Nachrichten
Berlin. Ausländische Hacker sind offenbar in das Datennetzwerk des Bundes und der Sicherheitsbehörden eingedrungen. Dabei ist Schadsoftware eingeschleust worden. Es hat wohl auch bereits Versuche gegeben, Datenmaterial „abzusaugen“. Dies berichtete am gestrigen Mittwoch (28. Februar) zuerst die Deutsche Presse-Agentur (dpa). Das Bundesinnenministerium bestätigte danach in einer Stellungnahme den gravierenden IT-Sicherheitsvorfall. Die Agentur hatte zunächst gemeldet, dass unter anderem das Auswärtige Amt und das Verteidigungsministerium von dem Hacker-Angriff betroffen seien. Inzwischen sollen jedoch Recherchen von Spiegel und anderen Medien übereinstimmend ergeben haben, dass das Verteidigungsministerium und die Bundeswehr wohl nicht gehackt worden sind. Am heutigen Nachmittag (1. März) informierte dpa schließlich darüber, dass das Verteidigungsministerium „von der Attacke nur mittelbar“ betroffen gewesen sei. Auf dem Computer eines Verbindungsmannes des Auswärtigen Amtes im Wehrressort seien Aktivitäten der Angreifer aufgespürt worden, so die Nachrichtenagentur. Der PC dieses Mitarbeiters sei mit dem System des Auswärtigen Amtes verbunden gewesen.
Medienberichten vom heutigen Donnerstag zufolge hat wohl „ein ausländischer Geheimdienst“ die deutschen Sicherheitsbehörden auf die Hacker-Aktivitäten im Datennetzwerk des Bundes aufmerksam gemacht. Dieser Hinweis sei am 19. Dezember erfolgt. Mitte Januar hätten die deutschen Behörden dann die Angriffe tatsächlich verifizieren können. Sicherheitskreise hätten jetzt dargelegt, dass „die Hacker-Attacke mutmaßlich bereits seit Ende 2016 im Gange und sehr langfristig angelegt“ gewesen sei.
Das Bundesinnenministerium in seiner Stellungnahme vom Mittwoch: „Wir können bestätigen, dass derzeit durch das BSI [Anm.: Bundesamt für Sicherheit in der Informationstechnik] und die Nachrichtendienste ein IT-Sicherheitsvorfall untersucht wird, der die Informationstechnik und Netze des Bundes betrifft. […] In dem Zusammenhang sind derzeit keine betroffenen Stellen bekannt, die außerhalb der Bundesverwaltung liegen. Innerhalb der Bundesverwaltung wurde der Angriff isoliert und unter Kontrolle gebracht. An dem Vorfall wird mit hoher Priorität und erheblichen Ressourcen gearbeitet. […] Nähere Details können zu diesem Zeitpunkt wegen der noch laufenden Analysen und Sicherungsmaßnahmen nicht öffentlich bekannt gemacht werden.“
Sichere Kommunikation zwischen Bundesbehörden und Verfassungsorganen
Ziel des Hacker-Angriffs war und ist das Datennetz der Bundesverwaltung, der Informationsverbund Berlin-Bonn (IVBB). Der IVBB ist die Kommunikationsinfrastruktur für die zuverlässige und sichere Sprach- und Datenkommunikation zwischen den obersten Bundesbehörden und Verfassungsorganen in Berlin und Bonn. Eingerichtet wurde die Plattform in Folge des Umzugs des Bundestages und der Bundesregierung von Bonn nach Berlin. Der IVBB unterstützt die arbeitsteiligen Regierungsfunktionen zwischen den beiden Standorten mittels moderner und sicherer Informations- und Kommunikationstechnologie.
Nutzer des IVBB sind Bundestag, Bundesrat, Bundeskanzleramt und Bundesministerien, Bundesrechnungshof sowie Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten.
Die laufende Fortschreibung des IT-Sicherheitskonzepts des IVBB ist Aufgabe des BSI. Hinzu kommen verschiedene Aufgaben in der Betriebsüberwachung und Weiterentwicklung der Kommunikationsinfrastruktur.
