Die Bundesregierung war bereits seit längerer Zeit Opfer eines IT-Sicherheitsvorfalls. Die Öffentlichkeit erfuhr erst jetzt von dem erfolgreichen Hackerangriff.
Angreifern ist es gelungen, sich in den so genannten „Informationsverbund Bonn-Berlin“ (IVBB) einzuschleichen und Daten zu stehlen. Über die Art der Daten schweigen sich offizielle Stellen zur Stunde noch aus. Bereits 2015 wurden Angriffe auf das Netzwerk des deutschen Bundestages öffentlich. Die aktuellen Geschehnisse erneuern die Diskussion über das Thema IT-Sicherheit in der Regierung.
Was bisher zum Hackerangriff bekannt ist
Ebenso wie IT-Sicherheitsvorfälle in Großkonzernen blieb der erfolgreiche Angriff eine Zeitlang unentdeckt. Das ist zunächst nicht ungewöhnlich, gerade wenn man es mit versierten Angreifern zu tun hat, die sich darauf verstehen, ihre Spuren zu verwischen. Im Schnitt bleibt ein Angreifer, der sich Zugang zu einem Netzwerk verschafft hat, bis zu mehreren Monaten lang unentdeckt. Auch hierzu gibt es zahlreiche Beispiele aus der Vergangenheit, wie etwa den Angriff auf das ThyssenKrupp-Netzwerk. Die Tatsache, dass der Informationsverbund Berlin-Bonn (IVBB), ein Datennetzwerk für die Kommunikation der Bundesbehörden in Bonn und Berlin, kompromittiert wurde, veranlasst Viele zu Vermutungen, welcher Art die gestohlenen Informationen sein könnten. Spekulationen dazu sind allerdings zu diesem Zeitpunkt nicht zielführend. An den Informationverbund sind die obersten Bundesbehörden angeschlossen, darunter der Bundestag, Bundesrat, das Bundeskanzleramt und die Bundesministerien. Ohne eine offizielle Stellungnahme aus Regierungskreisen wird es allerdings weiterhin bei Vermutungen bleiben.
Wie es zum Einbruch kommen konnte
Bisher ist bekannt, dass Schadsoftware für den „Einbruch“ genutzt wurde. Es ist davon auszugehen, dass deren Einsatz einen hohen Grad an Sachkenntnis voraussetzt. Wie genau der Angriff auf das Regierungsnetz ablief, ist ebenfalls noch unklar – die diesbezüglichen Ermittlungen dauern noch an. Die Netzwerke, die von der Bundesregierung genutzt werden, sind natürlich auf einem höheren Sicherheitslevel angesiedelt. Unter Anderem werden bestimmte Systeme vollständig vom Rest des Internets isoliert, um es Eindringlingen zu erschweren, diese zu kompromittieren.
Wie in jedem Netzwerk gibt es auch im Regierungsnetzwerk Schwachstellen, die man ausnutzen kann. Wie Sicherheitsexperten immer wieder anmerken, gibt es „das sichere Netz“ nicht. Ziel aller Sicherungsmaßnahmen kann es daher nur sein, ein Eindringen so schwer zu machen, wie es dem Schutzbedarf angemessen ist. Mit ausreichender Motivation und mit genug finanzieller Unterstützung ist es jedoch nur eine Frage der Zeit, bis ein Netzwerk kompromittiert wird.
Was ist der "IVBB"?
Alle 14 obersten Ministerien des Bundes sind im so genannten „Informationsverbund Berlin-Bonn“ organisiert. Hier handelt es sich um eines der Netze, die von der Bundesregierung benutzt werden. Daneben setzt auch der Bundestrag, der Bundesrat, der Bundesrechnungshof sowie Sicherheitsbehörden auf diese Infrastruktur. Im Prinzip handelt es sich bei IVBB um ein Netzwerk, auf das es von außen keinen Zugriff über das Internet gibt, da hier vertrauliche und kritische Informationen verarbeitet werden. In der Theorie ist ein komplett abgeschottetes Netzwerk durchaus sicher – allerdings erfordert der Tagesbetrieb zumindest Schnittstellen vom nicht-öffentlichen ins öffentliche Netz – sei es, um Informationen auszutauschen oder E-Mails zu versenden.
„Ross und Reiter nennen“ – wer war es denn nun?
Wann immer über einen spektakulären Hack berichtet wird, möchte natürlich jeder – vor allem die Betroffenen – gerne wissen, von wem der Angriff ausging und es wird wild spekuliert. Auch, wenn diese Information momentan heiß begehrt ist, wäre es derzeit unklug, sich bereits jetzt auf einen einzigen Verdächtigen einzuschießen. Es gibt zwar Hinweise, die von den verwendeten Werkzeugen auf eine Gruppierung aus Osteuropa als Urheber des Einbruchs hindeuten – allerdings gibt es auch genauso berechtigte Gegenstimmen, die betonen, dass die Werkzeuge auch aus anderen Quellen zu beziehen sind. Die „Tatwaffe“ allein ist also als einziges Indiz möglicherweise ungeeignet.
„False Flag“ – gibt hier jemand den schwarzen Peter weiter?
Denkbar wäre auch, dass man bewusst versucht, den Verdacht auf besagte Gruppierung zu lenken. Experten nennen eine solche Vorgehensweise „False Flag Operation“. Das Prinzip ist einfach – Krimis bedienen sich häufig eines ähnlichen Musters: an einem Tatort bleiben gefälschte Beweise zurück, die den Verdacht auf einen anderen als den eigentlichen Täter lenken sollen. Solche Fälle hat es in der Vergangenheit auch schon gegeben – beispielsweise bei den Olympischen Spielen in Südkorea.
Generell sind Schuldzuweisungen in Fällen dieser Art schwierig – einige Beispiele dafür sind in einem unserer Blog-Artikel zum Thema „Advanced Persistent Threat“(APT) genannt. Was zunächst einfach aussieht, ist oft das genaue Gegenteil.
Was wir jetzt erwarten
Verständlicherweise wird nun von zahlreichen Stellen eine schnelle Aufklärung gefordert. Wir erwarten, dass in Kürze weitere Informationen veröffentlicht werden, die eine Neubewertung der momentanen Informationslage erforderlich machen. Wir werden sie an dieser Stelle auf dem Laufenden halten.
Update 2. März 2018, 9:30 Uhr - Wiedersehen mit einem alten Bekannten
Wie unter anderem die "Zeit" berichtet, handelt es sich bei der für den "Bundeshack" verwendeten Spionagesoftware um ein Werkzeug aus dem Arsenal der selben Gruppe, die mit "Uroburos" ins Rampenlicht trat.
Diese Spionagesoftware ist für G DATA keine Unbekannte - sie machte 2014 das erste mal öffentlich von sich reden, nachdem G DATA-Forscher über das Spionagewerkzeug berichteten und eine der ersten Analysen veröffentlichten.
Das hochentwickelte Spionagewerkzeug ist speziell für den Einsatz in gesicherten Netzwerken gedacht, die keine dauerhafte Verbindung zum Internet haben. Werkzeuge wie diese werden von deren Hintermännern sparsam eingesetzt, da deren primäre Aufgabe ist, eine längerfristige Präsenz in einem Netzwerk zu etablieren. Technische Details können Sie in unserem Analysereport zu "Cobra" nachlesen - einen allgemeinen Überblick bietet unser Artikel zu Uroburos sowie dessen Analyse.
Es scheint also, dass dieser spezielle Spionage-Werkzeugkasten weiterhin aktiv gepflegt und weiter entwickelt wird.
