Cyberangriffe IT-Dienstleister des Bundes im Visier
Hacker haben IT-Unternehmen angegriffen, die für Bundesbehörden arbeiten. Nach BR-Informationen war es möglich, große Mengen E-Mail-Kommunikation mit personenbezogenen Daten abzugreifen.
Unbekannte Hacker haben offenbar drei deutsche IT-Unternehmen ausgespäht, die für Bundesministerien und Behörden arbeiten. Das geht aus einem Warnschreiben des Informationstechnikzentrums Bund (ITZBund) von Ende April hervor, das dem Bayerischen Rundfunk vorliegt.
Darin heißt es, die Angreifer hätten "sehr wahrscheinlich" große Mengen der E-Mail-Kommunikation bei den betroffenen Firmen abgreifen können. In den Mails seien personenbezogene Daten, Telefonnummern und Dienstsitze, aber auch aktuelle Projekte, Mailverläufe und angehängte Dokumente enthalten. Das ITZBund ist nach eigenen Angaben IT-Dienstleister für 200 Bundes- und Landesbehörden und arbeitet selbst mit den gehackten Unternehmen zusammen.
Erbeutete Daten werden womöglich bereits weiter genutzt
In dem Schreiben warnt ein Direktoriumsmitglied des ITZBund Mitarbeiter von Behörden, erbeutete E-Mails und Kontakte könnten für hochspezialisierte Angriffe genutzt werden. Bei solchen Social-Engineering-Attacken nutzen Hacker abgegriffene Informationen, um Vertrauen zu erwecken und so an neue, sensible Informationen zu gelangen oder Netze zu infiltrieren.
Das ITZBund schreibt: "Es gibt Hinweise, dass diese Attacken möglicherweise bereits begonnen haben." Es gebe ein "hohes Risiko", dass Beschäftigte versehentlich vertrauliche Dokumente weitergeben oder aber ermöglichen, dass Angreifer Daten und Code in die Systeme des ITZBund einspeisen. Auf BR-Anfragen will sich das ITZBund dazu nicht äußern und verweist an die betroffenen Firmen.
Unternehmen bestätigen Angriffe
Laut dem Warnschreiben wurde der erste Angriff - auf das Dortmunder IT-Unternehmen Adesso - im Januar 2023 bekannt. Zu dessen Kunden zählen nach eigenen Angaben etwa das Bundesinnenministerium, das Bundesverkehrsministerium und das nordrhein-westfälische Wirtschaftsministerium. Adesso schreibt auf seiner Webseite, externe IT-Sicherheitsexperten hätten herausgefunden, dass die unbekannten Hacker bereits im Mai 2022 Zugriff auf die Unternehmensnetze hatten.
Im März 2023 wurde bekannt, dass auch das ebenfalls in Dortmund ansässige Unternehmen Materna betroffen ist. Es zählt unter anderem den Zoll, das Robert-Koch-Institut und die Autobahn GmbH des Bundes zu seinen Kunden. Materna schreibt auf Anfrage, man habe bisher nicht feststellen können, dass E-Mail-Kommunikation, insbesondere solche mit Bundesbehörden, abgeflossen sei. Dem IT-Unternehmen zufolge ermittelt das nordrhein-westfälische Landeskriminalamt.
Der dritte Angriff, der seit Ende April bekannt ist, betraf das Berliner Unternehmen Init. Zu seinen Kunden gehören unter anderem die Bundesministerien des Innern und der Wirtschaft. Den Cyberangriff bestätigte Init auf BR-Anfrage. Man habe betroffene Kunden informiert, die Aufklärung laufe noch. Das LKA Berlin ermittele.
Ministerien beschwichtigen, Experte warnt
Vom Bundesinnenministerium heißt es auf BR-Anfrage, eine unmittelbare Bedrohung für die IT-Sicherheit der Bundesverwaltung bestehe derzeit nicht. So beurteilt es auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Das Bundesfinanzministerium, dem das ITZBund untersteht, schreibt, die Nachforschungen dauerten an. Und: "Schon unmittelbar nach dem Bekanntwerden der Cyberangriffe im Januar wurden in Absprache mit dem ITZBund verschiedene Sicherheitsmaßnahmen initiiert, um eine Verbreitung von eventuellem Schadcode einzudämmen."
Andreas Rohr ist IT-Sicherheitsexperte und Geschäftsführer der Deutschen Cyber-Sicherheitsorganisation (DCSO). Er rät, die vom ITZBund versandte Warnung ernst zu nehmen. Herauszufinden, wer hinter einem Angriff steckt, sei sehr schwierig. Alle staatlich gelenkten Hackergruppen hätten inzwischen gelernt, falsche Fährten zu legen. "Wenn man sich anschaut, dass das ITZBund oder Behörden das Ziel sind, würde man tatsächlich mit hoher Wahrscheinlichkeit einen nachrichtendienstlichen Hintergrund unterstellen."
Aus Sicherheitskreisen heißt es, noch sei nicht klar, wer die Angreifer seien. Eine mit dem Vorgang vertraute Person geht davon aus, dass die drei Attacken in Zusammenhang stehen. Art und Ausführung deuteten auf einen staatlich gelenkten Hintergrund.
DDOS-Attacke auf Strukturen des ITZBund
Dass auch die Strukturen des ITZBund selbst im Visier von Angreifern sind, belegt ein weiterer Vorfall vom 16. Februar 2023, der intern als "Major Incident", also als IT-Notfall bezeichnet wird. Ein entsprechendes Papier liegt BR Recherche und BR Data vor. Demnach wurden "verschiedene Kunden" des ITZBund Ziel einer DDOS-Attacke, unter anderem der Bundesnachrichtendienst, mehrere Bundesministerien, das Bundeszentralamt für Steuern sowie das Bundesamt für Sicherheit in der Informationstechnik.
Bei solchen Attacken versuchen Angreifer, mit einer hohen Zahl von Server-Anfragen Netze zu überlasten, um temporäre Störungen auszulösen. Laut dem Schreiben sollen die massenhaften Anfragen aus einem Nicht-EU-Land stammen. Das ITZBund äußert sich auf BR-Anfrage nicht dazu und verweist auf laufende Ermittlungen.
Abgeordnete beklagen mangelhafte IT-Sicherheitspolitik
Konstantin von Notz (Grüne), Vorsitzender des Parlamentarischen Kontrollgremiums, das die Nachrichtendienste beaufsichtigt, zeigt sich von den Cyber-Attacken auf die drei IT-Dienstleister alarmiert. Man habe es mit qualitativ hochwertigen Angriffen zu tun. Hacker könnten in diesem Bereich sicherheitsrelevante Informationen abgreifen. Behörden in Deutschland seien beim Schutz kritischer Infrastruktur nicht gut aufgestellt.
Anke Domscheit-Berg, netzpolitische Sprecherin der Linkspartei im Bundestag, fordert die Bundesregierung auf, solche Attacken ernster zu nehmen. "Pauschal das Signal zu senden, es ist nichts passiert, ist in der aktuellen Zeit, wo wir so viele Risiken haben, keine gute Idee."