- Anzeigen -


Sie sind hier: Home » Markt » Nachrichten

Kompromittierung deutscher Regierungsnetze


Abgefangene E-Mails mit Schadsoftware im "Informationsverbund Bonn-Berlin" (IVBB)
2016 monatlich zirka 44.000 und 2017 monatlich zirka 52.000 mit Schadcode infizierte E-Mails in den Regierungsnetzen

- Anzeigen -





Die Zahl der im "Informationsverbund Bonn-Berlin" (IVBB) in den Jahren 2016 und 2017 abgefangenen E-Mails mit Schadsoftware ist ein Thema der Antwort der Deutschen Bundesregierung (19/1867) auf eine Kleine Anfrage der Fraktion Die Linke (19/1390) mit dem Titel "Kompromittierung deutscher Regierungsnetze".

Darin verweist die Bundesregierung auf Berichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland von 2016 und 2017. Hiernach seien 2016 monatlich zirka 44.000 und 2017 monatlich zirka 52.000 mit Schadcode infizierte E-Mails in den Regierungsnetzen abgefangen worden. Ferner seien 2016 täglich zirka 3.600 und 2017 täglich zirka 5.200 Verbindungsversuche aus den Regierungsnetzen zu Schadcodeservern blockiert worden.

Vorbemerkung der Fragesteller
Am 28. Februar 2018 meldete die dpa Deutsche Presse-Agentur GmbH, "ausländische Hacker" seien in den Informationsverbund Berlin-Bonn (IVBB) eingedrungen ("Innenministerium: Hacker griffen deutsches Regierungsnetz an", BERLINER MORGENPOST vom 28. Februar 2018). Im Auswärtigen Amt habe es "einen entsprechenden Vorfall" gegeben, auch das Bundesministerium der Verteidigung (BMVG) sei betroffen. Den Hinweis auf die Kompromittierung hätten deutsche Geheimdienste nach Informationen des Senders "Rundfunk Berlin-Brandenburg (rbb) am 19. Dezember 2017 von einem "ausländischen Partner" erhalten ("Von der Uni ins Ministerium?", tagesschau.de vom 2. März 2018).

In der Bundespressekonferenz vom 2. März 2018 wurde hierzu gemutmaßt, dieser Dienst käme aus dem Baltikum ("Regierungspressekonferenz vom 2. März 2018", bundesregierung.de). Nun ermitteln das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das für Spionageabwehr zuständige Bundesamt für Verfassungsschutz (BfV), auch der Auslandsgeheimdienst Bundesnachrichtendienst (BND) ist eingebunden. Verbindungsdaten des IVBB werden drei Monate aufgehoben. Für rund neun Monate der Angriffe stehen für die Ermittlungen deshalb keine Logfiles zur Verfügung.

Als Urheber des "Vorfalls" wurde von der "dpa" das in Russland verortete Netzwerk "APT28" benannt, das auch für Phishing-Mails an Bundestagsbüros im Jahr 2015 verantwortlich sein soll. Einen Tag später korrigierte sich die Agentur und schrieb den "Vorfall" unter Berufung auf ungenannte "Kreise" dem ebenfalls in Russland verorteten Netzwerk ,Snake' zu, das "Verbindungen" zu russischen Geheimdiensten habe ("Kreise: Russische ‚Snake‘-Hacker hinter Angriff", dpa vom 1. März 2018).

Das Netzwerk "Snake" ist eigentlich die Bezeichnung für die Schadsoftware "Turla" bzw. "Uroburos" (www.kaspersky.de/ resource-center/threats/epic-turla-snake-malware-attacks), wird jedoch synonym zur Bezeichnung mutmaßlicher Angreifer gebraucht. Der Trojaner "Uroburos" wurde 2008 entdeckt und soll kyrillische Schriftzeichen im Programmcode enthalten, seit 2014 soll eine Linux-Variante kursieren
(https://malwarebattle. blogspot.de/2014/03/g-data-found-russian-cyber-weapon.html).

Sicherheitsfirmen wiesen in den vergangenen Jahren darauf hin, dass "Uroburos" Teil einer internationalen "Spionagekampagne" gewesen sei, die weltweit "Botschaften, Rüstungsfirmen, Lehranstalten und Forschungsinstitute" betroffen habe

(https://securelist.com/the-epic-turla-operation/65545/). Auch im Bundesministerium des Innern, für Bau und Heimat (BMI) war dies bekannt. Im Verfassungsschutzbericht für 2016 heißt es, dass "Snake" seit 2005 mit der "sehr komplexen und qualitativ hochwertigen Schadsoftware" aktiv sei. Der Trojaner "Uroburos" sei darauf ausgelegt, "in großen Netzwerken von Behörden, Firmen und Forschungseinrichtungen zu agieren". Betroffen seien insbesondere die Bereiche Energietechnik, Röntgen- und Nukleartechnologie, Messtechnologie sowie Luft- und Raumfahrt.

