Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Montagmorgen eine dringende Warnung vor einer neuen Welle gezielter Cyberangriffe herausgegeben, die unter dem internen Codenamen Slither Voll Auf Den Schleim Gegangen firmieren. Laut einer offiziellen Mitteilung der Bonner Behörde zielen diese Angriffe primär auf mittelständische Unternehmen in der kritischen Infrastruktur ab, wobei hochentwickelte Social-Engineering-Techniken zum Einsatz kommen. Die Angreifer nutzen dabei manipulierte E-Mail-Anhänge, die beim Öffnen Schadsoftware direkt in den Arbeitsspeicher laden, um Sicherheitssoftware zu umgehen.
Erste Analysen des European Union Agency for Cybersecurity (ENISA) deuten darauf hin, dass die Kampagne seit mindestens drei Wochen aktiv ist. Experten stellten fest, dass die Erfolgsrate dieser Methode ungewöhnlich hoch liegt, da die Kommunikation täuschend echt wirkt. Die Betroffenen erhalten Nachrichten, die sich auf reale Geschäftsvorgänge beziehen, was die Identifizierung als Betrugsversuch erheblich erschwert.
Der Präsident des BSI, Claudia Plattner, betonte in einer Pressekonferenz, dass die technische Komplexität der eingesetzten Werkzeuge ein hohes Maß an Professionalität widerspiegle. Die Behörde koordiniert derzeit die Abwehrmaßnahmen mit internationalen Partnern, um die Ausbreitung der Infektionen zu stoppen. Bisher wurden über 400 betroffene Systeme allein im deutschsprachigen Raum identifiziert, wobei die Dunkelziffer laut Sicherheitsexperten deutlich höher liegen könnte.
Technische Analyse der Kampagne Slither Voll Auf Den Schleim Gegangen
Die forensische Untersuchung der Schadsoftware zeigt eine modulare Struktur, die es den Hintermännern erlaubt, Funktionen je nach Zielsystem anzupassen. Laut einem technischen Bericht der Telekom Security nutzt die Software eine bisher unbekannte Schwachstelle in gängigen Büroanwendungen aus. Sobald der Code ausgeführt wird, etabliert er eine verschlüsselte Verbindung zu einem Kontrollserver, der oft in osteuropäischen Rechenzentren lokalisiert ist.
Ein besonderes Merkmal dieser Angriffswelle ist die Fähigkeit zur lateralen Bewegung innerhalb eines Firmennetzwerks. Das Programm sucht aktiv nach Zugangsdaten für Administratorenkonten, um die Kontrolle über die gesamte IT-Infrastruktur zu übernehmen. Sicherheitsforscher von CrowdStrike wiesen darauf hin, dass die Schadsoftware Mechanismen zur Selbstreinigung besitzt, die Spuren der Infektion nach dem Diebstahl von Daten systematisch löschen.
Mechanismen der Infektion und Ausbreitung
Innerhalb der infizierten Netzwerke verbreitet sich die Initiative über das Protokoll für Datei- und Druckerdienste. Die Software erkennt laut Analysen von Check Point Software Technologies automatisch, ob sie in einer virtuellen Umgebung oder einer Sandbox ausgeführt wird. In solchen Fällen stellt das Programm alle Aktivitäten ein, um eine Entdeckung durch Sicherheitsanalysten zu verhindern.
Das BSI empfiehlt Unternehmen, ihre Protokolldateien auf ungewöhnliche ausgehende Verbindungen zu prüfen. Besonders verdächtig sind laut Behördenangaben Verbindungen zu IP-Adressen, die keiner bekannten Cloud-Struktur zugeordnet werden können. Viele der infizierten Unternehmen bemerkten den Einbruch erst, als sensible Konstruktionspläne oder Kundendaten bereits auf externe Server hochgeladen worden waren.
Reaktionen der betroffenen Sektoren und Sicherheitsdienstleister
Der Bundesverband der Deutschen Industrie (BDI) äußerte sich besorgt über die Zunahme dieser spezialisierten Angriffe. In einer Stellungnahme erklärte ein Sprecher des Verbands, dass der wirtschaftliche Schaden durch Betriebsunterbrechungen und den Verlust von geistigem Eigentum bereits in die Millionen gehe. Die Unternehmen seien angehalten, ihre Mitarbeiter erneut für die Gefahren durch präzise vorbereitete Phishing-Mails zu sensibilisieren.
Sicherheitsdienstleister berichten von einer Überlastung der Notfallteams seit dem Bekanntwerden der Vorfälle. Ein leitender Analyst bei Kaspersky gab an, dass die Zahl der Anfragen für forensische Untersuchungen innerhalb einer Woche um 45 Prozent gestiegen sei. Die Teams arbeiten rund um die Uhr daran, die kompromittierten Systeme zu isolieren und die Datenintegrität wiederherzustellen.
