Sie sind hier:

Absehbarer Angriff - Schlamperei der Sicherheitsbehörden

Datum:

Der Hackerangriff auf das Regierungsnetz war absehbar. Die Behörden hätten spätestens nach dem Bundestagshack 2015 alarmiert sein müssen. Doch Konsequenzen zogen sie nicht.

Archiv: Hände über der Tastatur eines Laptops, aufgenommen am 21.02.2018
Quelle: imago

Der Angriff war erfolgreich und lief über mehrere Monate. Dabei galt das Netzwerk des Informationsverbundes Berlin-Bonn (IVBB) bei den Behörden und in der Politik als besonders sicher. Doch die Profis der Hackergruppe "APT28", die auch unter den Namen Sofacy, Fancy Bear oder Pawnstorm in Sicherheitskreisen bekannt ist, fanden offene Türen ins bundesdeutsche Regierungsnetz.

Schwachstellen waren bekannt

Diese Türen waren bekannt, als der Deutsche Bundestag im Sommer 2015 zum Reparaturbetrieb wurde. Nach dem erfolgreichen Hack auf Abgeordnete und Bundestagsverwaltung wurden im Reichstag und den umliegenden Büros Router ausgetauscht, Festplatten ersetzt, Betriebssysteme und Protokolle neu auf die Rechner der Abgeordneten und ihrer Mitarbeiter gespielt.

Dabei wurde klar: Die Online-Kriminellen der Sofacy-Gruppe waren tief in das Bundestagssystem eingedrungen, hatten es quasi übernommen. Und sie hatten nicht nur Daten von den Bundestagsservern gestohlen, sondern jede Menge Spionagesoftware zurückgelassen.

Spionagesoftware in zahlreichen Systemen

Diese Spionagesoftware steckte nicht nur in der Steuerungssoftware von Festplatten und Routern, sondern auch in den Schnittstellen zu anderen Computernetzen – unter anderem zum Regierungsnetzwerk namens Informationsverbund Berlin-Bonn.

Nach ersten Informationen über den Hack aufs Regierungsnetz scheint klar: Die Angriffe auf das Regierungsnetz sind ähnlich gelaufen wie die auf das Netz des Deutschen Bundestages. "Die Handschrift der Sofacy-Gruppe ist klar erkennbar", urteilt ein Sicherheitsexperte nach der ersten Schadensaufnahme.

Angriffsstruktur als wichtiges Indiz auf "APT28"

Ein wichtiges Indiz ist die Angriffsstruktur. Die Schadsoftware ist nicht beliebig auf alle erreichbaren Rechner im Netz verteilt worden. Vielmehr wurden zunächst Details über die installierte Software gesammelt.

Damit hatten die Hacker einen Überblick über Sicherheitslücken, die sie ausnutzen konnten. Die Sofacy-Gruppe arbeitet mit Schadsoftware wie X-Agent und Angriffssoftware aus der Rednit-5-Gruppe. Diese Spionagesysteme greifen über Schnittstellen aus anderen Netzen an.

Wie werden Hacker eines Cyberangriffs ermittelt?

Schnittstellen sind das Problem

Zur Unterstützung wird dann ein zweiter Angriff mit Mailattacken gefahren. Dabei gelangt Schadsoftware über Mailanhänge in die Systeme. Bereits nach dem Bundestagshack haben Sicherheitsexperten vor einer unzureichenden Absicherung der Schnittstellen des Regierungsnetzes gewarnt. Die werden im Wesentlichen durch Sicherheitsscans und Filter geschützt.

"Unternehmen würden das als Schutz ihrer Kronjuwelen nicht akzeptieren", meint ein frustrierter Sicherheitsberater, der nach dem Bundestagshack an einer Risikoanalyse im Auftrag der Bundesregierung mitarbeitete.

Modifizierte Standard-Software bietet wenig Sicherheit

Die Schnittstellen des Informationsverbundes Berlin-Bonn werden mit einer nur leicht modifizierten Standard-Steuersoftware betrieben. Das ist auf mehreren Sicherheitskonferenzen seit 2015 als kritisch eingeschätzt worden.

Spätestens seit dem Bundestagshack hätte das Sicherungskonzept des Regierungsnetzwerkes massiv überarbeitet werden müssen. Doch aus dem Bundestagshack haben die Verantwortlichen nicht gelernt.

Was sind eigentlich APT-Angriffe?

Die Website verwendet Cookies, um Ihnen ein bestmögliches Angebot zu präsentieren. Nähere Informationen und die Möglichkeit, die Verwendung von Cookies einzuschränken finden Sie hier.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Abonniert auf Mein ZDF! Abo beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert

Sie wechseln in den Kinderbereich und bewegen sich mit Ihrem Kinderprofil weiter.