2334075

Hacker spionieren die Bundesregierung aus (Update)

06.03.2018 | 16:20 Uhr | Hans-Christian Dirscherl

Hacker sind in das Netzwerk der Bundesregierung und der Bundesverwaltung eingedrungen. Vor allem das Au├čenministerium war wohl Opfer der Angreifer. Die Hacker konnten vermutlich bis zu einem Jahr lang Regierungsdaten kopieren oder mitlesen. Update!

Outlook als Einfallstor - Update 6.3.2018

Die S├╝ddeutsche Zeitung berichtet, dass die Hacker Microsoft Outlook daf├╝r benutzt haben sollen, um Daten von den 17 infizierten Rechnern im Ausw├Ąrtigen Amt zu kopieren und sich zuzuschicken. Die Angreifer versteckten demnach codierte Befehle in den Mail-Anh├Ąngen. Die Hacker schickten dann eine derart pr├Ąparierte Mail an einen oder mehrere der bereits infizierten PCs. Outlook l├Ądt den unauff├Ąlligen Anhang (um welchen Dateityp es sich dabei handelt, ist unbekannt) mit den darin versteckten Befehlen herunter und die auf dem PC bereits installierte Schadsoftware f├╝hrt die Befehle dann aus. Diese Malware muss also nur das Postfach von Outlook ├╝berwachen und auf die an sie gerichteten Befehle warten. Der Benutzer im Ausw├Ąrtigen Amt, der vor dem PC sitzt, muss nichts tun und bekommt davon auch nichts mit. Auf dem gleichen Weg, also via Mail, wurden dann vermutlich auch die kopierten Daten an die Hacker verschickt.

Laut IT-Sicherheitsexperten soll die von der Hackergruppe Turla verwendete Angriffsmethode bisher von niemandem sonst verwendet worden sein. Die SZ zitiert die IT-Sicherheitsexperten mit den Worten, die Angriffsmethode sei "elegant, weil es unauff├Ąllig ist". Offiziell best├Ątigt wurde dieser Angriffsweg von der Bundesregeirung aber nicht. Sie h├Ąlt sich bedeckt.

Falls tats├Ąchlich Outlook f├╝r den Angriff verwendet wurde, steht damit fest, dass die infizierten Rechner entweder mit Windows oder mit macOS laufen. Wahrscheinlicher ist, dass es Windows-Rechner waren, die infiziert wurden. Denn das AA hatte zwar vor 2010 unter dem damaligen Au├čenminister Frank-Walter Steinmeier massiv auf quelloffende Software gesetzt und viele Desktop-Rechner auf Linux migriert und dadurch auch Geld bei den Lizenkosten gespart. Von der h├Âheren Sicherheit vor Malware auf Linux-Desktop-PCs ganz zu schweigen. Doch unter Steinmeiers Nachfolger Bundesau├čenminister Guido Westerwelle ├Ąnderte das AA seine Marschrichtung und setzt seitdem wieder massiv Windows-PCs ein. Der Anteil der Linux-Rechner sank seitdem deutlich. Mit m├Âglicherweise fatalen Folgen f├╝r die IT-Sicherheit.

Die Stadt M├╝nchen bereit derzeit eine ├Ąhnliche R├╝ckmigration von Linux auf Windows vor.

Die undichte Stelle

Die Hacker sollen ├╝ber die Bundesakademie f├╝r ├Âffentliche Verwaltung ins Netz eingedrungen sein. In der Bundesakademie f├╝r ├Âffentliche Verwaltung hackten die Angreifer einen Webserver; anscheinend wurden dabei digitale Lernunterlagen f├╝r einen Onlinekurs f├╝r Mitarbeiter des Au├čenministeriums manipuliert, wie die FAZ berichtet. Die Bundesakademie ist an das IVBB angeschlossen. Dieser Angriff ereignete sich laut heise.de bis Januar 2017.

