![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Auch deutsche Ministerien und Beh\u00f6rden setzen die SolarWinds Orion-Software ein. Insgesamt scheinen 16 dieser Organisationen unter den Kunden der SolarWinds Orion-Software zu sein, wie eine Anfrage an die Bundesregierung ergeben hat. Diese Institutionen sind auch potentielle Opfer der SOLARBURST-Backdoor. Speziell, wenn es sich um Einrichtungen der Bundeswehr oder die zentrale IT des Bundes handelt.<\/p>\n
<\/p>\n
Da die SolarWindows Orion-Produkte von vielen Kunden eingesetzt werden, ist die Zahl der Opfer enorm (potentiell wird von 18.000 Betroffenen gesprochen). In den USA geht man nach bisherigen Analysen von ungef\u00e4hr 200 US-Beh\u00f6rden und -Firmen (von Intel \u00fcber Cisco bis hin zu Microsoft) aus, die wohl gezielt Opfer dieser Hacker-Aktion geworden seien (siehe SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?<\/a>).<\/p>\n Es ist klar, dass die SolarWinds Orion-Software auch in vielen deutschen Unternehmen eingesetzt wird. Die spannende Frage war daher, ob und wie viele deutsche Beh\u00f6rden oder Unternehmen betroffen sind. Im Artikel Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a> hatte ich nicht nur eine Liste der US-Opfer des SOLARBURST-Angriffs, sondern auch eine Liste der SolarWinds Kunden, ver\u00f6ffentlicht. Dort waren auch deutsche Namen wie die Siemens, Sparkasse Hagen, oder Gilette Deutschland GmbH aufgef\u00fchrt.<\/p>\n Im Blog-Beitrag SolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a> hatte ich auf eine Analyse eines Threat Research Manager bei Sophos verwiesen, der m\u00f6gliche Opfer-Domains auflistet. Dort waren mir zwei deutsche Firmennamen aufgefallen. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) meinte im Dezember 2020: \u00bbDie Zahl der Betroffenen ist nach derzeitigem Kenntnisstand gering\u00ab. Aber was hei\u00dft gering?<\/p>\n Manuel H\u00f6ferling, Bundestagsabgeordneter der FDP-Fraktion, hat eine Anfrage an die Bundesregierung gestellt und wollte genauer wissen, welche Beh\u00f6rden und Ministerium die SolarWinds Orion-Software verwenden. Die Antwort ist wohl eingegangen, wie Spiegel Online hier<\/a> schreibt. In einer Liste sind 16 Ministerien und Bundesbeh\u00f6rden aufgef\u00fchrt, die \"zeitweise oder vereinzelt\" auf die Orion-Software setzen. Hier einige Namen, ohne Anspruch auf Vollst\u00e4ndigkeit:<\/p>\n Es bedeutet nicht, dass diese Institutionen auch aktiv \u00fcber die SOLARBURST-Schwachstelle angegriffen wurden. Aber es k\u00f6nnte sich durchaus irgendwann herausstellen, dass eine der Stellen auch 'Opfer' und im Visier der Hacker war.<\/p>\n Generell wird die Aufkl\u00e4rung ein schwieriges Pflaster, da die Angreifer die Backdoor beseitigt haben, nachdem sie erfolgreich \u00fcber die infizierte DLL in ein System eingedrungen waren und sich eingenistet hatten. Die Analyse der Details l\u00e4sst sich bei FireEye<\/a> nachlesen. Es w\u00fcrde mich nicht wundern, wenn bald weitere Details bekannt werden.<\/p>\n K\u00fcrzlich hatte ich ja \u00fcber einen Cyber-Angriff auf die Reederei Aida Crusies berichtet (<\/em>IT-Ausfall bei AIDA durch Cyberangriff?<\/em><\/a>), <\/em>bei dem sich das Opfer mit Details auff\u00e4llig bedeckt h\u00e4lt. Aktuell hei\u00dft es auf deren Webseite Wir sind derzeit von IT-technischen Einschr\u00e4nkungen betroffen. Daher sind wir f\u00fcr unsere Kunden telefonisch und per E-Mail nicht zu erreichen. Dies gilt auch f\u00fcr den Login auf MyAIDA.<\/em> Dass ein einfacher Server abgeraucht oder ein verungl\u00fccktes Update die Ursache ist, kann inzwischen ausgeschlossen werden – zumal die Staatsanwaltschaft eingeschaltet wurde. Wenn es kein Ransomware-Angriff war (mir ist da noch nichts bekannt geworden), k\u00f6nnte man ja auch an einen Hack a la SUNBURST denken, bei dem das IT-Netzwerk mit der Active Directory-Struktur des Unternehmens kompromittiert wurde. Das w\u00fcrde erkl\u00e4ren, warum die IT auch nach \u00fcber einer Woche nicht einsatzf\u00e4hig ist.<\/p><\/blockquote>\n Erg\u00e4nzung:<\/strong> Heise hat hier<\/a> \u00fcber das Thema berichtet. Der Redaktion liegt die Antwort auf die Anfrage an die Bundesregierung vor – das Dokument ist im heise-Artikel verlinkt.<\/p>\n \u00c4hnliche Artikel:<\/strong> Auch deutsche Ministerien und Beh\u00f6rden setzen die SolarWinds Orion-Software ein. Insgesamt scheinen 16 dieser Organisationen unter den Kunden der SolarWinds Orion-Software zu sein, wie eine Anfrage an die Bundesregierung ergeben hat. Diese Institutionen sind auch potentielle Opfer der SOLARBURST-Backdoor. Speziell, … Weiterlesen Bisher war klar, dass der SolarWinds-Hack vor allem die USA und deren Administration ins Mark getroffen hat. Mutma\u00dflich staatlichen Angreifern war es gelungen, eine DLL in der Orion-Software von SolarWinds mit einer SOLARBURST genannten Backdoor zu infizieren. Das Ganze wurde dann als digital signiertes Update an alle Nutzer der SolarWinds Orion-Software verteilt. Die Hacker konnten \u00fcber viele Monate unbemerkt auf die Systeme der Opfer zugreifen und sich dort festsetzen. Inzwischen gibt es eine gemeinsame Erkl\u00e4rung<\/a> von FBI, CISA, ODNI und NSA (siehe auch<\/a>), die Russland f\u00fcr den Angriff verantwortlich machen.<\/p>\n
Deutschland auch betroffen?<\/h2>\n
\n
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>
\nSUNBURST-Hack: Microsofts Analysen und Neues<\/a>
\nSolarWinds-Systeme mit 2. Backdoor gefunden<\/a>
\nSolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode<\/a>
\nSolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"