- Anzeigen -


Sie sind hier: Home » Markt » Nachrichten

Kompromittierung deutscher Regierungsnetze


Abgefangene E-Mails mit Schadsoftware im "Informationsverbund Bonn-Berlin" (IVBB)
2016 monatlich zirka 44.000 und 2017 monatlich zirka 52.000 mit Schadcode infizierte E-Mails in den Regierungsnetzen

- Anzeigen -





Die Zahl der im "Informationsverbund Bonn-Berlin" (IVBB) in den Jahren 2016 und 2017 abgefangenen E-Mails mit Schadsoftware ist ein Thema der Antwort der Deutschen Bundesregierung (19/1867) auf eine Kleine Anfrage der Fraktion Die Linke (19/1390) mit dem Titel "Kompromittierung deutscher Regierungsnetze".

Darin verweist die Bundesregierung auf Berichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland von 2016 und 2017. Hiernach seien 2016 monatlich zirka 44.000 und 2017 monatlich zirka 52.000 mit Schadcode infizierte E-Mails in den Regierungsnetzen abgefangen worden. Ferner seien 2016 täglich zirka 3.600 und 2017 täglich zirka 5.200 Verbindungsversuche aus den Regierungsnetzen zu Schadcodeservern blockiert worden.

Vorbemerkung der Fragesteller
Am 28. Februar 2018 meldete die dpa Deutsche Presse-Agentur GmbH, "ausländische Hacker" seien in den Informationsverbund Berlin-Bonn (IVBB) eingedrungen ("Innenministerium: Hacker griffen deutsches Regierungsnetz an", BERLINER MORGENPOST vom 28. Februar 2018). Im Auswärtigen Amt habe es "einen entsprechenden Vorfall" gegeben, auch das Bundesministerium der Verteidigung (BMVG) sei betroffen. Den Hinweis auf die Kompromittierung hätten deutsche Geheimdienste nach Informationen des Senders "Rundfunk Berlin-Brandenburg (rbb) am 19. Dezember 2017 von einem "ausländischen Partner" erhalten ("Von der Uni ins Ministerium?", tagesschau.de vom 2. März 2018).

In der Bundespressekonferenz vom 2. März 2018 wurde hierzu gemutmaßt, dieser Dienst käme aus dem Baltikum ("Regierungspressekonferenz vom 2. März 2018", bundesregierung.de). Nun ermitteln das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das für Spionageabwehr zuständige Bundesamt für Verfassungsschutz (BfV), auch der Auslandsgeheimdienst Bundesnachrichtendienst (BND) ist eingebunden. Verbindungsdaten des IVBB werden drei Monate aufgehoben. Für rund neun Monate der Angriffe stehen für die Ermittlungen deshalb keine Logfiles zur Verfügung.

Als Urheber des "Vorfalls" wurde von der "dpa" das in Russland verortete Netzwerk "APT28" benannt, das auch für Phishing-Mails an Bundestagsbüros im Jahr 2015 verantwortlich sein soll. Einen Tag später korrigierte sich die Agentur und schrieb den "Vorfall" unter Berufung auf ungenannte "Kreise" dem ebenfalls in Russland verorteten Netzwerk ,Snake' zu, das "Verbindungen" zu russischen Geheimdiensten habe ("Kreise: Russische ‚Snake‘-Hacker hinter Angriff", dpa vom 1. März 2018).

Das Netzwerk "Snake" ist eigentlich die Bezeichnung für die Schadsoftware "Turla" bzw. "Uroburos" (www.kaspersky.de/ resource-center/threats/epic-turla-snake-malware-attacks), wird jedoch synonym zur Bezeichnung mutmaßlicher Angreifer gebraucht. Der Trojaner "Uroburos" wurde 2008 entdeckt und soll kyrillische Schriftzeichen im Programmcode enthalten, seit 2014 soll eine Linux-Variante kursieren
(https://malwarebattle. blogspot.de/2014/03/g-data-found-russian-cyber-weapon.html).

