Hackerangriff auf SolarWinds
Berlin: (hib/STO) Um einen „Hackerangriff auf SolarWinds“ geht es in der Antwort der Bundesregierung (19/26109) auf eine Kleine Anfrage der AfD-Fraktion (19/25824). Wie die Fraktion darin ausführte, sollen sich Hacker nach einem Medienbericht durch einen Hackerangriff auf die texanische Softwarefirma SolarWinds eine Hintertür in bis zu 18.000 Computernetze weltweit verschafft haben. Die Software dieser Firma werde unter anderem für das Management großer Computernetzwerke genutzt.
Nach Kenntnis der Bundesregierung mit Stand vom 25. Januar dieses Jahres wurde die Sunburst genannte Sicherheitslücke in der betroffenen Software SolarWinds Orion der Antwort zufolge in Deutschland nicht ausgenutzt. Wie die Bundesregierung ferner darlegt, nutzten in Deutschland zwei Bundesbehörden die Software SolarWinds Orion. Bei einer weiteren Behörde nutze ein von der Behörde beauftragter IT-Dienstleister ebenfalls die genannte Software.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe am 14. und 28. Dezember 2020 Warnmeldungen an Behörden und Unternehmen versandt, heißt es in der Antwort weiter. Aufgrund der darin enthaltenen Empfehlungen und Angaben zu der Art und Weise des Angriffs könnten Behörden und Unternehmen ihre für die Gewährleistung der IT-Sicherheit genutzten technischen Systeme anpassen, „so dass eine potentielle Ausnutzung erkannt werden kann“. Zudem habe das BSI das Netzwerkmonitoring des zentralen Kommunikationsnetzes für Stellen des Bundes („Netze des Bundes“) angepasst und erhöht.
Die Behörden des Bundes haben die Installationen von SolarWinds Orion der Antwort zufolge außer Betrieb genommen. Zudem stehe seit dem 15. Dezember 2020 ein Update der Software zur Verfügung, in dem die Sicherheitslücke geschlossen worden sei.
Vor diesem Hintergrund gehe sie „allenfalls noch von einem sehr geringen Risiko aus, dass die Sicherheitslücke der SolarWinds Orion-Software bei Behörden des Bundes ausgenutzt werden könnte“, schreibt die Bundesregierung in der Antwort vom 25. Januar 2021 darüber hinaus. Sie habe keine umfassende Übersicht über die Betroffenheit sonstiger kritischer Infrastrukturen, da eine Meldepflicht von Sicherheitsvorfällen nur für diejenigen kritischen Infrastrukturen besteht, die von der BSI-Kritisverordnung erfasst werden. Da die Verteilung der Sicherheitslücke über ein reguläres Update der SolarWinds Orion-Software erfolgt sei, „könnte jedoch jede kritische Infrastruktur potentiell betroffen sein, die dieses Produkt nutzte“. Wie aus der Antwort des Weiteren hervorgeht, geht die Bundesregierung mit Stand vom 25. Januar „mit hoher Wahrscheinlichkeit davon aus, dass die Sicherheitslücke bei deutschen Behörden des Bundes und den dem BSI bekannten Unternehmen nicht ausgenutzt worden ist“.