Verantwortlich für die Attacke auf die Rechner des Bundestages 2015
Die deutschen Sicherheitsbehörden gehen – so Berichte in den Leitmedien – von „russischen Hackern mit staatlichem Hintergrund“ als Urheber der Angriffe auf das deutsche Regierungsnetz aus. In Verdacht geriet zunächst die russische Hacker-Gruppe „APT28“ (APT: Advanced Persistent Threat/„Fortgeschrittene andauernde Bedrohung“).
Die Abkürzung „APT28“ geht auf einen Report des auf Netzwerksicherheit spezialisierten US-Unternehmens FireEye zurück, der 2013 erschienen ist. Unter dem Titel „APT28: A Window into Russia’s Cyber Espionage Operations?“ („Die Gruppe APT28: Ein Blick auf die Cyber-Spionage-Operationen Russlands?“) skizzierte FireEye die Aktionen der Hacker-Gruppe, die unter anderem auch für die Attacke auf die Bundestagsrechner im Jahr 2015 verantwortlich gewesen sein soll. „APT28“ soll nach Informationen westlicher Geheimdienste auch bereits Regierungsnetzwerke in Osteuropa, NATO-Netzwerke sowie Netzwerke von US-Rüstungsfirmen wie Boeing oder Lockheed Martin geknackt haben.
FireEye sammelte in seinem Report eine Reihe technischer Charakteristika in den Protokollen der Angriffe, mit denen „APT28“ – auch bekannt als „Sofacy Group“ oder „Fancy Bear“ – identifiziert werden konnte. „APT28“, seit etwa 2004 aktiv, wird nach Einschätzung deutscher Sicherheitskreise von den russischen Geheimdiensten FSB (Inlandsgeheimdienst) und GRU (Militärnachrichtendienst) geführt.
Eine der bisher „komplexesten Cyberspionage-Kampagnen“
Mittlerweile ist auch eine andere russische Hacker-Gruppe in den Fokus gerückt. Laut dpa könnte eine unter dem Namen „Snake“ agierende Gruppe hinter dem Angriff auf das bundesdeutsche Datennetzwerk stecken. Über das Vorgehen von „Snake“ erklärt der Antivirus-Spezialist Kaspersky in einem Sicherheitsbulletin: „Snake – auch bekannt als „Turla“ oder „Uruburos“ – ist eine der komplexesten laufenden Cyberspionage-Kampagnen. Die neueste Forschung [des Unternehmens Kaspersky Lab] hierzu zeigt, dass Epic die erste Phase des Turla-Infektionsmechanismus darstellt. Die Ziele von Epic lassen sich in folgende Kategorien aufteilen: Regierungsbehörden (Innenministerium, Wirtschaftsministerium, Außenministerium, Geheimdienste), Botschaften, Militäreinrichtungen, Forschungs- und Bildungsorganisationen und Pharmazieunternehmen.“
Die meisten Opfer dieser Hacker-Angriffe befänden sich im Nahen Osten und in Europa, so das Softwareunternehmen, das seinen Sitz in Moskau hat und einer der größten Anbieter von Sicherheitssoftware für Endgeräte weltweit ist.
Bei ihren Angriffen versuchten die Hacker ihre Opfer durch sogenannte Watering-Hole-Attacken zu infizieren. Kaspersky erklärt dazu: „Als ,Watering Holes‘ werden Webseiten beschrieben, die häufig von potenziellen Opfern besucht werden. Diese Webseiten werden durch die Angreifer präpariert, indem sie schädlichen Code in die Seite injizieren. Abhängig von der IP-Adresse des Besuchers – wenn also beispielsweise die IP einer Regierungsbehörde erkannt wird – stellen die Angreifer Java- oder Browser-Exploits, signierte, aber falsche Adobe Flash Player-Software oder eine gefälschte Version der Microsoft Security Essentials bereit.“
Technisch äußerst anspruchsvoll und von langer Hand geplant
Bundesinnenminister Thomas de Maizière äußerte sich am heutigen Nachmittag in einem Pressestatement zum Cyberangriff auf den IVBB: „Es handelt sich bei dem technisch anspruchsvollen und von langer Hand geplanten Angriff auf die Kommunikationsnetze der Bundesregierung um einen ernst zu nehmenden Vorgang. Er belegt, was wir seit langem wissen und sagen: Verschiedenste Akteure gefährden die Cybersicherheit aus unterschiedlichsten Interessen heraus. Die Sicherheit im Cyberraum ist daher für die Bundesregierung insgesamt ein sehr hohes Gut. Wichtige Fortschritte konnten in den letzten Jahren erreicht werden. Selbstverständlich steht dabei gerade die Sicherheit der Regierungskommunikation im besonderen Fokus. Auch der aktuelle Vorgang ändert nichts an dem klaren Befund: Deutschland ist hier gut aufgestellt und hat mit dem IVBB eines der sichersten Regierungsnetzwerke der Welt.“
Der aktuelle Vorgang zeige auch, dass die deutschen Sicherheitsbehörden erfolgreich gearbeitet hätten, meint de Maizière. Es sei ein Erfolg, dass der Hackerangriff auf das Netz des Bundes isoliert und unter Kontrolle gebracht werden konnte. „Der hoch professionelle Angreifer wurde dabei – kontrolliert von den Sicherheitsbehörden – beobachtet, um weitere Erkenntnisse über den Angriffsmodus und Zielsetzung des Angreifers zu erhalten und fallgerechte Sicherheitsmaßnahmen im IVBB und bei den betroffenen Behörden einzuleiten. Diese Maßnahmen sind noch nicht abgeschlossen“, teilte der Minister mit.