├ťber die manipulierten Lernunterlagen auf dem Server dieser Hochschule des Bundesaus drangen die Angreifer bis M├Ąrz 2017 ins Au├čenministerium vor und konnten dort die Kontrolle ├╝ber 17 Rechner ├╝bernehmen. Wie viele Daten die Angreifer kopieren konnten, steht noch nicht fest; in den Medien ist von einer einstelligen Zahl die Rede. Anscheinend war das Referat f├╝r Russland und Osteuropa im Ausw├Ąrtigen Amt das konkrete Ziel der Attacke. Welche Betriebssysteme auf den infizierten Rechnern liefen, ist unbekannt. Das Au├čenministerium verwendet aber bekannterma├čen ├╝berwiegend Windows-Rechner.

Den Hinweis auf den erfolgreichen Angriff erhielten deutsche Sicherheitsbeh├Ârden im Dezember 2017 von einem ausl├Ąndischen Geheimdienst, wie bild.de berichtet. Die deutschen Sicherheitsbeh├Ârden wollten den Hackerangriff noch l├Ąnger beobachten und analysieren, wurden dann aber durch die Medienberichte aufgeschreckt. Deshalb suchen die deutschen Beh├Ârden nach der ÔÇ×undichten StelleÔÇť, die die Information ├╝ber den erfolgreichen Hackerangriff an die ├ľffentlichkeit getragen hat .

Das Regierungsnetzwerk gilt als besser gesch├╝tzt als das Netzwerk des Bundestags, in das Hacker im Jahr 2015 eingedrungen sind. Insofern ist dieser erfolgreiche Angriff besonders besorgniserregend, zumal im Regierungsnetzwerk hochbrisante Daten abgegriffen werden k├Ânnen.

Hackerangriff l├Ąuft noch

Wie Spiegel Online berichtet, lief der Hackerangriff auf das deutsche Regierungsnetz auch nach Bekanntwerden immer noch. Das teilte das Parlamentarische Kontrollgremium (PKGr) des Bundestages mit. Der Angriff sei lediglich "unter Kontrolle", was auch immer das hei├čen soll. Weitere Details wollen die Bundesregierung und das PKGr nicht mitteilen, um den Hackern nicht die Arbeit zu erleichtern. Lediglich die Formulierungen, dass es sich um "einen veritablen Cyberangriff auf Teile des RegierungsnetzesÔÇť handle und dass ÔÇ×der Geheimnisverrat an sich ein betr├Ąchtlicher Schaden istÔÇť, gab Armin Schuster (CDU) als Vorsitzender des Kontrollgremiums gegen├╝ber Journalisten zu Protokoll.

Was ist passiert?

Der Angriff wurde erst am 28.2.2018 durch einen Bericht der dpa bekannt. Die Sicherheitsbeh├Ârden entdeckten den Hackerangriff nach eigenen Angaben im Dezember 2017, wie die SZ berichtet. Doch es kommt viel schlimmer: Die Hacker konnten vermutlich ein Jahr lang unbemerkt im Regierungsnetzwerk herumspionieren, bis sie im Dezember 2017 schlie├člich entdeckt wurden. Das Bundesamt f├╝r Sicherheit in der Informationstechnik (BSI) untersucht den Angriff mit einem Mobile Incident Response Team und will den Angriff mittlerweile ÔÇ×isoliertÔÇť haben ÔÇô das w├╝rde bedeuten, dass die Angreifer noch immer in dem Regierungsnetzwerk aktiv sind. Wichtigste Aufgabe ist es nun, alle eventuell platzierten Trojaner, Backdoors, Keylogger und andere Spionagetools aufzusp├╝ren und auszuschalten und die L├╝cke aufzusp├╝ren, ├╝ber die die Angreifer eindringen konnten.

Was konnten die Hacker erbeuten?

