Unbekannte Hacker haben offenbar drei deutsche IT-Unternehmen ausgespäht, die für Bundesministerien und Behörden arbeiten. Das geht aus einem Warnschreiben des Informationstechnikzentrums Bund (ITZ Bund) von Ende April hervor, das dem Bayerischen Rundfunk vorliegt. Darin heißt es, die Angreifer hätten "sehr wahrscheinlich" große Mengen der E-Mail-Kommunikation bei den betroffenen Firmen abgreifen können. In den Mails seien personenbezogene Daten, Telefonnummern und Dienstsitze, aber auch aktuelle Projekte, Mailverläufe und angehängte Dokumente enthalten. Das ITZ Bund ist nach eigenen Angaben IT-Dienstleister für 200 Bundes- und Landesbehörden und arbeitet selbst mit den gehackten Unternehmen zusammen.
Hinweise auf weitere Attacken
In dem Schreiben warnt ein Direktoriumsmitglied des ITZ Bund Mitarbeiter von Behörden, erbeutete E-Mails und Kontakte könnten für hochspezifische Angriffe genutzt werden. Bei solchen Social-Engineering-Attacken nutzen Hacker abgegriffene Informationen, um Vertrauen zu erwecken und so an neue, sensible Informationen zu gelangen oder Netze zu infiltrieren. Das ITZ Bund schreibt: "Es gibt Hinweise, dass diese Attacken möglicherweise bereits begonnen haben." Es gebe ein "hohes Risiko", dass Beschäftigte versehentlich vertrauliche Dokumente weitergeben oder aber ermöglichen, dass Angreifer Daten und Code in die Systeme des ITZ Bund einspeisen. Auf BR-Anfragen will sich das ITZ Bund dazu nicht äußern und verweist an die betroffenen Firmen.
Dienstleister bestätigen Cyberangriffe
Laut dem Warnschreiben wurde der erste Angriff – auf das Dortmunder IT-Unternehmen Adesso – im Januar 2023 bekannt. Zu dessen Kunden zählen nach eigenen Angaben etwa das Bundesinnenministerium, das Bundesverkehrsministerium und das nordrhein-westfälische Wirtschaftsministerium. Adesso schreibt auf seiner Webseite, externe IT-Sicherheitsexperten hätten herausgefunden, dass die unbekannten Hacker bereits im Mai 2022 Zugriff auf die Unternehmensnetze hatten.
Im März 2023 wurde bekannt, dass auch das ebenfalls in Dortmund ansässige Unternehmen Materna betroffen ist. Es zählt unter anderem den Zoll, das Robert-Koch-Institut und die Autobahn GmbH des Bundes zu seinen Kunden. Materna schreibt auf Anfrage, man habe bisher nicht feststellen können, dass E-Mail-Kommunikation, insbesondere solche mit Bundesbehörden, abgeflossen sei. Dem IT-Unternehmen zufolge ermittelt das nordrhein-westfälische Landeskriminalamt.
Der dritte Angriff, der seit Ende April bekannt ist, betraf das Berliner Unternehmen Init. Zu seinen Kunden gehören unter anderem die Bundesministerien des Innern und der Wirtschaft. Den Cyberangriff hat Init auf BR-Anfrage bestätigt. Man habe betroffene Kunden informiert, die Aufklärung laufe noch. Das LKA Berlin ermittele.
Bundesinnenministerium: Derzeit keine Gefahr
Vom Bundesinnenministerium heißt es auf BR-Anfrage, eine unmittelbare Bedrohung für die IT-Sicherheit der Bundesverwaltung bestehe derzeit nicht. So beurteilt es auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Bundesfinanzministerium, dem das ITZ Bund untersteht, schreibt, die Nachforschungen dauerten an. Und: "Schon unmittelbar nach dem Bekanntwerden der Cyberangriffe im Januar wurden in Absprache mit dem ITZ Bund verschiedene Sicherheitsmaßnahmen initiiert, um eine Verbreitung von eventuellem Schadcode einzudämmen."
Experte: Warnung ernst nehmen
Andreas Rohr ist IT-Sicherheitsexperte und Geschäftsführer der Deutschen Cyber-Sicherheitsorganisation (DCSO). Er rät, die vom ITZ Bund versandte Warnung ernst zu nehmen. Herauszufinden, wer hinter einem Angriff steckt, sei sehr schwierig. Alle staatlich gelenkten Hackergruppen hätten inzwischen gelernt, falsche Fährten zu legen. "Wenn man sich anschaut, dass das ITZ Bund oder Behörden das Ziel sind, würde man tatsächlich mit hoher Wahrscheinlichkeit einen nachrichtendienstlichen Hintergrund unterstellen." Aus Sicherheitskreisen heißt es, noch sei nicht klar, wer die Angreifer seien. Eine mit dem Vorgang vertraute Person geht davon aus, dass die drei Attacken in Zusammenhang stehen. Art und Ausführung deuteten auf einen staatlich gelenkten Hintergrund.
IT-Notfall nach DDOS-Attacke
Dass auch die Strukturen des ITZ Bund selbst im Visier von Angreifern sind, belegt ein weiterer Vorfall vom 16. Februar 2023, der intern als "Major Incident", also als IT-Notfall bezeichnet wird. Ein entsprechendes Papier liegt BR Recherche und BR Data vor. Demnach sind "verschiedene Kunden" des ITZ Bund Ziel einer DDOS-Attacke geworden, unter anderem der Bundesnachrichtendienst, mehrere Bundesministerien, das Bundeszentralamt für Steuern sowie das Bundesamt für Sicherheit in der Informationstechnik. Mit solchen Attacken versuchen Angreifer, mit einer hohen Zahl von Server-Anfragen Netze zu überlasten, um temporäre Störungen auszulösen. Laut dem Schreiben sollen die massenhaften Anfragen aus einem Nicht-EU-Land stammen. Das ITZ Bund äußert sich auf BR-Anfrage nicht dazu und verweist auf laufende Ermittlungen.
Netzpolitiker kritisieren IT-Sicherheit des Bundes
Konstantin von Notz (Grüne), Vorsitzender des Parlamentarischen Kontrollgremiums, das die Nachrichtendienste beaufsichtigt, zeigt sich von den Cyber-Attacken auf die drei IT-Dienstleister alarmiert. Man habe es mit qualitativ hochwertigen Angriffen zu tun. Hacker könnten in diesem Bereich sicherheitsrelevante Informationen abgreifen. Behörden in Deutschland seien beim Schutz kritischer Infrastruktur nicht gut aufgestellt. Anke Domscheit-Berg, netzpolitische Sprecherin der Linken im Bundestag, fordert die Bundesregierung auf, solche Attacken ernster zu nehmen. "Pauschal das Signal zu senden, es ist nichts passiert, ist in der aktuellen Zeit, wo wir so viele Risiken haben, keine gute Idee."
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!