Hand einer Person, die auf Laptop schreibt. 2 min
Kurz vor der Europawahl haben Hacker die Systeme der CDU angegriffen und Daten zu sich kopiert. Die Software wird auch in Mitteldeutschland genutzt. Mehr dazu im Audio. Bildrechte: imago/Panthermedia
2 min

Hacker haben die CDU angriffen und Daten kopiert. Sie haben die Schwachstelle einer Software ausgenutzt, die auch in Mitteldeutschland genutzt wird.

MDR SACHSEN-ANHALT Di 11.06.2024 16:10Uhr 02:13 min

https://www.mdr.de/nachrichten/sachsen-anhalt/audio-hackerangriff-cdu100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio

Cybersicherheit Hackerangriff auf CDU: Auch Systeme in Mitteldeutschland betroffen

11. Juni 2024, 18:54 Uhr

Bei dem Hackerangriff auf die CDU haben die Täter die Schwachstelle eines Sicherheitsproduktes der Firma "Check Point" ausgenutzt. Nach MDR-Recherchen wird diese Software auch in Sachsen-Anhalt, Sachsen und Thüringen eingesetzt. Während das Leibniz-Institut in Gatersleben schnell reagiert hat, gibt es immer noch fünf verwundbare Systeme in Mitteldeutschland.

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Der Aufschrei war groß: Kurz vor der Europawahl haben Hacker die Systeme der CDU angegriffen und Daten zu sich kopiert. CDU-Parteichef Friedrich Merz sprach gar von dem schwersten IT-Angriff jemals auf eine deutsche Partei. Der Verfassungsschutz ermittelt und alles deutet auf eine professionelle Attacke und auf einen schwerwiegenden Angriff hin, heißt es. Derzeit wird davon ausgegangen, dass sich die Täter wohl 14 Tage lang in den Netzen der CDU bewegen konnten.

Die Hacker hatten eine Schwachstelle in einer Software ausgenutzt, die eigentlich für Sicherheit sorgen soll. Unter anderem war ein Produkt der Firma "Check Point" betroffen, das dafür sorgt, dass sich Mitarbeitende sicher mit dem Netzwerk ihres Arbeitgebers verbinden können. Es wird als "Next Generation Firewall" verkauft. "Check Point" hatte am 27. Mai vor der Schwachstelle gewarnt und Abhilfe – einen so genannten Patch – zur Verfügung gestellt.

Dutzende Zugänge in Mitteldeutschland nutzen betroffene Software

Recherchen von MDR SACHSEN-ANHALT zeigen: Software von "Check Point" wird bei mehreren Institutionen in Sachsen, Sachsen-Anhalt und Thüringen eingesetzt – fast 100 Zugänge ließen sich finden.

Ende vergangener Woche waren noch fünf Zugänge aktiv ausnutzbar. In Sachsen-Anhalt war vor allem die Uni Halle mit ihrem Standort in Wittenberg betroffen. Die Uni bestreitet allerdings, dass sie "Check Point"-Produkte nutzt. Außerdem betroffen war das Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK) in Gatersleben und die Berufsakademie Sachsen. Nach MDR-Informationen hatten die Uni Halle, das IPK und die Berufsakademie Sachsen in der vergangenen Woche ihre Zugänge bereits abgesichert.

IPK Gatersleben hat schnell reagiert

Auf MDR-Anfrage äußert sich nur das IPK Gatersleben: "Die Schwachstellen wurden sehr zeitnah geschlossen und alle vom Hersteller empfohlenen Maßnahmen durchgeführt." Ein Abfluss von Daten sei nicht festgestellt worden. Ob und welche weiteren Sicherheitsvorkehrungen nun getroffen wurden – falls zum Beispiel Zugangsdaten abgeflossen sind – darauf antwortet das IPK mit Verweis auf Sicherheitsinteressen nicht.

Marian Kogler, IT-Sicherheitsexperte aus Halle, sagt mit Blick auf die Systeme, die mittlerweile geschützt sind: "Es ist davon auszugehen, dass es bereits erfolgreiche Angriffe gab." Kogler ist Geschäftsführer der Firma syret in Halle, einem IT-Sicherheitsunternehmen. Er stellt auch fest, dass – anders als am IPK Gatersleben – die Schwachstelle mancherorts noch immer ausgenutzt werden kann.