Die Hacker drangen in das Datennetz der Bundesverwaltung ein ÔÇô der so genannte Informationsverbund Berlin-Bonn (IVBB), wie spiegel.de berichtet. ├ťber dieses Datennetz kommunizieren die Bundesbeh├Ârden untereinander. Wie viele Daten und vor allem welche Daten die Angreifer erbeuten konnten, ist unbekannt. Es ist davon die Rede, dass Daten aus dem Au├čenministerium und vielleicht auch aus dem Verteidigungsministerium kopiert wurden. Wobei die Informationen zum Angriff auf das Verteidigungsministerium widerspr├╝chlich sind. Sicher festzustehen scheint derzeit nur der Angriff auf das Au├čenamt von Noch-Au├čenminister Sigmar Gabriel.

Wer k├╝mmert sich um den Schutz vor Hackern?

Das Bundesinnenministerium ist f├╝r das IVBB verantwortlich. Wer Zugang zum IVBB bekommen will, muss sich bei der Anmeldung authentifizieren. Firewalls und Filter sch├╝tzen dieses Netzwerk, auch Virtual Private Networks kommen zum Einsatz; f├╝r die Nutzer gibt es Nutzungsbeschr├Ąnkungen, viele Webseiten sind gesperrt f├╝r Nutzer auss dem IVBB.

Das IVBB nutzen Teile des Bundestags, der Bundesrat, das Bundeskanzleramt, die Bundesministerien, der Bundesrechnungshof sowie Sicherheitsbeh├Ârden in Berlin, Bonn und an weiteren Standorten. Die Telekom-Tochter T-Systems betreibt das Netz, das BSI soll die Sicherheit garantieren.

Die Deutsche Telekom hat aber laut einem Bericht des Handelsblatts Berichte zur├╝ckgewiesen, nach denen der sogenannte Informationsverbund Berlin-Bonn (IVBB) Ziel des Hackerangriffs sei: "Wir haben keinerlei Erkenntnisse dar├╝ber, dass von uns betriebene Systeme in diesem Zusammenhang angegriffen wurden". Das IVBB wird von der Telekom betrieben.

Woher kamen die Angreifer?

Das BSI will Hinweise entdeckt haben, die auf russische Hacker hinweisen. Nachdem anfangs die seit Jahren bekannte und mit Russland in Verbindung gebrachte Hackergruppe APT28 alias Fancy Bear alias Sofacy ("Advanced Persistent Threat") f├╝r das Eindringen in das Regierungsnetzwerk verantwortlich gemacht wurde (APT28 wird f├╝r den Hackerangriff auf den Bundestag von 2015 verantwortlich gemacht), wird nun laut Spiegel Online aber die Hackergruppe Snake als vermutlicher T├Ąterkreis gehandelt. Snake alias Turla wird von westlichen Sicherheitskreisen genauso wie APT28 dem russischen Einflussbereich zugeordnet und mit dem russischen Geheimdienst in Verbindung gebracht. An der russischen Urheberschaft des Hackerangriffs w├╝rde sich dadurch also nichts ├Ąndern, sofern die Vermutung zutreffen sollte.

Allerdings kann so eine Spur auch bewusst falsch gelegt werden. Und wirklich gute Hacker ÔÇô und um solche handelt es sich offensichtlich ÔÇô k├Ânnen ihre Spuren so gut verwischen, dass man die Urheberschaft nicht mehr erkennen kannÔÇŽ

Die Welt berichtet unter Berufung auf die US-Sicherheitsfirma FireEye, dass der Angriff auf das IVBB Teil einer gr├Â├čeren Angriffswelle gegen Ziele in der Europ├Ąischen Union sei. Demnach w├╝rden die Angreifer schon l├Ąnger gezielt Au├čen- und Verteidigungsministerien in Staaten der Europ├Ąischen Union angreifen.

Kostenlose Anti-Hacker-Tools sch├╝tzen Ihren PC

Macwelt Marktplatz

2334075