Das Rootkit "Uroburos", das sich selbstständig in infizierten Netzwerken verbreitet, besteht aus zwei Dateien für 32- und 64-Bit-Windows-Systeme mit einem Treiber. Die Kompromittierung des IVBB sei laut der "dpa" über Computer einer Fachhochschule des Bundes für öffentliche Verwaltung erfolgt, Aktivitäten seien ab Ende 2016 festgestellt worden ("Kreise: Russische ‚Snake‘-Hacker hinter Angriff", dpa vom 1. März 2018).

Der Angriff wurde möglicherweise durch fehlende Sicherheitsupdates oder eine großzügige Rechtevergabe begünstigt. Gewöhnlich nutzen Angreifer auch nicht veröffentlichte Sicherheitslücken ("Zero Day Exploits"). Laut dem Verfassungsschutzbericht für 2016 erfolgten Infektionen mit "Uroburos" meist über sogenannte Watering-Hole-Attacken, bei denen Angreifer Webpräsenzen, die für das Opfer potenziell interessant sind, auf infizierte Web-server umleiten. Werden die Seiten aufgerufen, erfolgt die Installation der Schadsoftware bei dem Opfer des Cyberangriffs. Die ausgewählten Betroffenen seien auf einer sogenannten White-List gespeichert

In der "Süddeutschen Zeitung" vom 6. März 2018 heißt es dazu, die Angreifer hätten das Mailprogramm Microsoft Outlook genutzt, um dort codierte Befehle in einem E-Mail-Anhang zu verstecken. Der betroffene Rechner war demnach bereits mit Schadsoftware infiziert. Über Outlook sollen die Dokumente schließlich auch ausgeleitet worden sein. Infiziert worden sei zunächst die Liegenschaftsverwaltung des Auswärtigen Amts, danach ein Referat mit Russlandbezug. Im Januar 2017 habe die Malware einen Steuerbefehl erhalten und begonnen, Informationen an einen nicht näher benannten Server auszuleiten. Im März 2017 hätten die Angreifer dann Administrator-Rechte auf Windows-Clients im Auswärtigen Amt erlangt. Erst kurz vorher wurden die dortigen Linux-Systeme zu Windows und Microsoft migriert (Bundestagsdrucksache 18/4473). Einen der Rechner habe ein Mitarbeiter des BMVG genutzt. Das BMVG soll deshalb entgegen erster Informationen nicht direkt betroffen gewesen sein.

Der IT-Angriff hat nach derzeitigem Stand keinen großen Schaden angerichtet. Im IVBB werden keine als vertraulich oder geheim eingestuften Dokumente verteilt ("Regierungspressekonferenz vom 2. März 2018", bundesregierung.de). Die Rede ist von sechs abgeflossenen Dokumenten, die zum Teil "Bezüge zu Russland, der Ukraine und Weißrussland" hätten. Ein Mitarbeiter des BMI erklärte im Ausschuss für Verkehr und digitale Infrastruktur des Deutschen Bundestages, das Parlament und die Öffentlichkeit sei nicht früher über den Vorfall informiert worden, um die Angreifer weiter beobachten und rückverfolgen zu können. Die an die Presse geleakten Informationen hätten die weitere Aufklärungsarbeit zwangsläufig beendet. Die Bundesanwaltschaft hat deshalb Vorermittlungen auf der Suche nach der undichten Stelle begonnen ("Bundesanwaltschaft nimmt Vorermittlungen auf", haz.de vom 2. März 2018). Nicht auszuschließen sei, dass die Veröffentlichungen dafür sorgten, dass die Angreifer Spuren löschen konnten.

In der Vergangenheit will die Bundesregierung täglich 20 "hoch spezialisierte Cyberangriffe" festgestellt haben, von denen nach Einschätzung des BSI einer pro Woche "einen nachrichtendienstlichen Hintergrund" gehabt habe (Bundestagsdrucksache 18/11106, Antwort zu Frage 18). Für die Einstufung als "hoch spezialisierter Cyberangriff" genügt es jedoch, wenn eine Schadsoftware die Virenscanner des BSI überwinden kann. In keinem der Fälle konnte der vermutete "nachrichtendienstliche Hintergrund" bestätigt oder gar nachweislich einer Regierung zugeordnet werden.