Sicherheitsfirmen wiesen in den vergangenen Jahren darauf hin, dass "Uroburos" Teil einer internationalen "Spionagekampagne" gewesen sei, die weltweit "Botschaften, Rüstungsfirmen, Lehranstalten und Forschungsinstitute" betroffen habe

(https://securelist.com/the-epic-turla-operation/65545/). Auch im Bundesministerium des Innern, für Bau und Heimat (BMI) war dies bekannt. Im Verfassungsschutzbericht für 2016 heißt es, dass "Snake" seit 2005 mit der "sehr komplexen und qualitativ hochwertigen Schadsoftware" aktiv sei. Der Trojaner "Uroburos" sei darauf ausgelegt, "in großen Netzwerken von Behörden, Firmen und Forschungseinrichtungen zu agieren". Betroffen seien insbesondere die Bereiche Energietechnik, Röntgen- und Nukleartechnologie, Messtechnologie sowie Luft- und Raumfahrt.

Das Rootkit "Uroburos", das sich selbstständig in infizierten Netzwerken verbreitet, besteht aus zwei Dateien für 32- und 64-Bit-Windows-Systeme mit einem Treiber. Die Kompromittierung des IVBB sei laut der "dpa" über Computer einer Fachhochschule des Bundes für öffentliche Verwaltung erfolgt, Aktivitäten seien ab Ende 2016 festgestellt worden ("Kreise: Russische ‚Snake‘-Hacker hinter Angriff", dpa vom 1. März 2018).

Der Angriff wurde möglicherweise durch fehlende Sicherheitsupdates oder eine großzügige Rechtevergabe begünstigt. Gewöhnlich nutzen Angreifer auch nicht veröffentlichte Sicherheitslücken ("Zero Day Exploits"). Laut dem Verfassungsschutzbericht für 2016 erfolgten Infektionen mit "Uroburos" meist über sogenannte Watering-Hole-Attacken, bei denen Angreifer Webpräsenzen, die für das Opfer potenziell interessant sind, auf infizierte Web-server umleiten. Werden die Seiten aufgerufen, erfolgt die Installation der Schadsoftware bei dem Opfer des Cyberangriffs. Die ausgewählten Betroffenen seien auf einer sogenannten White-List gespeichert

In der "Süddeutschen Zeitung" vom 6. März 2018 heißt es dazu, die Angreifer hätten das Mailprogramm Microsoft Outlook genutzt, um dort codierte Befehle in einem E-Mail-Anhang zu verstecken. Der betroffene Rechner war demnach bereits mit Schadsoftware infiziert. Über Outlook sollen die Dokumente schließlich auch ausgeleitet worden sein. Infiziert worden sei zunächst die Liegenschaftsverwaltung des Auswärtigen Amts, danach ein Referat mit Russlandbezug. Im Januar 2017 habe die Malware einen Steuerbefehl erhalten und begonnen, Informationen an einen nicht näher benannten Server auszuleiten. Im März 2017 hätten die Angreifer dann Administrator-Rechte auf Windows-Clients im Auswärtigen Amt erlangt. Erst kurz vorher wurden die dortigen Linux-Systeme zu Windows und Microsoft migriert (Bundestagsdrucksache 18/4473). Einen der Rechner habe ein Mitarbeiter des BMVG genutzt. Das BMVG soll deshalb entgegen erster Informationen nicht direkt betroffen gewesen sein.

Der IT-Angriff hat nach derzeitigem Stand keinen großen Schaden angerichtet. Im IVBB werden keine als vertraulich oder geheim eingestuften Dokumente verteilt ("Regierungspressekonferenz vom 2. März 2018", bundesregierung.de). Die Rede ist von sechs abgeflossenen Dokumenten, die zum Teil "Bezüge zu Russland, der Ukraine und Weißrussland" hätten. Ein Mitarbeiter des BMI erklärte im Ausschuss für Verkehr und digitale Infrastruktur des Deutschen Bundestages, das Parlament und die Öffentlichkeit sei nicht früher über den Vorfall informiert worden, um die Angreifer weiter beobachten und rückverfolgen zu können. Die an die Presse geleakten Informationen hätten die weitere Aufklärungsarbeit zwangsläufig beendet. Die Bundesanwaltschaft hat deshalb Vorermittlungen auf der Suche nach der undichten Stelle begonnen ("Bundesanwaltschaft nimmt Vorermittlungen auf", haz.de vom 2. März 2018). Nicht auszuschließen sei, dass die Veröffentlichungen dafür sorgten, dass die Angreifer Spuren löschen konnten.

In der Vergangenheit will die Bundesregierung täglich 20 "hoch spezialisierte Cyberangriffe" festgestellt haben, von denen nach Einschätzung des BSI einer pro Woche "einen nachrichtendienstlichen Hintergrund" gehabt habe (Bundestagsdrucksache 18/11106, Antwort zu Frage 18). Für die Einstufung als "hoch spezialisierter Cyberangriff" genügt es jedoch, wenn eine Schadsoftware die Virenscanner des BSI überwinden kann. In keinem der Fälle konnte der vermutete "nachrichtendienstliche Hintergrund" bestätigt oder gar nachweislich einer Regierung zugeordnet werden.

Trotzdem will die Bundesregierung die rechtlichen und technischen Fähigkeiten zu digitalen Gegenschlägen ausweiten ("Hacking back? Technische und politische Implikationen digitaler Gegenschläge", SWP-Aktuell 59, August 2017). Der Bundessicherheitsrat soll hierzu eine Analyse der benötigten technischen Fähigkeiten vornehmen und der Bundesregierung Vorschläge für notwendige gesetzliche Änderungen vorlegen. Solche "Hackbacks" könnten laut dem Chef der neuen Entschlüsselungsbehörde des Bundes Zentrale Stelle für Informationstechnik im Sicherheitsbereich –ZITiS helfen, "entwendete Dateien und Dokumente zumindest auf den Servern der Diebe zu löschen" ("Entschlüsselungsbehörde – Staat muss digital zurückschlagen können", de.reuters.com vom 22. November 2018). Auch im Koalitionsvertrag zwischen CDU, CSU und SPD heißt es, man wolle "Angriffe aus dem Cyberraum gegen unsere kritischen Infrastrukturen abwehren und verhindern".
(Deutsche Bundesregierung: ra)

eingetragen: 03.06.18
Newsletterlauf: 14.06.18

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Nachrichten

  • Internetverkehr von 1,7 Millionen IPs manipuliert

    Das FBI machte einen massiven, mehrjährigen Betrug zunichte, bei dem Online-Kriminelle Botnets zur Manipulation des Internetverkehrs von 1,7 Millionen IP-Adressen verwendeten und so annähernd 30 Millionen Dollar an betrügerischen Werbeeinnahmen erzielten. F-Secure unterstützte die Operation, indem es Bedrohungsinformationen über die Malware-Kampagnen und Botnetze des Betrugs bereitstellte. Der Ad-Fraud-Ring, der in einem von US-CERT veröffentlichten Advisory als "3ve" beschrieben wird, arbeitet seit Ende 2015 und baut zwei verschiedene Botnets auf, indem er Kovter- und Boaxxe-Malware über Spam-E-Mails und Drive-by-Downloads an Einzelpersonen verbreitet. 3ve nutzte diese Botnetze, um den Internetverkehr zu manipulieren und an Online-Anzeigen zu leiten, die unter dem Vorwand liefen, dass der Verkehr von echten Besuchern kam. Schätzungen gehen davon aus, dass die Botnets von 3ve es ihnen ermöglichten, den Internetverkehr von etwa 1,7 Millionen IPs zu manipulieren.

  • Verstöße gegen das Arzneimittelgesetz

    Die deutschen Zoll- und Polizeibehörden haben vom 09. bis 16. Oktober 2018 im Rahmen der Operation PANGEA zum elften Mal zusammen mit internationalen Partnern den Fokus auf den Handel mit gefälschten und illegalen Arzneimitteln im Internet gerichtet. Koordiniert wurde die Teilnahme der deutschen Behörden durch das Zollkriminalamt (ZKA) und das Bundeskriminalamt (BKA). Insgesamt beteiligten sich 116 Staaten sowie die Weltzollorganisation(WZO), Europol, Pharmaunternehmen und internationale Zahlungs- und Zustellungsdienstleister an der von INTERPOL initiierten Operation PANGEA. Seit Ende der Operation PANGEA X im September letzten Jahres ermittelten die Polizeibehörden im Zeitraum von Januar bis August 2018 in 132 Ermittlungsverfahren gegen die Betreiber von 136 Internetseiten.

