Im Jahr 2015 wurden die IT-Systeme des deutschen Bundestages kompromittiert. Knapp drei Jahre später wird nun bekannt, dass das "Intranet" der Bundesrepublik über einen bislang unbestimmten Zeitraum von kriminellen Hackern heimgesucht wurde.
Foto: 4kclips - shutterstock.com
Was ist passiert?
Nach Berichten der Deutschen Presse Agentur und der Süddeutschen Zeitung soll der Informationsverbund Berlin-Bonn (IVBB) - die Systeme der obersten Bundesverwaltung also - im Rahmen eines APT-Angriffs kompromittiert worden sein. Dabei sollen nach Informationen der DPA Datensätze gestohlen und Schadsoftware installiert worden sein. Worum es sich hierbei konkret handelt und in welchem Umfang Daten abgeflossen sind, ist unklar. Entdeckt wurde der Cyberangriff offensichtlich bereits im Dezember 2017.
Prekär ist der Vorgang insbesondere deswegen, weil das IVBB zahlreiche Regierungsinstitutionen miteinander verbindet - zum Beispiel Bundeskanzleramt, Ministerien, Bundesrechnungshof, aber auch Sicherheitsbehörden und Geheimdienste. Es ist derzeit nicht abzusehen, ob im Rahmen des Hackerangriffs auch Hintertüren im Netzwerk platziert wurden, über die die Cyberkriminellen leicht erneut Zugang zum IVBB bekommen könnten.
Wer ist dafür verantwortlich?
Was die Angreifer angeht, konzentrierten sich die Gerüchte zunächst auf eine kriminelle Hackergruppe, die bereits in der Vergangenheit unter verschiedenen Namen aufgetreten ist (unter anderem APT28 oder auch Fancy Bear) und von vielen Security-Experten nicht nur geografisch mit Russland in Verbindung gebracht wird. Da die Attribution von kriminellen Cyberattacken in der Regel ein langwieriges und nicht gerade triviales Unterfangen ist, sind diese Anschuldigungen dennoch mit höchster Vorsicht zu genießen. Wie das Bundesinnenministerium inzwischen mitteilte, wurde bei dem Hackerangriff die Malware "Uroborous" in das IVBB eingeschleust.
Was die Verteidigung angeht, stand das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Verantwortung, um die IT-Systeme des IVBB zu schützen. Auf Twitter ließen entsprechende Reaktionen nicht lange auf sich warten:
Merkt ihr selbst, oder?! #APT28 pic.twitter.com/mhjXSWS9Bb
— Stefan Krabbes (@StefanKrabbes) 28. Februar 2018
Der Staat lässt sich ein Jahr lang ausspionieren. Aber hey, wir haben immerhin schon seit sieben Jahren ein schickes Logo für ein Nationales Cyber Abwehrzentrum. #APT28 pic.twitter.com/AxYKn8cQWm
— Dennis Knake (@dknake) 28. Februar 2018
Was sagt die Politik?
Vom Bundesinnenministerium ist bislang wenig zum Hackerangriff auf den Bund zu hören. Lediglich eine Bestätigung, dass der Angriff tatsächlich stattgefunden hat und untersucht wird, wurde herausgegeben. Christian Lindner (FDP) äußerte sich im Rahmen einer Nachrichtensendung zum Thema:
Konstantin von Notz (Bündnis 90/Die Grünen) kommentierte die Vorfälle auf Twitter:
Die Probleme im Bereich #ITSicherheit in Deutschland sind evident. Im KoaVertrag der #Groko spielt das Thema trotzdem keine Rolle. Der Staat hehlt mit Sicherheitslücken statt sie zu schließen. Es muss sich viel fundamental ändern. #RegHack
— Konstantin v. Notz (@KonstantinNotz) 1. März 2018
Andrej Hunko (Die Linke) hegt vor allem Zweifel über die Informationen, die zum Vorfall bislang an die Öffentlichkeit gedrungen sind:
"Cyberspione" der russischen Gruppe #APT28 seien zurück, "hieß es in Sicherheitskreisen", und sie hätten erfolgreich das deutsche Außen- und das Verteidigungsministerium angegriffen:https://t.co/ytW05jKnHo
— Andrej Hunko (@AndrejHunko) 28. Februar 2018
Ich melde hier mal Zweifel an. Oft entpuppte sich das als BfV-Propaganda.
