- Anzeigen -


Sie sind hier: Home » Markt » Nachrichten

Kompromittierung deutscher Regierungsnetze


Abgefangene E-Mails mit Schadsoftware im "Informationsverbund Bonn-Berlin" (IVBB)
2016 monatlich zirka 44.000 und 2017 monatlich zirka 52.000 mit Schadcode infizierte E-Mails in den Regierungsnetzen

- Anzeigen -





Die Zahl der im "Informationsverbund Bonn-Berlin" (IVBB) in den Jahren 2016 und 2017 abgefangenen E-Mails mit Schadsoftware ist ein Thema der Antwort der Deutschen Bundesregierung (19/1867) auf eine Kleine Anfrage der Fraktion Die Linke (19/1390) mit dem Titel "Kompromittierung deutscher Regierungsnetze".

Darin verweist die Bundesregierung auf Berichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland von 2016 und 2017. Hiernach seien 2016 monatlich zirka 44.000 und 2017 monatlich zirka 52.000 mit Schadcode infizierte E-Mails in den Regierungsnetzen abgefangen worden. Ferner seien 2016 täglich zirka 3.600 und 2017 täglich zirka 5.200 Verbindungsversuche aus den Regierungsnetzen zu Schadcodeservern blockiert worden.

Vorbemerkung der Fragesteller
Am 28. Februar 2018 meldete die dpa Deutsche Presse-Agentur GmbH, "ausländische Hacker" seien in den Informationsverbund Berlin-Bonn (IVBB) eingedrungen ("Innenministerium: Hacker griffen deutsches Regierungsnetz an", BERLINER MORGENPOST vom 28. Februar 2018). Im Auswärtigen Amt habe es "einen entsprechenden Vorfall" gegeben, auch das Bundesministerium der Verteidigung (BMVG) sei betroffen. Den Hinweis auf die Kompromittierung hätten deutsche Geheimdienste nach Informationen des Senders "Rundfunk Berlin-Brandenburg (rbb) am 19. Dezember 2017 von einem "ausländischen Partner" erhalten ("Von der Uni ins Ministerium?", tagesschau.de vom 2. März 2018).

In der Bundespressekonferenz vom 2. März 2018 wurde hierzu gemutmaßt, dieser Dienst käme aus dem Baltikum ("Regierungspressekonferenz vom 2. März 2018", bundesregierung.de). Nun ermitteln das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das für Spionageabwehr zuständige Bundesamt für Verfassungsschutz (BfV), auch der Auslandsgeheimdienst Bundesnachrichtendienst (BND) ist eingebunden. Verbindungsdaten des IVBB werden drei Monate aufgehoben. Für rund neun Monate der Angriffe stehen für die Ermittlungen deshalb keine Logfiles zur Verfügung.

Als Urheber des "Vorfalls" wurde von der "dpa" das in Russland verortete Netzwerk "APT28" benannt, das auch für Phishing-Mails an Bundestagsbüros im Jahr 2015 verantwortlich sein soll. Einen Tag später korrigierte sich die Agentur und schrieb den "Vorfall" unter Berufung auf ungenannte "Kreise" dem ebenfalls in Russland verorteten Netzwerk ,Snake' zu, das "Verbindungen" zu russischen Geheimdiensten habe ("Kreise: Russische ‚Snake‘-Hacker hinter Angriff", dpa vom 1. März 2018).

Das Netzwerk "Snake" ist eigentlich die Bezeichnung für die Schadsoftware "Turla" bzw. "Uroburos" (www.kaspersky.de/ resource-center/threats/epic-turla-snake-malware-attacks), wird jedoch synonym zur Bezeichnung mutmaßlicher Angreifer gebraucht. Der Trojaner "Uroburos" wurde 2008 entdeckt und soll kyrillische Schriftzeichen im Programmcode enthalten, seit 2014 soll eine Linux-Variante kursieren
(https://malwarebattle. blogspot.de/2014/03/g-data-found-russian-cyber-weapon.html).

Sicherheitsfirmen wiesen in den vergangenen Jahren darauf hin, dass "Uroburos" Teil einer internationalen "Spionagekampagne" gewesen sei, die weltweit "Botschaften, Rüstungsfirmen, Lehranstalten und Forschungsinstitute" betroffen habe

(https://securelist.com/the-epic-turla-operation/65545/). Auch im Bundesministerium des Innern, für Bau und Heimat (BMI) war dies bekannt. Im Verfassungsschutzbericht für 2016 heißt es, dass "Snake" seit 2005 mit der "sehr komplexen und qualitativ hochwertigen Schadsoftware" aktiv sei. Der Trojaner "Uroburos" sei darauf ausgelegt, "in großen Netzwerken von Behörden, Firmen und Forschungseinrichtungen zu agieren". Betroffen seien insbesondere die Bereiche Energietechnik, Röntgen- und Nukleartechnologie, Messtechnologie sowie Luft- und Raumfahrt.

