Check-Point-Lücke: Hacker-Angriff auf CDU gravierender als erwartet
Am Wochenende wurde ein Hacker-Angriff auf die Netzwerke der CDU bekannt. Wie der Spiegel berichtet, war der Angriff gravierend. Die Täter haben sich demnach rund 14 Tage unerkannt in dem Netzwerk bewegt und hatten Zugriff auf kritische Daten.
Offiziell Aussagen zum konkreten Ablauf gibt es nicht. CDU-Vertreter bestätigten am Wochenende allgemein, dass der Angriff stattgefunden hat. Generalsekretär Carsten Linnemann nannte den Angriff elegant, Parteichef Friedrich Merz sprach vom „schwersten Angriff“ auf die Infrastruktur einer Partei in Deutschland.
Sicherheitslücke in VPN-Software von Check Point
Zugriff erhielten die Angreifer laut einem Bericht von Heise Online über die Sicherheitssoftware Check Point Network Security gateways, die VPN-Zugänge ermöglicht. Ende Mai machte Check Point eine als kritisch eingestufte Sicherheitslücke (CVE-2024-24919) publik und teilte mit, dass diese bereits ausgenutzt werde. Durch die Lücke war es für Angreifer möglich, Zugangsdaten für den VPN-Zugriff auszulesen und damit Zugriff auf geschützte Netzwerke zu gelangen.
Wie das BSI in einer Sicherheitswarnung mitteilt, sind nach aktuellem Kenntnisstand derzeit nur Nutzer durch die Schwachstelle gefährdet, bei denen der VPN-Zugang ausschließlich über lokale Benutzernamen-/Passwort-Kombinationen erfolgt. Check Point und das BSI empfehlen jedoch grundsätzliche, zusätzliche Authentisierungsmechanismen wie etwa Zertifikate zu verwenden.
Das war bei der CDU offenbar nicht der Fall, selbst wenn die Partei in der BSI-Mitteilung nicht namentlich genannt wird. Neben dem Update verteilte Check Point auch ein Prüfprogramm an betroffene Kunden. Damit konnten diese testen, ob bereits ein Angriff stattgefunden hat. Auf diese Weise bemerkte die CDU den Angriff.
Das BSI empfiehlt allen Nutzern der Software, ebenfalls die Prüfmaßnahmen durchzuführen. Befürchtet wird, dass die Anzahl der Opfer noch steigt. Die Warnung gilt für folgende Check-Point-Lösungen:
- CloudGuard Network,
- Quantum Maestro,
- Quantum Scalable Chassis,
- Quantum Security Gateways und
- Quantum Spark Appliances
Ermittlungen laufen noch
Große Teile der IT-Infrastruktur hat die CDU nun vom Netz genommen, heißt es beim Spiegel. Noch laufen die Ermittlungen. Beteiligt sind sowohl das Bundesamt für Verfassungsschutz als auch das BSI. Private Dienstleister hat die CDU ebenfalls beauftragt.
Offiziell gibt es noch keine Informationen zur Herkunft der Angreifer. Mit den Ermittlungen vertraute Personen sagten dem Spiegel, man vermute derzeit, es könne sich um eine Gruppierung handeln, die im Auftrag des chinesischen Staates arbeitet.
Es ist nicht der erste Angriff auf deutsche Parteien. Angreifer hatten es Ende 2022 auf die Parteizentrale der SPD abgesehen, betroffen war unter anderem das E-Mail-Konto von SPD-Generalsekretär Kevin Kühnert. Hinter diesem Angriff soll die russische Hacker-Gruppe Fancy Bear stecken. Die Angreifer hatten eine kritische Sicherheitslücke in Microsoft Outlook ausgenutzt.