Was sagen Security-Experten?
Auch Security-Anbieter und -Institutionen beschäftigen sich mit dem Hackerangriff auf das Regierungsnetz. Dabei sind die IT-Sicherheitsexperten noch zurückhaltend, wenn es um die Attribution der Cyberattacke geht.
Sicherheitsexperte Sandro Gayken vom Digital Society Institute gab als einer der ersten Experten seine Sicht der Dinge zum Besten:
"Sollte sich die Verbindung mit APT28 bestätigen, ist auch der Zusammenhang zu Russland klar, der wurde bereits in der Vergangenheit dokumentiert", stellt Bob Botezatu, Leitender Bedrohungsanalyst bei Bitdefender, klar. "Die Hackergruppe können wir geografisch mit sehr hoher Wahrscheinlichkeit Russland zuordnen. Wir wissen, dass ihr Schadcode in der Moskauer Zeitzone entwickelt wurde. Dazu gehören Russland, Georgien, Aserbaidschan. Von diesen Ländern hat nur Russland die Ressourcen, um einen solch ausgeklügelten Angriff auf ein hochgeschütztes IT-Netzwerk durchzuführen."
Myles Bray vom Security-Provider ForeScout zeigt sich von dem neuerlichen Angriff auf das deutsche Regierungsnetz hingegen wenig überrascht: "Obwohl es bereits 2015 zu erfolgreichen Angriffen gegen den deutschen Bundestag kam, ist die Verwundbarkeit und die schlechte Informationslage der Regierung kein Einzelfall. Im Gegenteil, die meisten Unternehmen wissen nicht, was in ihren Netzen vor sich geht."
Thomas Ehrlich vom Sicherheitsanbieter Varonis sieht das ganz ähnlich: "Der Angriff auf das Datennetz der Bundesverwaltung zeigt uns wieder einmal, dass es Cyberkriminellen (oder in diesem Fall wahrscheinlich Cyberspionen) immer wieder gelingt, den Perimeter zu überwinden und in Netzwerke einzudringen - egal wie gut diese geschützt sind oder als wie sicher sie gelten."
Benjamin Read, Senior Manager Cyber Espionage bei FireEye, hält es für nicht unwahrscheinlich, dass in der Tat die Cyberkriminellen von "APT28" hinter dem Hack stehen: "Die Gruppe führt Cyberspionage-Kampagnen durch, die nicht nur traditionellen Spionagezielen, sondern auch Einflussnahme-Operationen dienen. Bereits 2016 und 2017 haben wir festgestellt, dass APT28 auf verschiedene regierungsnahe Organisationen in den USA und Europa abzielte. Wir haben keine Einblicke in die Vorfälle in Deutschland, die Aktivitäten würden aber mit den bekannten Verhaltensmustern der Gruppe übereinstimmen."
Wie geht es jetzt weiter?
Das BSI und die Nachrichtendienste sind - wie unter anderem die SZ berichtet - derzeit damit beschäftigt, den Hackerangriff auf das Regierungsnetz zu untersuchen: "An dem Vorfall wird mit hoher Priorität und erheblichen Ressourcen gearbeitet", wird Ministeriumssprecher Johannes Nimroth zitiert.
Daneben sind inzwischen sowohl der Ausschuss Digitale Agenda, als auch das Parlamentarische Kontrollgremium des Bundestages zusammengetreten, um über den Hackerangriff zu beraten: