Über zwei Wochen ist es nun schon her, dass Microsoft die Außenwelt über gefährliche Sicherheitslücken auf Exchange-Servern informierte. In mindestens drei Fällen sind auch Bundesbehörden betroffen. Doch Informationen darüber, in welcher Form IT-Netze von Behörden möglicherweise kompromittiert wurden, will die Bundesregierung nicht herausgeben. Dies stelle eine Gefahr für das Staatswohl dar – das geht aus einer Antwort des Bundesinnenministeriums zu einer Anfrage des stellvertretenden Vorsitzenden der Grünen-Fraktion im Bundestag, Konstantin von Notz, an die Bundesregierung hervor, die dem Tagesspiegel vorliegt.

Auch das Mailsystem des Paul-Ehrlich-Instituts betroffen

Darin verweigert Bundes-IT-Leiter Markus Richter die Auskunft darüber, welche Behörden im Einzelnen vom Exchange-Hack betroffen seien könnten. „Ergänzend sei darauf hingewiesen, dass ein Bekanntwerden der betroffenen Behörden zum gegenwärtigen Zeitpunkt eine Gefährdung des Staatswohles nicht ausschließen lässt“, schreibt Richter in seiner Antwort.

Der Begriff „Staatswohl“ wird oft im Zusammenhang mit sicherheitspolitischen Implikationen benutzt. Das Bundesverfassungsgericht urteilte 2009 beispielsweise, dass das Staatswohl dann betroffen sei, wenn beispielsweise „existenzielle Sicherheits- und Geheimschutzbelange“ oder allgemein „geheimhaltungsbedürftige Informationen“ berührt wären.

In der Antwort heißt es außerdem, dass derzeit drei Bundesbehörden durch die Sicherheitslücken kompromittiert seien. Bisher kursierten bereits Berichte darüber, dass bis zu acht Bundesbehörden von Angriffsversuchen betroffen waren. Zudem war bereits in verschiedenen Medien, unter anderem im „Spiegel“, berichtet worden, dass die Systeme von mehreren Bundesbehörden tatsächlich auch kompromittiert wurden.

So ist unter anderem bereits bekannt, dass die Mailsysteme des Bundesumweltamtes und des Bundesamtes für Verwaltungsdienstleistungen in Aurich vom Netz genommen werden mussten. Auch beim Paul-Ehrlich-Institut, das unter anderem über die Sicherheit von Impfstoffen wacht, kam es offenbar zu einem Sicherheitsvorfall. Unklar ist jedoch, ob das System der Behörde bei dem Angriffsversuch auch kompromittiert wurde. Fraglich ist zudem, inwiefern Informationen zu diesen drei Bundesbehörden das „Staatswohl“ berühren könnten.

Grünen-Politiker Von Notz kritisiert Seehofer

„Der Verweis auf das Staatswohl lässt ahnen, dass der Angriff noch gravierender sein könnte als bisher bekannt“, sagt von Notz zum Tagesspiegel. Die Bundesregierung müsse Spekulationen durch eine proaktive Informationspolitik entgegenwirken. „Sie bleibt in der Pflicht, öffentlich darüber informieren, welche Erkenntnisse ihr und den Sicherheitsbehörden vorliegen und welche Schritte sie unternimmt, um den zahlreichen betroffenen Unternehmen dabei zu helfen, sich bestmöglich zu schützen.“

Angesichts der offenbar werdenden Dimension des Angriffs kritisiert von Notz „das dröhnende Schweigen der Bundesregierung im Allgemeinen und des Bundesinnenministers im Speziellen“. Minister Horst Seehofer (CSU) scheine gänzlich abgetaucht. „Dass er bis heute keine Sprache zu einem solch gravierenden Vorgang findet, zeigt, wie überfordert er mit dem Großthema IT-Sicherheit ist. Man fragt sich wirklich, was noch passieren muss, damit der Bundesinnenminister erkennt, dass es sich bei der IT-Sicherheit um das zentrale sicherheitspolitische Thema unserer Zeit handelt“, sagt von Notz. (Warum es noch keine europäischen Alternativen zu Microsoft & Co. gibt)

Weiterhin 10.000 ungeschützte Exchange-Server

Laut Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gibt es in Deutschland immer noch mehr als 10.000 Exchange-Server, die bisher keine Sicherheitsupdates erhalten haben. Das geht aus einer am Dienstagabend aktualisierten Sicherheitswarnung hervor. Das BSI bewertet den Vorfall weiterhin mit der höchsten Gefahrenstufe, „rot“. „Das Kursieren genauer Beschreibungen von Angriffswegen und die Veröffentlichung mehrerer voll funktionsfähiger Exploit-Skripte und deren Integration in Exploit-Frameworks macht eine deutliche Zunahme erfolgreicher Ransomware-Angriffe durch weitere kriminelle Gruppen sehr wahrscheinlich“, heißt es dort. Das Bundeskriminalamt hatte im Januar ein ähnliches Netz zerschlagen.

Microsoft hat am 15. März ein aktualisiertes Mitigationsskript veröffentlicht, das einerseits in der Lage ist, Systeme zu aktualisieren und andererseits auch dazu verwendet werden kann, Server nach möglichen Kompromittierungen zu untersuchen. Der US-Konzern sieht sich als Opfer eines orchestrierten Cyberangriffs: Er nennt den Akteur „Hafnium“ und verortet ihn in China.