Das Rootkit "Uroburos", das sich selbstständig in infizierten Netzwerken verbreitet, besteht aus zwei Dateien für 32- und 64-Bit-Windows-Systeme mit einem Treiber. Die Kompromittierung des IVBB sei laut der "dpa" über Computer einer Fachhochschule des Bundes für öffentliche Verwaltung erfolgt, Aktivitäten seien ab Ende 2016 festgestellt worden ("Kreise: Russische ‚Snake‘-Hacker hinter Angriff", dpa vom 1. März 2018).

Der Angriff wurde möglicherweise durch fehlende Sicherheitsupdates oder eine großzügige Rechtevergabe begünstigt. Gewöhnlich nutzen Angreifer auch nicht veröffentlichte Sicherheitslücken ("Zero Day Exploits"). Laut dem Verfassungsschutzbericht für 2016 erfolgten Infektionen mit "Uroburos" meist über sogenannte Watering-Hole-Attacken, bei denen Angreifer Webpräsenzen, die für das Opfer potenziell interessant sind, auf infizierte Web-server umleiten. Werden die Seiten aufgerufen, erfolgt die Installation der Schadsoftware bei dem Opfer des Cyberangriffs. Die ausgewählten Betroffenen seien auf einer sogenannten White-List gespeichert

In der "Süddeutschen Zeitung" vom 6. März 2018 heißt es dazu, die Angreifer hätten das Mailprogramm Microsoft Outlook genutzt, um dort codierte Befehle in einem E-Mail-Anhang zu verstecken. Der betroffene Rechner war demnach bereits mit Schadsoftware infiziert. Über Outlook sollen die Dokumente schließlich auch ausgeleitet worden sein. Infiziert worden sei zunächst die Liegenschaftsverwaltung des Auswärtigen Amts, danach ein Referat mit Russlandbezug. Im Januar 2017 habe die Malware einen Steuerbefehl erhalten und begonnen, Informationen an einen nicht näher benannten Server auszuleiten. Im März 2017 hätten die Angreifer dann Administrator-Rechte auf Windows-Clients im Auswärtigen Amt erlangt. Erst kurz vorher wurden die dortigen Linux-Systeme zu Windows und Microsoft migriert (Bundestagsdrucksache 18/4473). Einen der Rechner habe ein Mitarbeiter des BMVG genutzt. Das BMVG soll deshalb entgegen erster Informationen nicht direkt betroffen gewesen sein.

Der IT-Angriff hat nach derzeitigem Stand keinen großen Schaden angerichtet. Im IVBB werden keine als vertraulich oder geheim eingestuften Dokumente verteilt ("Regierungspressekonferenz vom 2. März 2018", bundesregierung.de). Die Rede ist von sechs abgeflossenen Dokumenten, die zum Teil "Bezüge zu Russland, der Ukraine und Weißrussland" hätten. Ein Mitarbeiter des BMI erklärte im Ausschuss für Verkehr und digitale Infrastruktur des Deutschen Bundestages, das Parlament und die Öffentlichkeit sei nicht früher über den Vorfall informiert worden, um die Angreifer weiter beobachten und rückverfolgen zu können. Die an die Presse geleakten Informationen hätten die weitere Aufklärungsarbeit zwangsläufig beendet. Die Bundesanwaltschaft hat deshalb Vorermittlungen auf der Suche nach der undichten Stelle begonnen ("Bundesanwaltschaft nimmt Vorermittlungen auf", haz.de vom 2. März 2018). Nicht auszuschließen sei, dass die Veröffentlichungen dafür sorgten, dass die Angreifer Spuren löschen konnten.

In der Vergangenheit will die Bundesregierung täglich 20 "hoch spezialisierte Cyberangriffe" festgestellt haben, von denen nach Einschätzung des BSI einer pro Woche "einen nachrichtendienstlichen Hintergrund" gehabt habe (Bundestagsdrucksache 18/11106, Antwort zu Frage 18). Für die Einstufung als "hoch spezialisierter Cyberangriff" genügt es jedoch, wenn eine Schadsoftware die Virenscanner des BSI überwinden kann. In keinem der Fälle konnte der vermutete "nachrichtendienstliche Hintergrund" bestätigt oder gar nachweislich einer Regierung zugeordnet werden.