Experten des BSI sind derzeit damit beschäftigt, eine entscheidende Frage zu klären. Ist es den Angreifern gelungen, technische Hintertüren in den Netzwerken zu platzieren? Nur wenn diese entfernt werden, ist es möglich, die Hacker permanent aus den Netzen zu verdrängen. Ansonsten könnten sie über diese Hintertüren das Netzwerk erneut betreten.
Nach Angaben des Bundesinnenministeriums soll es inzwischen offenbar gelungen sein, die Hacker „innerhalb der Bundesverwaltung“ zu isolieren. Der Angriff sei deshalb nun unter Kontrolle. Die Hacker seien zwar weiterhin in den Netzen, könnten sich aber jetzt nicht mehr frei und unbeobachtet bewegen. IT-Experten müssen nun hinterlassene Trojaner und Viren entfernen.
FDP scheitert mit ihrem Antrag für eine Aktuelle Stunde im Bundestag
Am heutigen Donnerstag befasste sich bereits das Parlament in zwei Sitzungen mit dem Hacker-Angriff auf den IVBB. Zum einen wurde das Parlamentarische Kontrollgremium unterrichtet. Zum anderen traf sich der Ausschuss „Digitale Agenda“ zu einer Sondersitzung. Am morgigen Freitag werden mehrere Bundestagsausschüsse über die Cyber-Attacke beraten.
Eine von der FDP beantragte Aktuelle Stunde im Bundestagsplenum zu diesem Thema wird es nicht geben. Dazu Marco Buschmann, Erster Parlamentarischer Geschäftsführer der FDP-Fraktion: „Nachdem die Abgeordneten von dem erfolgreichen Hackerangriff auf das Regierungsnetzwerk aus den Medien erfahren mussten, hat die FDP-Fraktion der Aufklärung oberste Priorität eingeräumt. Umso bedauerlicher ist es, dass eine Aktuelle Stunde dazu von der AfD verhindert wurde. Ebenso unrühmlich ist, dass Union und SPD einer vereinbarten Debatte im Bundestag widersprochen haben. Man kann sich des Eindrucks nicht erwehren, dass ein ernstzunehmender Cyberangriff möglichst verdrängt werden soll. Offenbar sind mögliche Urheber und die erfolglose Abwehr derart unangenehm, dass AfD, Union und SPD eine offene Debatte verhindern wollen.“
Präventive IT-Schläge auf identifizierte Rechner bald kein Tabu mehr?
Zum Schluss noch einige Kommentare regionaler und überregionaler Tageszeitungen zur aktuellen Hacker-Attacke auf das Datennetz der Bundesregierung.
