Nachrichten & Themen
Mediathek & TV
Audio & Radio
SachsenSachsen-AnhaltThüringenDeutschlandWeltLeben

CybersicherheitHackerangriff auf CDU: Auch Systeme in Mitteldeutschland betroffen

11. Juni 2024, 18:54 Uhr

Bei dem Hackerangriff auf die CDU haben die Täter die Schwachstelle eines Sicherheitsproduktes der Firma "Check Point" ausgenutzt. Nach MDR-Recherchen wird diese Software auch in Sachsen-Anhalt, Sachsen und Thüringen eingesetzt. Während das Leibniz-Institut in Gatersleben schnell reagiert hat, gibt es immer noch fünf verwundbare Systeme in Mitteldeutschland.

Der Aufschrei war groß: Kurz vor der Europawahl haben Hacker die Systeme der CDU angegriffen und Daten zu sich kopiert. CDU-Parteichef Friedrich Merz sprach gar von dem schwersten IT-Angriff jemals auf eine deutsche Partei. Der Verfassungsschutz ermittelt und alles deutet auf eine professionelle Attacke und auf einen schwerwiegenden Angriff hin, heißt es. Derzeit wird davon ausgegangen, dass sich die Täter wohl 14 Tage lang in den Netzen der CDU bewegen konnten.

Die Hacker hatten eine Schwachstelle in einer Software ausgenutzt, die eigentlich für Sicherheit sorgen soll. Unter anderem war ein Produkt der Firma "Check Point" betroffen, das dafür sorgt, dass sich Mitarbeitende sicher mit dem Netzwerk ihres Arbeitgebers verbinden können. Es wird als "Next Generation Firewall" verkauft. "Check Point" hatte am 27. Mai vor der Schwachstelle gewarnt und Abhilfe – einen so genannten Patch – zur Verfügung gestellt.

Dutzende Zugänge in Mitteldeutschland nutzen betroffene Software

Recherchen von MDR SACHSEN-ANHALT zeigen: Software von "Check Point" wird bei mehreren Institutionen in Sachsen, Sachsen-Anhalt und Thüringen eingesetzt – fast 100 Zugänge ließen sich finden.

Ende vergangener Woche waren noch fünf Zugänge aktiv ausnutzbar. In Sachsen-Anhalt war vor allem die Uni Halle mit ihrem Standort in Wittenberg betroffen. Die Uni bestreitet allerdings, dass sie "Check Point"-Produkte nutzt. Außerdem betroffen war das Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK) in Gatersleben und die Berufsakademie Sachsen. Nach MDR-Informationen hatten die Uni Halle, das IPK und die Berufsakademie Sachsen in der vergangenen Woche ihre Zugänge bereits abgesichert.

IPK Gatersleben hat schnell reagiert

Auf MDR-Anfrage äußert sich nur das IPK Gatersleben: "Die Schwachstellen wurden sehr zeitnah geschlossen und alle vom Hersteller empfohlenen Maßnahmen durchgeführt." Ein Abfluss von Daten sei nicht festgestellt worden. Ob und welche weiteren Sicherheitsvorkehrungen nun getroffen wurden – falls zum Beispiel Zugangsdaten abgeflossen sind – darauf antwortet das IPK mit Verweis auf Sicherheitsinteressen nicht.

Marian Kogler, IT-Sicherheitsexperte aus Halle, sagt mit Blick auf die Systeme, die mittlerweile geschützt sind: "Es ist davon auszugehen, dass es bereits erfolgreiche Angriffe gab." Kogler ist Geschäftsführer der Firma syret in Halle, einem IT-Sicherheitsunternehmen. Er stellt auch fest, dass – anders als am IPK Gatersleben – die Schwachstelle mancherorts noch immer ausgenutzt werden kann.

Der IT-Sicherheitsexperte Marian Kogler aus Halle geht davon aus, dass es bereits erfolgreiche Angriffe gab. Bildrechte: MDR/Maximilian Fürstenberg

Experte: Immer noch 85 verwundbare Systeme in Deutschland

Kogler sagt: "Ich konnte mit wenig Aufwand insgesamt 85 verwundbare Systeme in Deutschland, 65 in Österreich und 19 in der Schweiz finden." In Mitteldeutschland hält Kogler insgesamt fünf IT-Systeme aktuell für verwundbar: drei in Sachsen, eines in Sachsen-Anhalt und eines in Thüringen. "Es ist davon auszugehen, dass jedes System, das noch verwundbar ist, bereits angegriffen wurde und weiter angegriffen wird. Von verschiedenen Akteuren mit verschiedenen Zielen", sagt Kogler.

Gefunden hat Kogler die betroffenen Geräte und Firmen mit einer Internetsuchmaschine, die darauf spezialisiert ist, alle mit dem Internet verbunden Geräte zu finden. Das könne jeder Interessierte und natürlich auch jeder Angreifer. "Die Schwachstelle ist einfach auszunutzen. Es gibt Skripte zum Download, die die Schwachstelle automatisiert ausnutzen können", sagt Marian Kogler. Dafür brauche es keine Benutzernamen oder Passwörter.

Es ist nicht der ersten IT-Vorfall bei Forschungseinrichtungen in Mitteldeutschland. Aber er scheint bislang weniger schwerwiegend: Im Sommer 2022 waren Hacker in das IT-System des Fraunhofer-Instituts in Halle eingedrungen und hatten Daten kopiert. 2023 war die Hochschule Harz betroffen. Und so genannte DDoS-Attacken, bei denen massenhaft Anfragen an eine Webseite gestellt werden, hatte 2023 und im Mai 2024 die Webseiten von Sachsen-Anhalts Landesregierung lahmgelegt.

Kogler: Es vergeht zu viel Zeit bis zur Warnung

IT-Sicherheitsexperte Kogler bemängelt, dass es zu lange gedauert hat, bis die Schwachstelle entdeckt wurde: "Sie wurde schon etwa zwei Monate lang ausgenutzt, bis 'Check Point' merkte, dass sie bestand. Nachdem das aufgefallen ist, hat 'Check Point' allerdings sehr schnell ein Update veröffentlicht." Insgesamt habe es zu lange gedauert, bis eine Warnung vor der Schwachstelle oder das Update bei jedem Nutzer ankam, sagt Kogler.

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet "Check Point", dass seit dem 7. April versucht wurde, die Schwachstelle auszunutzen. Dass eine Warnung zu spät kommt, kann besonders gefährlich werden, wenn es Behörden oder Verwaltungen betrifft. "Die lange Zeit, die vergeht, bis offizielle Stellen warnen, ist ein Problem. 'Check Point' hat am 27. Mai gewarnt und eine Lösung bereitgestellt. Aber die erste Warnung vom BSI kam am 3. Juni", sagt Marian Kogler. Eine ganze Woche später. Und einen Tag nachdem zum ersten Mal über den Angriff auf die CDU berichtet wurde.

Mehr zu Cyberangriffen

MDR (Marcel Roth)

Dieses Thema im Programm:MDR SACHSEN-ANHALT – Das Radio wie wir | 11. Juni 2024 | 17:00 Uhr

Kommentare

Laden ...
Alles anzeigen
Alles anzeigen