Cyberkriminalität
01.03.2018, 07:04 Uhr
Hacker greifen deutsche Regierung an
Das geschützte Internet der deutschen Regierung ist gehackt worden. Die Behörden haben entsprechende Medienberichte bestätigt.
(Quelle: shutterstock.com/welcomia)
Das deutsche Innenministerium hat Medienberichte bestätigt, wonach Hacker das besonders geschützte Internetnetz deutscher Regierungsstellen attackiert haben. Das Ministerium sprach am Mittwoch von einem «IT-Sicherheitsvorfall». Betroffen war von dem offensichtlich erfolgreichen Angriff laut «Süddeutscher Zeitung» unter anderem das Auswärtige Amt.
Nach Informationen der Nachrichtenagentur DPA drangen ausländische Hacker in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden ein.
Cyber-Spione der russischen Gruppe «APT28» hätten erfolgreich das deutsche Aussen- und das Verteidigungsministerium angegriffen, hiess es in Sicherheitskreisen. Es sei Schadsoftware eingeschleust worden, die Angreifer hätten auch Daten erbeutet. Die Attacke sei von Sicherheitsbehörden im Dezember erkannt worden. Der Angriff sei da möglicherweise schon ein ganzes Jahr gelaufen.
Hinter «APT28» vermuten zahlreiche Computerfachleute auch russische Regierungsstellen. Und auch der Angriff auf das Parlament in Berlin im Jahr 2015 geht nach Erkenntnissen von Ermittlern auf das Konto dieser Gruppe.
Sicherheitsexperte spricht von «Super-Gau»
Mit dem Hacker-Angriff sei das Datennetz der Bundesverwaltung (IVBB) infiltriert worden, heisst es in den Kreisen. Seit Dezember bemühen sich die Behörden herauszufinden, wie tief die Hacker in das Regierungsnetz eingedrungen sind. Sollte das gesamte Datennetz des Bundes betroffen sein, käme dies einem «Super-Gau» gleich, dem «grössten anzunehmenden Unfall», sagte ein Sicherheitsexperte.
Die Ermittlungen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem für Spionageabwehr zuständigen Bundesamt für Verfassungsschutz (BfV) geführt. Auch der Bundesnachrichtendienst (BND) ist als Auslandsgeheimdienst eingebunden.
Indizien, aber keine Beweise
Das IVBB ist die besonders gegen Cyber-Angriffe geschützte Kommunikationsplattform der Bundesverwaltung. Nutzer sind das Kanzleramt und Ministerien, Bundesrechnungshof sowie Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten, aber auch das Parlament. Handfeste Beweise, dass es sich bei «APT28» um eine vom russischen Staat gelenkte Hacker-Gruppe handelt, sind wie fast immer in solchen Fällen schwierig. Es gibt aber Indizien dafür. Dies sind vor allem die angegriffenen Ziele und die verwendeten Server, von denen aus die Angriffe geführt werden.
So waren frühere Attacken von «APT28» gegen die Nato sowie Regierungsstellen und Journalisten in Osteuropa und im Kaukasus gerichtet - attraktive Ziele für russische Geheimdienstler. Die Abkürzung APT steht für Advanced Persistent Threat (etwa: fortgeschrittene andauernde Bedrohung).
Jeremy Jaynes Jeremy Jaynes war für den ersten amerikanischen Strafprozess gegen das Versenden von unerlaubten Werbemails verantwortlich. Mit Hilfe einer gestohlenen AOL-Datenbank, welche die Kontaktadressen von mehr als 90 Million Anwendern enthielt, belästigte er die Mitbevölkerung mit Spam-Mails. Monatlich verdiente er mit dieser illegalen Tätigkeit zwischen 400.000 und 750.000 US-Dollar. Schlussendlich wurde er im November 2004 schuldig gesprochen und sollte für neun Jahre ins Gefängnis. 2008 wurde er frühzeitig entlassen. Vielleicht bekommen Sie heute noch eine Mail von Jeremy, alias Gaven Stubberfield.
Täglich Hacker-Angriffe
Vor der Bundestagswahl im vergangenen September hatten Politiker und der Verfassungsschutz befürchtet, dass vertrauliche Daten aus dem Bundestag-Hack im Wahlkampf auf Enthüllungsplattformen wie Wikileaks auftauchen könnten. Eine Veröffentlichungswelle zur Manipulation der Wahl war aber ausgeblieben.
Die deutsche Bundesregierung registriert nach eigenen Angaben pro Tag etwa 20 hochspezialisierte Hacker-Angriffe auf ihre Computer. Einer pro Woche habe einen nachrichtendienstlichen Hintergrund, erklärte die Regierung in einer Antwort auf eine Anfrage der Linke-Fraktion. Zudem gebe es immer wieder Hinweise, dass russische Spione Mitarbeiter von Bundestagsabgeordneten anwerben wollten.
Kurzinterview: «APT28 können wir geografisch Russland zuordnen»
Bob Botezatu ist leitender Bedrohungsanalyst bei Bitdefender
Quelle: pd
Welche Techniken haben die Hacker eingesetzt?
Bob Botezatu: Vermutung eines Aussenstehenden: Es ist sehr wahrscheinlich, dass der Angriff mindestens drei Komponenten enthielt. Erstens genau ausgesuchte Ziele in den Regierungsbehörden, zweitens massgeschneiderte Hintertüren und drittens «Spear Phishing», also eine aufwändig und individuell für diesen Zweck erstellte E-Mail mit Schadcode. Bei solchen kombinierten Angriffsmechanismen sprechen IT-Sicherheitsspezialisten von Advanced Targeted Attacks, fortschrittlichen gezielten Attacken. Hacker nutzen sie, um Regierungen und militärische oder öffentliche Einrichtungen anzugreifen.
Wer war es?
Botezatu: Wir warten noch auf Informationen, aus welchem Grund der Vorfall mit der Hackergruppe APT28 in Verbindung gebracht wird. Während eine militärische Invasion über einen Satelliten nachverfolgt werden kann, ist es möglich, dass ein Cyber-Angriff genauso zerstörerisch ist, aber leise und ohne klar erkennbare Urheberschaft stattfindet. Sollte sich die Verbindung mit APT28 bestätigen, ist auch der Zusammenhang zu Russland klar, der wurde bereits in der Vergangenheit dokumentiert.
Kann man sicher sagen, dass APT28 von der russischen Regierung unterstützt wird?
Botezatu: Ganz so weit kann man nicht gehen. Aber die Hackergruppe APT28 können wir geografisch mit sehr hoher Wahrscheinlichkeit Russland zuordnen. Diese These wird von zahlreiche Security-Unternehmen unterstützt, darunter Bitdefender. Wir wissen, dass ihr Schadcode in der Moskauer Zeitzone entwickelt wurde. Dazu gehören Russland, Georgien, Aserbaidschan. Von diesen Ländern hat nur Russland die Ressourcen, um einen solch ausgeklügelten Angriff auf ein hochgeschütztes IT-Netzwerk durchzuführen.