Dirk-Ulrich Brüggemann rührt mit seinem Kommentar in der Neuen Westfälischen an einer Grundsatzfrage. Er schreibt: „Der Kampf gegen die dunkle Seite der Macht in der Computerwelt ist kein einfacher. Die Guten haben häufig das Nachsehen, denn sie sind immer einen Schritt zurück. Sie sind zum Reagieren verdammt. Während die Hacker ständig agieren und ihre schädlichen Quellcodes in fremde Rechner einschleusen, sitzen die Männer und Frauen der Cyberabwehr in Lauerstellung und fahnden nach fremden Datenspuren in ihren Netzwerken. Selbst aktiv werden dürfen sie nicht. Die deutsche Rechtsprechung erlaubt kein ,Hack back‘. Leider. Die Bundesregierung ist bisher gescheitert, Versuche zu legalisieren, um bei Angriffen im Internet zurückschlagen zu dürfen. Viele Experten warnen zudem vor aktiven ,Back Hacks‘, weil sie der Ansicht sind, dies führe nur zu einer weiteren Eskalation und würde letztlich keine Angriffe auf kritische Infrastrukturen wie Elektrizitäts- und Wasserwerke verhindern. Diese Entscheidung gilt es in der Zukunft zu überdenken. Es darf nicht sein, das auf der einen Seite die Sicherheitsbehörden ausgebremst werden und sich auf der anderen Seite die Hacker nicht um Gesetze scheren.“
Gregor Mayntz befasst sich in der Rheinischen Post ebenfalls mit dieser zentralen Fragestellung: „Soll Deutschland seine Position räumen, wonach auf Angriffe lediglich passiv reagiert wird? Wenn Akteure im Auftrag oder mit Wissen von Staaten fremde Regierungsgebäude digital stürmen, wenn ihre Schadsoftware gefährliche Stoffe freisetzt, Krankenhäuser blockiert und die Stromversorgung runterfährt, müssen wir dann abwarten, bis es passiert? Oder sollten identifizierte Rechner auch im Ausland lahmgelegt werden können, bevor die Angriffe starten? Präventive Schläge sind ein großer Schritt. Vor allem angesichts einer Verfassung, die die Vorbereitung eines Angriffskrieges verbietet. Aber das Grundgesetz entstand, als Polizei-Patrouillen und Panzer-Abschreckung zum Schutz der Bevölkerung reichten. Jetzt braucht es neue Antworten.“
Debatte über die Löwen und Lämmer im Cyberraum
Die Mitteldeutsche Zeitung gibt zu bedenken, dass die Gefahren und Risiken in den kommenden Jahren nicht geringer werden. „Manager der Digital-Konzerne und renommierte Wissenschaftler sprechen davon, dass wir erst ganz am Anfang der Digitalisierung stehen. Künstliche Intelligenz – eines der großen Zukunftsthemen für das autonome Fahren beispielsweise – kann nur funktionieren, wenn die Rechner über genügend Daten verfügen, die sie auch auswerten können. Attacken auf Unternehmen, die diese Daten nutzen? Sehr wahrscheinlich.“
Miguel Sanches fordert in der Westfalenpost: „Deutschland muss den Aufwand für Sicherheit erhöhen, nicht allein der Staat, sondern auch die Wirtschaft. Eine Exportnation hat etwas zu verlieren, Geschäftsideen und Patente sind die Kronjuwelen moderner Unternehmen. Die Militärs muss man nicht erst sensibilisieren. Desinformation war immer ein Mittel der Kriegsführung. Die Annexion der Krim, als die Präsenz russischer Truppen systematisch geleugnet wurde, führte der Welt vor Augen: Die Information selbst ist ein Angriffsziel. Gleichzeitig öffnet der Cyberraum auch die Möglichkeit für Sabotage, für das Lahmlegen von Waffensystemen und Infrastruktur. Die Russen nehmen gerade die Rolle des Bösewichts ein, aber die USA, China, Indien, Iran oder Israel sind genauso aktiv. Im großen Maßstab handelt die Debatte über den Cyberraum von Lämmern und Löwen. Es gibt Staaten, die weder das Know-how noch die technischen Mittel haben, sich und ihre Geheimnisse zu schützen. Das sind die Lämmer. Und es gibt die Löwen wie die USA und China, die sich jeden zur Beute machen können. Wozu Deutschland gehört, ist nicht entschieden.“
Heimtückischer Feldzug gegen freiheitliche Demokratien überall auf der Welt