Kritik an der staatlichen Krisenkommunikation
Einige Branchenexperten kritisieren die Geschwindigkeit, mit der Warnungen an die Privatwirtschaft weitergegeben werden. Manuel Atug von der Arbeitsgruppe Kritische Infrastrukturen erklärte, dass Informationen über die Kampagne Slither Voll Auf Den Schleim Gegangen in Fachkreisen bereits früher zirkulierten, bevor die offizielle Warnung erfolgte. Er fordert eine engere Verzahnung von staatlichen Stellen und privaten Sicherheitsforschern, um schneller auf Bedrohungen reagieren zu können.
Das Bundesinnenministerium wies diese Vorwürfe zurück und verwies auf die notwendige Verifizierung der Daten vor einer Veröffentlichung. Eine Sprecherin des Ministeriums betonte, dass Fehlalarme die Glaubwürdigkeit der Sicherheitsbehörden untergraben und zu unnötiger Panik führen könnten. Die sorgfältige Dokumentation der Vorfälle habe Vorrang vor einer überhasteten Kommunikation.
Internationale Dimension und mögliche Urheber der Angriffe
Die Spurensuche führt laut Erkenntnissen des National Cyber Security Centre (NCSC) in Großbritannien zu einer Gruppierung, die bereits in der Vergangenheit für staatlich motivierte Spionage bekannt war. Die Forscher fanden Code-Fragmente, die Ähnlichkeiten mit Werkzeugen aufweisen, die bei früheren Angriffen auf Energieversorger genutzt wurden. Eine offizielle Zuweisung zu einem staatlichen Akteur steht jedoch noch aus.
Das US-Heimatschutzministerium hat sich über die Cybersecurity and Infrastructure Security Agency (CISA) in den Fall eingeschaltet. In einem gemeinsamen Bulletin mit europäischen Partnern warnt die Behörde davor, dass die Angreifer versuchen, langfristige Zugänge in kritischen Versorgungsnetzen zu etablieren. Dies deute eher auf strategische Spionage als auf rein finanzielle Interessen hin.
Geopolitische Einordnung der Vorfälle
Die zeitliche Nähe der Angriffe zu internationalen Verhandlungen über Cybersicherheit wird von politischen Beobachtern als Signal gewertet. Laut einer Analyse der Stiftung Wissenschaft und Politik (SWP) nutzen bestimmte Akteure solche Kampagnen, um digitale Stärke zu demonstrieren. Die Verwundbarkeit westlicher Lieferketten steht dabei im Fokus der Angreifer.
Deutsche Sicherheitsbehörden prüfen derzeit, ob Sanktionen gegen identifizierte Serverbetreiber eingeleitet werden können. Die rechtliche Handhabe gestaltet sich jedoch schwierig, da viele der genutzten Infrastrukturen in Ländern liegen, die kaum mit europäischen Ermittlern kooperieren. Eine internationale Zusammenarbeit auf Ebene von Europol wird derzeit intensiviert, um die Hintermänner der Operation zu fassen.
Ausblick und präventive Maßnahmen für Organisationen
In den kommenden Monaten plant das BSI eine Erweiterung des IT-Sicherheitsgesetzes, um Unternehmen zur Meldung von ähnlichen Vorfällen innerhalb kürzerer Fristen zu verpflichten. Die technischen Details zur Abwehr der aktuellen Bedrohung werden laufend über das CERT-Bund aktualisiert. Experten erwarten, dass die Angreifer ihre Methoden anpassen werden, sobald die aktuellen Sicherheitslücken geschlossen sind.
In der nächsten Phase der Ermittlungen konzentrieren sich die Behörden auf die Entschlüsselung der Kommunikation zwischen den infizierten Systemen und den Kontrollservern. Die Identifizierung der genutzten Command-and-Control-Infrastruktur bleibt eine Priorität, um weitere Infektionen zu verhindern. Unternehmen wird geraten, ihre Backup-Strategien zu überprüfen und den Zugriff auf sensible Daten durch Mehrfaktor-Authentifizierung zu schützen.
Es bleibt abzuwarten, ob die verstärkten Bemühungen der europäischen Sicherheitsbehörden zu einer dauerhaften Senkung der Erfolgsrate solcher Kampagnen führen werden. Die Beobachtung der Foren im Darknet durch das Bundeskriminalamt zeigt, dass Teile des Programmcodes bereits als Vorlage für andere kriminelle Gruppen dienen könnten. Weitere Updates zu den laufenden Untersuchungen werden für die nächste Sitzung des Innenausschusses erwartet.
