft und eine Hintertür in die Updates der Netzwerksoftware Solarwinds Orion eingeschleust. Durch automatische Aktualisierungen verbreitete diese sich zu 18.000 Kunden des Unternehmens. Fachleute nennen das einen „Lieferkettenangriff“, weil eben nicht ein einzelnes Unternehmen attackiert wird, sondern über die Software-„Lieferkette“ zahlreiche Unternehmen ins Visier genommen werden.

Betroffen waren außer zahlreichen amerikanischen auch deutsche Behörden. Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), beschwichtigte aber im F.A.Z.-Interview, nur drei deutsche Behörden hätten Solarwinds Orion im Einsatz gehabt. Wenn sich nun nach Solarwinds aber auch Cloud-Software von Microsoft als Sicherheitsrisiko erweisen sollte, läge die Zahl der Betroffenen um ein Vielfaches höher – Microsofts verbreiteter Cloud-Dienst Microsoft 365 hat auf der Welt fast 50 Millionen Nutzer.

Hacker kommen von einem Cloud-Account auf weitere

Die Angreifer hätten sich „auf eine große Vielfalt von Wegen Zugang zu ihren Zielen verschafft“, sagte Cisa-Chef Wales. Er attestierte ihnen Kreativität. Außerdem sei es „absolut korrekt“, den Vorfall nicht allein als Solarwinds-Hack im Kopf zu behalten. Die Cisa – kurz für „Cybersecurity and Infrastructure Security Agency“ – gehört zum amerikanischen Heimatschutzministerium und koordiniert die Untersuchung des Hackerangriffs durch die amerikanische Regierung.

Das Computer-Sicherheitsunternehmen Malwarebytes dokumentierte vor zwei Wochen einen Fall, in dem dieselben Hacker, die auch hinter dem Solarwinds-Hack standen, in mehrere ihrer Microsoft-365-Accounts einbrachen. Dazu hätten sie sich Zugriff auf einen der Accounts verschafft und dann ein Schlupfloch in der Microsoft-Konfiguration genutzt, um auf eine größere Zahl von Accounts zugreifen zu können. Dabei hätten sie wenig bekannte Schwachstellen in den Mechanismen ausgenutzt, mit denen Programme sich in der Cloudsoftware authentifizieren.

Malwarebytes hatte dieselben Hacker im Haus, obwohl das Unternehmen nach eigenen Angaben keinerlei Solarwinds-Software einsetzt. Indes untersucht Solarwinds selbst inzwischen, ob es vielleicht Microsoft-Software war, über welche die Hacker sich ursprünglich Zugang zu den Systemen des Unternehmens verschafft hatten.

Microsoft gehörte im Dezember zu den ersten prominenten Opfern des Angriffs. Das Unternehmen bestätigte, dass die Hacker ins Firmennetzwerk eindringen und dort sogar die streng geschützten Quellcodes der Software des Unternehmens sehen konnten. Das sei aber keine Katastrophe, da sie nicht in der Lage gewesen seien, Code zu verändern oder auf Kundendaten zuzugreifen, teilte Microsoft damals mit. Außerdem hieß es, die interne Untersuchung habe „keine Hinweise darauf gefunden, dass unsere Systeme genutzt wurden, um andere anzugreifen“.

Wer hinter dem schwerwiegenden Hackerangriff steht, ist indes weiter unklar. Von amerikanischer Seite wurden mehrfach russische Geheimdienste als Urheber genannt. Diese Theorie erhielt zuletzt Auftrieb dadurch, dass Sicherheitsfachleute der Unternehmens Kaspersky bei dem Angriff Ähnlichkeiten mit einer früheren Attacke feststellten, die mit der russischen Hackergruppe Turla in Verbindung gebracht wird. Diese soll für den russischen Inlandsgeheimdienst FSB arbeiten – und auch hinter dem Angriff auf das deutsche Regierungsnetz im Jahr 2018 stehen.