Spionage: Angriff auf Bundesregierung dauert noch an
Der Angriff auf das vertrauliche Netzwerk der Bundesregierung dauerte wohl länger an, als bislang angenommen. Nach Darstellung der Deutschen Presseagentur (dpa), die zunächst über den Vorfall berichtet hatte, sei der Angriff "mindestens bis Mittwoch" aktiv gewesen. In Berlin werden sich mehrere Ausschüsse der Aufklärung annehmen, Politiker der Opposition kritisieren vor allem, dass sie nicht vorab von der Regierung über die Angriffe informiert wurden.
Angreifern war es bereits im vergangenen Jahr gelungen, das vertrauliche Kommunikationsnetzwerk des Bundes zwischen Berlin und Bonn zu infizieren, an das vor allem die Ministerien, das Kanzleramt und verschiedene Behörden angeschlossen sind. Unklar ist derzeit, was die berichtete "Infektion des Netzwerkes" wirklich bedeutet. Dieses Netzwerk wird von T-Systems betrieben und ist vom normalen Internet abgekoppelt. Um eine Kommunikation mit anderen Netzteilnehmern zu ermöglichen, gibt es allerdings besonders gesicherte Exchange-Punkte.
Bislang gibt es keine Hinweise darauf, dass tatsächlich Router oder andere Komponenten des Netzwerks infiziert wurden. Da die Angriffe vor allem im Auswärtigen Amt und möglicherweise im Verteidigungsministerium stattgefunden haben sollen, ist es wahrscheinlicher, dass dort einzelne Client-Rechner mit Malware infiziert wurden, über die dann Daten kopiert wurden.
BSI entsendete MIRT
Das BSI hatte nach Darstellung der Süddeutschen Zeitung(öffnet im neuen Fenster) ein Mobile Incident Response Team (MIRT) entsendet, um eigene Analysen durchzuführen. Dabei sei auch der ausgehende Netzwerkverkehr detailliert analysiert worden. Ob der Angriff wie berichtet auch das Verteidigungsministerium getroffen hat, ist bislang unklar.
Das Innenministerium hatte lediglich bestätigt, dass ein "IT-Sicherheitsvorfall untersucht wird, der die Informationstechnik und Netze des Bundes betrifft." Notwendige Schutzmaßnahmen seien bereits getroffen worden, auch sei der Angriff in den Netzen "isoliert" worden. Nach Angaben der Süddeutschen Zeitung hätten die Aufklärungsarbeiten dazu geführt, dass nicht näher benannte andere Projekte im BSI vorläufig zurückgestellt worden seien.
Der Angriff war von den Behörden im vergangenen Dezember entdeckt worden und dauerte zu diesem Zeitpunkt schon eine längere Zeit an, möglicherweise sogar ein ganzes Jahr. Der Angriff soll mindestens bis diesen Mittwoch angedauert haben, die Behörden haben also versucht, die Angreifer zu beobachten, um genauere Untersuchungen anstellen zu können.
Was also war die Motivation der Angreifer?
Angriff diente wohl der Spionage nach Dokumenten
Es deutet einiges darauf hin, dass die Aktion gezielt zur Spionage nach bestimmten Dokumenten gedacht und nicht so breit angelegt war wie der Angriff auf das Bundestagsnetzwerk im Jahr 2015. Der CDU-Politiker Patrick Sensburg sagte der dpa: "Den Unterschied sehe ich darin, dass noch zielgerichteter, man nennt das sogenannte 'Target Attacks', auf bestimmte Dokumente gegangen worden ist" .
Im Bundestag soll um 12:30 Uhr das Parlamentarische Kontrollgremium für die Überwachung der Arbeit der Geheimdienste zusammenkommen und beraten. Anschließend soll die Öffentlichkeit informiert werden. Am späteren Nachmittag soll dann möglicherweise auch der Bundestagsausschuss für Digitale Agenda in einer Sondersitzung zusammenkommen, Details dazu werden gerade beim Präsidium des Bundestages geklärt, wie Golem.de aus dem Parlament erfuhr.
Die Linken-Abgeordnete Anke-Domscheit-Berg zeigte sich verärgert, dass sie als "fachlich zuständige Abgeordnete" nicht informiert worden sei. Das "ist schon wirklich skandalös" , sagte sie der dpa. Der Grünen-Abgeordnete Konstantin von Notz, der auch Mitglied im PKGr ist, hatte gestern gesagt: "Auch wird die Frage zu klären sein, warum die Öffentlichkeit erst jetzt über den Angriff informiert wurde. Wenn nach den bisherigen, verheerenden Angriffen auf den Bundestag und andere nun auch das sehr viel besser geschützte Regierungsnetz und Ministerien betroffen sind, zeigt das, wie schlecht es um die IT-Sicherheit in unserem Land insgesamt steht."
Angreifer sollen aus Russland stammen
Hinter den Angriffen vermuten Sicherheitskreise die Gruppe APT28. Diese wird von einer überwiegenden Mehrheit der Sicherheitsfirmen und zahlreichen Geheimdiensten Russland zugeordnet. Möglicherweise wird die Gruppe direkt vom russischen Militärgeheimdienst GRU gesteuert. Bislang wurden keine Beweise für diese These veröffentlicht, es liegen auch keine technischen Indizien vor, die diesen Verdacht begründen.
Der russische Präsident Wladimir Putin streitet stets ab, dass Hacker im Auftrag des Landes aktiv sind. Im vergangenen Jahr sagte er : "Hacker sind unabhängige Menschen, die wie Künstler morgens gut gelaunt aufwachen und einfach anfangen zu malen." Er könne allerdings nicht ausschließen, dass diese aus "patriotischem Gemüt" Angriffe durchführten, die im Sinne der nationalen Interessen Russlands seien.
Die Sicherheitsfirma Fireeye geht davon aus, dass der Angriff noch deutlich breiter angelegt war und Ministerin in ganz Europa angegriffen wurden. Benjamin Read von Fireeye sagte der Welt(öffnet im neuen Fenster) : "Diese Erkenntnis haben wir aus sogenannten Spearphishing-Mails gewonnen, die unsere Sicherheitssysteme in den vergangenen Monaten bei diversen EU-Regierungen entdeckt haben." Man habe die betroffenen Regierungen gewarnt, die Erkenntnisse aber bislang nicht anderweitig veröffentlicht.
Nachtrag vom 1. März 2018, 16:43 Uhr
Die Mitglieder das Parlamentarischen Kontrollgremiums bezeichnen die Attacke als "veritablen Cyberangriff" bei dem ein erheblicher "Geheimnisverrat" stattgefunden habe. Weil der Angriff noch immer aktiv sei, würden keine Details bekannt gegeben. Der geschäftsführende Bundesinnenminister Thomas de Maizière sagte, es handele sich um einen "technisch anspruchsvollen und von langer Hand geplanten Angriff" , Deutschland sei aber an sich gut geschützt.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.