Die Stuttgarter Nachrichten weisen mit dem Finger auf den Mann im Kreml: „Einmal mehr wird klar, dass Wladimir Putin in Ermangelung eines attraktiven Gesellschaftsmodells verstärkt auf die Macht des Destruktiven setzt: Wenn es ihm schon nicht gelingt, sein eigenes Land zu reformieren, führt der Ex-KGB-Mann – mit den Mitteln der Spionage, Sabotage und Einflussnahme – einen heimtückischen Feldzug gegen freiheitliche Demokratien überall auf der Welt. Offene, pluralistische Demokratien sind demgegenüber im Nachteil, verwundbar, aber nicht wehrlos. Es braucht Regierungen, die den Autoritären zur Not mit Gegenmaßnahmen drohen.“
Fast schon tröstlich ist da ein Gedanke des Straubinger Tagblatts: „Jetzt muss Deutschland mächtig Dampf machen beim Aufbau einer schlagkräftigen Anti-Hacker-Truppe. Die neue Bundesregierung muss auf diesem Gebiet liefern. Einstweilen bleibt nur ein kleiner Trost: Bulgarische Agenten mit vergifteten Regenschirmspitzen haben die freie Welt nicht in die Knie gezwungen. Hacker aus Russland oder Nordkorea werden es auch nicht schaffen.“
Redaktioneller NACHBRENNER
Kritik an der Informationspolitik der Bundesregierung zu dem jüngsten Cyberangriff auf das Regierungsnetzwerk IVBB wurde am Freitagmorgen (2. März) während der Sitzung des Ausschusses für Verkehr und digitale Infrastruktur geäußert. Dies berichtete später der Informationsdienst des Parlaments heute im bundestag (hib).
Es dürfe nicht sein, dass die Bundestagsabgeordneten erst durch Pressemeldungen auf den Vorfall aufmerksam gemacht würden, kritisierten laut hib mehrere Ausschussmitglieder.
Aus dem hib-Pressebeitrag: „Ein Vertreter des Bundesministeriums des Innern (BMI) rechtfertigte die ausgebliebene Information mit ,ermittlungstaktischen Gründen‘. Erste Hinweise auf eine Infektion habe es Mitte Dezember 2017 gegeben, sagte der BMI-Vertreter. Daraufhin sei sofort im unter Aufsicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stehenden Nationalen Cyber-Abwehrzentrum eine entsprechende Arbeitseinheit gebildet worden. Anfang Januar 2018 habe es dann etwas belastbarere Ergebnisse dafür gegeben, dass der Anfangsverdacht sich erhärten könne. Mitte Januar hätten sich die Erkenntnisse dann verdichtet, ehe man Mitte Februar erste Pläne habe machen können, um den Angreifer einzugrenzen und technische Lösungen zu entwickeln, durch die der Angreifer gestoppt und ausgesperrt sowie die Systeme bereinigt werden können.“
Wichtig, so zitiert hib den Ministeriumsvertreter weiter, sei es, zu erkennen, wie der Gegner arbeite. Nur so könne man bei einer späteren Reinigung sicher sein, dass der Angreifer nicht doch noch „irgendwo verborgen“ im System sitze. Daher sei entschieden worden, weiter zu beobachten. Aus diesem Grund sei auch das Parlament nicht früher informiert worden.
Durch die Presseveröffentlichungen, die nicht vom BMI initiiert worden seien, sei der Gegner informiert worden, beklagte der BMI-Vertreter laut hib im Ausschuss. Das, was vom BSI und den Sicherheitsbehörden bis dahin erkannt worden sei, habe man „eingrenzen und reinigen“ können. Nicht auszuschließen sei aber, dass sich der Gegner noch unerkannte Ausleitungswege geschaffen habe, die er nun unbemerkt löschen könne. Insofern sei ein Schaden entstanden, weil die weitere Aufklärungsarbeit an dieser Stelle habe gestoppt werden müssen, bedauerte der Ministeriumsvertreter hib zufolge.
Zu unserem Bildmaterial:
1. Der Hintergrund zeigt den Serverraum eines IT-Unternehmens. Einmontiert in das Foto ist der 2013 erschienene Special Report von FireEye über die russische Hacker-Gruppe „APT28“.
(Foto: amk; Bildmontage mediakompakt)
2. Eingangsbereich des Bundesamtes für Sicherheit in der Informationstechnik in Bonn.
(Foto: BSI)
Kleines Beitragsbild: Das Symbolbild zeigt eine Computertastatur mit kyrillischen Schriftzeichen.
(Foto: amk)
