Image(Foto: dpa)
Mittwoch, 08. März 2018
Die
IT-Schwachstelle ist der Mensch
Die IT-Schwachstelle ist der Mensch
Von Benjamin Konietzny
Die aktuelle Cyber-Attacke trifft offenbar ein isoliertes, speziell
gesichertes Regierungsnetz, das IVBB. Dennoch finden Hacker einen
Zugang. Wie ist das möglich? Fragen und Antworten zum Angriff aufs
Auswärtige Amt.
Wer wurde angegriffen?
Von einem "IT-Sicherheitsvorfall" war gestern beim
Bundesinnenministerium die Rede. Die "Informationstechnik und Netze des
Bundes" seien betroffen. Nach einem Bericht der "Süddeutschen Zeitung"
ist unter anderem das Auswärtige Amt betroffen. Konkret soll bei dem
Angriff der Informationsverbund Berlin-Bonn (IVBB) infiltriert worden
sein, berichtet die Deutsche Presse-Agentur. Ein Sprecher des
Bundesamtes für Sicherheit in der Informationstechnik (BSI) wollte das
gegenüber n-tv.de weder bestätigen noch dementieren.
Was ist das IVBB?
Das IVBB, auch Regierungsnetz genannt, ist das speziell gesicherte
Netzwerk der Exekutive. Es wurde wegen des Umzugs der Regierung von Bonn
nach Berlin eingerichtet und soll den sicheren Datenaustausch zwischen
den angeschlossenen Behörden und Ministerien ermöglichen. Über den
Aufbau des Netzwerkes berichtete 2016 das Portal "netzpolitik.org" und
veröffentlichte Dokumente, aus denen hervorgeht, dass das IVBB auf
eigens konstruierter Hardware läuft.
Das IVBB galt bisher als sicher. Kurz nachdem 2015 der Bundestag gehackt
worden war, sagte Bundesinnenminister Thomas de Maizière mit Blick auf
das Regierungsnetz: "Der Schutzschild, den die Bundesregierung und die
Bundesverwaltung um sich gezogen haben, funktioniert, und
er
funktioniert ziemlich gut."
IT-Sicherheitsexperte Christian Polster sagt n-tv.de: "Der Sinn dieses
Netzwerkes ist eigentlich, dass genau so etwas nicht passieren kann."
Polster erstellt im Auftrag von Banken, Versicherungen und
Regierungsstellen IT-Risikobewertungen. "Aber anscheinend war es
möglich, ausgerechnet in diesem Netzwerk Schadsoftware zu integrieren."
Das IVBB läuft auf eigener Hardware und relativ isoliert von anderen
Netzen. Wie konnten die Hacker dennoch Zugang bekommen?
Die Schwachstelle sei der Mensch, so Polster. "Die Schwierigkeit dabei
ist die Frage, wer solche Netzwerke wartet", sagt er und führt aus:
"Mindestens der Administrator solcher Netze hat einen Remote-Zugriff und
kann von extern darauf zugreifen." Wenn ein Rechner, mit dem von extern
auf das Netzwerk zugegriffen wird, mit Schadsoftware infiziert werde,
dann könnten Hacker auch zu einem solchen, isolierten Netzwerk einen
Zugang finden.
Was haben die Hacker erbeutet?
Nicht viel, will die Deutsche Presse-Agentur aus Sicherheitskreisen
erfahren haben. Demnach dauerte die Attacke bis Mittwoch an und ist nach
Darstellung der Regierung inzwischen unter Kontrolle. Bei dem Angriff
seien keine großen Datenmengen abgeflossen, hieß es weiter.
"Hinter der Attacke dürfte das Motiv stehen, anderen Regierungen
Dokumente zuspielen zu können, die in bestimmten Situationen genutzt
werden können", sagt Polster. Aktuelle und vertrauliche Bewertungen von
Lagen im Ausland, von Konfliktherden - "das kann für entsprechende
Regierungen natürlich interessant sein".
Welche Maßnahmen wurden ergriffen?
Ein Sprecher des BSI bestätigte n-tv.de, dass eine Spezialeinheit namens
Mobile Incident Response Team (MIRT) entsandt worden sei, um vor Ort
eine Schadensanalyse zu erstellen. Die Experten durchforsten den
Datenfluss der betroffenen Netze und suchen nach Schlupflöchern, die
Hacker in den Netzwerken hinterlassen haben könnten. Auch wenn die
aktuelle Attacke abgewehrt wurde - durch Schlupflöcher und Hintertüren
könnten die Hacker die Netzwerke erneut betreten.
IT-Sicherheitsexperte Polster warnt jedoch: "Aus meiner Sicht kann man
nie hundertprozentig sagen, dass die Attacke vorbei ist. Wenn
beispielsweise auf einem privaten Rechner Schadsoftware wie Kryptolocker
fordert, dass man Geld zahlt, um den Rechner zu entsperren, dann ist der
Rechner danach wieder entschlüsselt, aber im Hintergrund läuft immer
noch ein Programm mit." Ähnliches gelte auch für ein Netzwerk wie das
IVBB. "Irgendwo in dem Verbund aus tausenden Rechnern mag es möglich
sein, dass ein Stück Schadsoftware weiterläuft. Und bis diese Software
anspringt, bleibt sie in einem Modus, in dem sie nicht erkannt werden
kann", erklärt Polster.
Woher kam der Angriff?
Verdacht "bei diversen EU-Regierungen"?
Wie groß Schaden und Ausmaß des Angriffs sind, ist bisher
unklar.28.02.18
Hinweis auf russische Spione
Bundesregierung wurde gehackt
In ersten Berichten war von "russischen Hackern" die Rede. Woher die
Attacke genau kam, ist jedoch bisher nicht offiziell bestätigt. In
Sicherheitskreisen heißt es, die Ermittler gingen von einem klassischen
Spionageangriff aus, bei dem die Cyberspione der Gruppe "APT28" recht
gezielt versuchten, an Daten zu kommen. Hinter "APT28" vermuten
zahlreiche Computerfachleute auch russische Regierungsstellen. Die
Gruppe hat mehrere Namen und wird auch Fancy Bear, Sofacy oder Tsar Team
genannt.
Wie geht es jetzt weiter?
Um 12.30 Uhr hält das Parlamentarische Kontrollgremium eine
Sondersitzung ab. Anschließend soll die Öffentlichkeit informiert
werden. Ein Sprecher des BSI sagte n-tv.de, dass ein umfassendes
Statement am Nachmittag veröffentlicht werden solle. Auch der
Digitalausschuss des Bundestages dürfte im Laufe des Tages zusammen
kommen. Ein Antrag auf eine Sondersitzung stieß fraktionsübergreifend
auf Zustimmung. Offiziell angesetzt war die Sitzung am Morgen allerdings
noch nicht.
Quelle: n-tv.de
https://www.n-tv.de/politik/Die-IT-Schwachstelle-ist-der-Mensch-article20314553htmll
Wenn
ich nicht mehr weiter weis, dann bilde ich einen Arbeitskreis, wenn
ich dann nicht weiter weis, bilde ich einen zweiten Arbeiskreis.....
Staaten
haben keine Freunde, nur Interessen
... seit Ende 2016 bis März 2018, eine sehr lange Zeit.
... Sicherheit ist ein dynamischer Prozess, was in den 90-ziger
Jahren des vorigen Jahrhunderts als sicher galt, ist heute
museumsreif.
... mit Übergängen zu öffentlichen Netzen und es wurde bereits in
den 90-ziger Jahren des vorigen Jahrhunderts errichtet.
Dann kann es sich nicht um ein isoliertes und speziell gesicherte Netz
handeln ?