  • Weiterentwicklung der Quantentechnologie

    Schon heute nutzt fast jeder täglich Quantentechnologien, bei Computern, in Datennetzen oder auch bei einem Großteil der medizinischen Bildgebung. All diese technologischen Errungenschaften wären ohne Quanteneffekte nicht denkbar, denn Bauteile wie Transistoren, Dioden und Laser nutzen Prinzipien der Quantenphysik. Deutschland ist bei diesen "Quantentechnologien der ersten Generation" wissenschaftlich und wirtschaftlich höchst erfolgreich. Das schreibt die Bundesregierung in ihrer Unterrichtung (19/4645). In der Grundlagenforschung der Quantenphysik, die lehre, dass die Welt nicht aus Nullen und Einsen, sondern eben aus Quanten bestehe und das diese Träger physikalischer Wechselwirkungen nicht beliebig teilbar seien, sondern in einer bestimmten "Mindestgröße" auftreten würden, besitze Deutschland eine exzellente Ausgangsposition. Die breite Forschung auf diesem Gebiet - bestehend aus föderal strukturierter Hochschullandschaft, außeruniversitären Forschungseinrichtungen, Ressortforschung und am Markt ausgerichteter Forschung der Unternehmen - bilde für die Quantentechnologien eine gute Ausgangsbasis.

  • Digitale Identitäten

    "Digitale Identitäten" thematisiert die FDP-Fraktion in einer Kleinen Anfrage (19/4321). Wie sie darin schreibt, bilden digitale Identitäten " die Grundlage zum Handeln im Internet". Sie ermöglichten "Onlinebanking Konten, Zugang zu sozialen Medien, Einkäufe bei Onlinehändlern, aber auch Dateneinträge bei Bürgerämtern und vielen weiteren Onlinediensten". Daher sei es üblich, dass Bürger eine Vielzahl solcher Identitäten anhäufen. "Zur einfacheren Verwaltung dieser digitalen Identitäten bieten US-amerikanische Unternehmen wie Google, Facebook oder LinkedIn auf ihren Plattformen sogenannte Single-Sign-On Systeme an", führen die Abgeordneten weiter aus. Die bereits gespeicherten Daten der Nutzer wie beispielsweise der Name, das Geschlecht oder das Geburtsdatum würden dafür zentral auf den Servern dieser Unternehmen gespeichert und bei Bedarf an andere Dienste freigegeben. Eine solche zentrale Datenverwaltung schränke die Datensouveränität der Nutzer ein.

  • 86.000 Fälle von Cybercrime wurden im Jahr 2017

    Dass die Auswirkungen von Cyberangriffen nicht nur virtueller Natur sind, hat das vergangene Jahr gezeigt: Im Mai 2017 legte die Erpresser-Software "WannaCry" Hunderttausende Computersysteme lahm. Die Auswirkungen dieses Angriffs waren für viele Menschen auch in der "analogen Welt" spürbar, denn unter anderem hatte die Software die Ticketautomaten und Anzeigetafeln der Deutschen Bahn abgeschaltet. Lange Schlangen an den Infocentern vieler Bahnhöfe waren die Folge. Dabei war "WannaCry" nur einer von zahlreichen Angriffen. Rund 86.000 Fälle von Cybercrime wurden im Jahr 2017 von der Polizei erfasst, vier Prozent mehr als im Jahr zuvor. Der hierdurch entstandene Schaden durch Computerbetrug steigerte sich auf 71,4 Millionen Euro (2016: 50,9 Mio. Euro). Dies geht aus dem heute veröffentlichten Lagebild "Cybercrime" des Bundeskriminalamts (BKA) hervor.