Trotzdem will die Bundesregierung die rechtlichen und technischen Fähigkeiten zu digitalen Gegenschlägen ausweiten ("Hacking back? Technische und politische Implikationen digitaler Gegenschläge", SWP-Aktuell 59, August 2017). Der Bundessicherheitsrat soll hierzu eine Analyse der benötigten technischen Fähigkeiten vornehmen und der Bundesregierung Vorschläge für notwendige gesetzliche Änderungen vorlegen. Solche "Hackbacks" könnten laut dem Chef der neuen Entschlüsselungsbehörde des Bundes Zentrale Stelle für Informationstechnik im Sicherheitsbereich –ZITiS helfen, "entwendete Dateien und Dokumente zumindest auf den Servern der Diebe zu löschen" ("Entschlüsselungsbehörde – Staat muss digital zurückschlagen können", de.reuters.com vom 22. November 2018). Auch im Koalitionsvertrag zwischen CDU, CSU und SPD heißt es, man wolle "Angriffe aus dem Cyberraum gegen unsere kritischen Infrastrukturen abwehren und verhindern".
(Deutsche Bundesregierung: ra)

eingetragen: 03.06.18
Newsletterlauf: 14.06.18


Meldungen: Nachrichten

  • BSI-Aussagen zu Hackerangriff

    Medienberichte über divergierende Aussagen des Präsidenten des BSI und des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf das Ausmaß des 'Hackerangriffs' auf Bundestagsabgeordnete und andere Personen" lautet der Titel einer Kleinen Anfrage der AfD-Fraktion (19/7997). Darin führt die Fraktion aus, dass nach einem Medienbericht vom 5. Januar 2019 das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aussagen seines Präsidenten Arne Schönbohm zum so genannten Hackerangriff korrigiert habe.

  • Genehmigungen im Bereich Cybersicherheit

    Die FDP-Fraktion möchte wissen, wie viele Anträge auf Ausfuhrgenehmigungen für Güter mit doppeltem Vewendungszweck aus dem Bereich Cyber-Sicherheit gestellt worden sind. In einer Kleinen Anfrage (19/7680) erkundigen sich die Abgeordneten nach entsprechenden Zahlen für die vergangenen zehn Jahre. Sie fragen auch nach Annahmen, Ablehnungen und offenen Anträgen. Bei Gütern mit doppeltem Verwendungszweck handelt es sich um Produkte, die sowohl zivil als auch militärisch genutzt werden können.

  • GandCrab-Ransomware wird regelmäßig angepasst

    Bitdefender, Europol und zahlreiche andere Strafverfolgungsbehörden bieten eine neue Version des kostenlosen Entschlüsselungs-Tools für Daten, die der Ransomware GandCrab zum Opfer gefallen sind. GandCrab ist bis dato eine der effektivsten Familien dateiverschlüsselnder Malware und das aktualisierte Tool kann nun auch Daten, die mit den neuesten Versionen von GandCrab verschlüsselt wurden wieder entschlüsseln. Das neue Tool ist ab sofort verfügbar und kann bei Bitdefender Labs und dem No-More-Ransom-Projekt kostenlos heruntergeladen werden.

  • Neue Fähigkeiten zur Entschlüsselung bei Europol

    Die EU-Polizeiagentur Europol ist nach Angaben der Deutsche Bundesregierung grundsätzlich befugt, technische Mittel und Methoden zur Unterstützung der Entschlüsselung im Rahmen der Vorgaben des europäischen Rechts zu entwickeln. Dies könne auch "die Frage umfassen, ob aus technischen Gründen die Notwendigkeit besteht, Schwachstellen sowie Fehler bei Algorithmen und Implementierungen bei der Entschlüsselung verschlüsselter Kommunikationsinhalte einzusetzen", schreibt die Bundesregierung in ihrer Antwort (19/7227) auf eine Kleine Anfrage der Fraktion Die Linke (19/6699).

  • Regierung berichtet über Zitis

    Über die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" (Zitis) informiert die Deutsche Bundesregierung in ihrer Antwort (19/6246) auf eine Kleine Anfrage der Fraktion Die Linke (19/5469). Wie die Bundesregierung darin ausführt, hat Zitis gemäß Errichtungserlass vom 6. April 2017 die Aufgabe, Bundesbehörden mit Sicherheitsaufgaben im Hinblick auf informationstechnische Fähigkeiten zu unterstützen und zu beraten. Dazu entwickele und erforsche Zitis Methoden und Werkzeuge. In diesem Kontext obliegen ihr den Angaben zufolge insbesondere Unterstützungs- und Beratungsleistungen, Entwicklungsleistungen und Forschungsaufgaben. Eingriffsbefugnisse hat Zitis laut Vorlage nicht. Diese Befugnisse verblieben bei den Bedarfsträgern der Zitis - derzeit dem Bundeskriminalamt (BKA), dem Bundesamt für Verfassungsschutz (BfV) und der Bundespolizei. Der nach den Planungen des Bundesministeriums des Innern, für Bau und Heimat (BMI) vorgesehene "Aufbau der Behörde auf bis zu 400 Planstellen/Stellen" stehe unter dem Vorbehalt zukünftiger Haushaltsaufstellungsverfahren.