Penetrationstester Marian Kogler steht en einem Computer. Er vershclüsselt Dateien.
Der IT-Sicherheitsexperte Marian Kogler aus Halle geht davon aus, dass es bereits erfolgreiche Angriffe gab. Bildrechte: MDR/Maximilian Fürstenberg

Experte: Immer noch 85 verwundbare Systeme in Deutschland

Kogler sagt: "Ich konnte mit wenig Aufwand insgesamt 85 verwundbare Systeme in Deutschland, 65 in Österreich und 19 in der Schweiz finden." In Mitteldeutschland hält Kogler insgesamt fünf IT-Systeme aktuell für verwundbar: drei in Sachsen, eines in Sachsen-Anhalt und eines in Thüringen. "Es ist davon auszugehen, dass jedes System, das noch verwundbar ist, bereits angegriffen wurde und weiter angegriffen wird. Von verschiedenen Akteuren mit verschiedenen Zielen", sagt Kogler.

Gefunden hat Kogler die betroffenen Geräte und Firmen mit einer Internetsuchmaschine, die darauf spezialisiert ist, alle mit dem Internet verbunden Geräte zu finden. Das könne jeder Interessierte und natürlich auch jeder Angreifer. "Die Schwachstelle ist einfach auszunutzen. Es gibt Skripte zum Download, die die Schwachstelle automatisiert ausnutzen können", sagt Marian Kogler. Dafür brauche es keine Benutzernamen oder Passwörter.

Es ist nicht der ersten IT-Vorfall bei Forschungseinrichtungen in Mitteldeutschland. Aber er scheint bislang weniger schwerwiegend: Im Sommer 2022 waren Hacker in das IT-System des Fraunhofer-Instituts in Halle eingedrungen und hatten Daten kopiert. 2023 war die Hochschule Harz betroffen. Und so genannte DDoS-Attacken, bei denen massenhaft Anfragen an eine Webseite gestellt werden, hatte 2023 und im Mai 2024 die Webseiten von Sachsen-Anhalts Landesregierung lahmgelegt.

Kogler: Es vergeht zu viel Zeit bis zur Warnung

IT-Sicherheitsexperte Kogler bemängelt, dass es zu lange gedauert hat, bis die Schwachstelle entdeckt wurde: "Sie wurde schon etwa zwei Monate lang ausgenutzt, bis 'Check Point' merkte, dass sie bestand. Nachdem das aufgefallen ist, hat 'Check Point' allerdings sehr schnell ein Update veröffentlicht." Insgesamt habe es zu lange gedauert, bis eine Warnung vor der Schwachstelle oder das Update bei jedem Nutzer ankam, sagt Kogler.

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet "Check Point", dass seit dem 7. April versucht wurde, die Schwachstelle auszunutzen. Dass eine Warnung zu spät kommt, kann besonders gefährlich werden, wenn es Behörden oder Verwaltungen betrifft. "Die lange Zeit, die vergeht, bis offizielle Stellen warnen, ist ein Problem. 'Check Point' hat am 27. Mai gewarnt und eine Lösung bereitgestellt. Aber die erste Warnung vom BSI kam am 3. Juni", sagt Marian Kogler. Eine ganze Woche später. Und einen Tag nachdem zum ersten Mal über den Angriff auf die CDU berichtet wurde.

Mehr zu Cyberangriffen

MDR (Marcel Roth)

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 11. Juni 2024 | 17:00 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/639a5dcf-6690-4714-b761-a15dce3bdd7a was not found on this server.

Mehr aus Panorama

Nachrichten

Fotocollage mit Video
Bildrechte: picture alliance/dpa | Bernd von Jutrczenka, picture alliance/dpa | /Frank Rumpenhorst, MDR/Philipp Brendel , IMAGO/Newscom / GDA, IMAGO/Middle East Images, IMAGO / photothek, picture alliance/dpa | Frank Hammerschmidt, IMAGO/Middle East Images

Mehr aus Deutschland