Trotzdem will die Bundesregierung die rechtlichen und technischen Fähigkeiten zu digitalen Gegenschlägen ausweiten ("Hacking back? Technische und politische Implikationen digitaler Gegenschläge", SWP-Aktuell 59, August 2017). Der Bundessicherheitsrat soll hierzu eine Analyse der benötigten technischen Fähigkeiten vornehmen und der Bundesregierung Vorschläge für notwendige gesetzliche Änderungen vorlegen. Solche "Hackbacks" könnten laut dem Chef der neuen Entschlüsselungsbehörde des Bundes Zentrale Stelle für Informationstechnik im Sicherheitsbereich –ZITiS helfen, "entwendete Dateien und Dokumente zumindest auf den Servern der Diebe zu löschen" ("Entschlüsselungsbehörde – Staat muss digital zurückschlagen können", de.reuters.com vom 22. November 2018). Auch im Koalitionsvertrag zwischen CDU, CSU und SPD heißt es, man wolle "Angriffe aus dem Cyberraum gegen unsere kritischen Infrastrukturen abwehren und verhindern".
(Deutsche Bundesregierung: ra)

eingetragen: 03.06.18
Newsletterlauf: 14.06.18

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Nachrichten

  • Cybercrime macht nicht halt an Ländergrenzen

    Einen engeren Austausch und eine verstärkte Zusammenarbeit in Fragen der Cyber-Sicherheit, insbesondere zum Schutz Kritischer Infrastrukturen, haben das Land Berlin und das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschlossen. Dazu unterzeichneten der Berliner Innensenator Andreas Geisel und BSI-Präsident Arne Schönbohm in Berlin eine entsprechende Absichtserklärung. "Im Bereich der Cyber-Sicherheit ist Deutschland in den letzten Jahren ein gutes Stück vorangekommen. Wir haben wichtige Maßnahmen auf legislativer und operativer Ebene umgesetzt, um speziell die Kritischen Infrastrukturen besser zu schützen. Bislang gab es in Deutschland keine IT-Sicherheitsvorfälle, die eine Versorgung der Bevölkerung gefährdet hätten.

  • Kooperationen des BSI

    Um Kooperationen des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) geht es in einer Kleinen Anfrage der Fraktion Die Linke (19/3633). Dabei handelt es sich um eine Nachfrage zu einer Antwort der Deutschen Bundesregierung (19/3398) auf eine frühere Kleine Anfrage der Fraktion zu diesem Thema. Darin hatten sich die Abgeordneten danach erkundigt, in wie vielen Fällen sich das BSI "seit 2015 mit welchen deutschen Stellen hinsichtlich Informationen über potentiell für Maßnahmen der Telekommunikationsüberwachung (beispielsweise Quellen-TKÜ, Onlinedurchsuchung, Einrichtung von pseudonymen Accounts) nutzbare Schwachstellen und Exploits (Zero-Day-Exploits)" ausgetauscht hat.

  • Messen von unerwünschtem Rauschen

    Um unerwünschtes elektromagnetisches Störsignalrauschen geht es in der Antwort (19/3837) auf eine Kleine Anfrage (19/3641) der Fraktion Die Linke. Messungen der Bundesnetzagentur hätten ergeben, dass dieser "Man-made-Noise" heute tendenziell eher unterhalb der empfohlenen Werte der internationalen Fernmeldeunion (ITU) liege, erklärt die Bundesregierung. Dies gelte für die Bereiche UKW, DAB und Amateurfunk, nicht aber für die Kurzwelle: Dort gebe es in potenziell ruhigen Umgebungen höhere Rauschwerte als in der ITU-Empfehlung angenommen.

  • Schwachstellen in Produkten behoben

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich seit 2015 in vier Fällen mit Forschern und Unternehmen über Schwachstellen ausgetauscht. Die Hersteller der betroffenen Produkte sollten die Probleme beheben können, bevor sie öffentlich werden. In der Folge seien die Schwachstellen im Rahmen der standardisierten Produktentwicklung behoben oder ein "Workaround" aufgezeigt worden, heißt es in der Antwort (19/3910) der Deutschen Bundesregierung auf eine Nachfrage der Fraktion Die Linke zu einer früheren Antwort (19/3398) der Regierung zu dem Thema.

  • Cyberangriff auf Auswärtiges Amt

    Bei dem am 28. Februar dieses Jahres öffentlich bekanntgewordenen Cyberangriff auf das Auswärtige Amt wurden laut Deutsche Bundesregierung Schadprogramme verwendet, die nach Kenntnis des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht öffentlich verfügbar waren. Wie aus der Antwort der Bundesregierung (19/2587) auf eine Kleine Anfrage (19/2252) der FDP-Fraktion hervorgeht, wurden für den Angriff "diverse Werkzeuge" genutzt, "die größtenteils speziell für diesen Angriff angefertigt worden sein dürften". Nach ihrer Bewertung lag dem Cyberangriff eine maßgeschneiderte und aufwendige Vorgehensweise zu Grunde, führt die Bundesregierung weiter aus.