News

Warum der Hackerangriff auf Thyssenkrupp kein Cyberangriff ist

In den vergangenen Tagen wurde in Medienberichten (bspw. hier bei der Wirtschaftswoche / lokale Kopie) von einen Hacking-Vorfall beim Unternehmen Thyssenkrupp berichtet, bei dem sensible Daten entwendet worden sein sollen. Belastbare Informationen über den tatsächlichen Vorfall sind rar, übereinstimmend berichtet Medien folgendes:

Indizien deuten darauf hin, dass die Cyberspione aus dem südostasiatischen Raum kommen und sich langfristig in den IT-Systemen einnisten wollten. Nahezu perfekt versteckten die Hacker in den IT-Systemen Backdoors, („Hintertüren“), um auf wertvolle Informationen zugreifen zu können. In den beiden attackierten Geschäftsbereichen flossen Datensätze ab (..)
(Q:Wirtschaftswoche / lokale Kopie)

Das Ziel der Angreifer bestand also aller Voraussicht nach in der Spionage von relevanten Informationen wie Geschäftsgeheimnissen und möglicherweise auch militärisch relevanten Informationen, also in dem verborgenen Agieren und Ausbreiten innerhalb eines IT-Systems zum Zwecke der Datenanalyse und des Datenabflußes. Spionage, oder wie hier Wirtschaftsspionage ist ein elementarer Bestandteil der globalen Ordnung, kommt vermutlich fast täglich vor und immer wieder ist von „Datenabflüssen“ bei Unternehmen zu lesen.

(mehr …)

[Kurz notiert] Engere Kooperation von EU und NATO bei Cyberverteidigung

Die NATO und die EU haben beschlossen im Bereich der Forschung zur Cybersicherheit bzw. zur Verteidigung gegen Cyberattacken enger zusammen zu arbeiten sowie stärker bei Übungen zu diesen Themenfeldern zu kooperien. Dies geht aus einer gemeinsamen Erklärung des  NATO Generalsekretärs Jens Stoltenberg und der Hohen Vertreterin der EU für Außen- und Sicherheitspolitik Federica Mogherini hervor (Q: nato.int / lokale Kopie). Grundlage dieser engeren Zusammenarbeit sei zum einen die Erkenntnis, dass der Cyberspace zunehmend Gefahrenpotential für die nationale Sicherheit birgt und zum anderen, dass weder die EU noch die NATO allein über genügend Ressourcen für eine ausreichende Verteidigung aufbringen können.

Der Schritt folgt dabei den Ergebnissen des diesjährigen NATO-Gipfels in Warschau und auch die EU hat entsprechende Schritte bereits im Vorfeld angekündigt. Der Schritt könnte aber durchaus auch im Kontext der Ankündigung des kommenden US-Präsidenten sein, der die EU stärker in die Pflicht bei der Verteidigungsplanung sein.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Innenministerium will offensive Cyberverteidigung

Einem Bericht der FAZ (Quelle / lokale Kopie) zufolge plant das Innenministerium eine Cybereinheit,  die innerhalb der kommenden drei Jahre aufgebaut werden soll und bei Cyberangriffe auf kritische Infrastrukturen auch offensiv fremde IT-Systeme angreifen können soll, um die von dort ausgehenden Angriffe zu beenden. Dieses Konzept der „active defense“ wird seit einigen Jahren in unterschiedlichen Gremien immer wieder diskutiert und wird unter Politik- und Informatik-Experten als hochkritisch angesehen. Auch innerhalb der Koalition ist der Vorschlag laut Medienbericht nicht unumstritten.

(mehr …)

Nachlese zum “Hackerangriff” auf das Telekom-Netz: Analyse und Implikationen

In der vergangenen Woche gab es im zentralen Netzwerk der deutschen Telekom massive Störungen, durch die zeitweise laut Meldungen des Unternehmens bis zu 900.000 Kunden betroffen waren. Die Telekom setzt seit einigen Jahren für ihre Produkte wie Internetzugang, Telefondienste sowie den Medienangeboten wie Streaming und Fernsehen auf Internet-vermittelte Dienste, die über ein gemeinsames Netzwerk verteilt werden. Dadurch wirkten sich die Störungen in diesem Netzwerk derart massiv für die betroffenen Kunden aus. Das Unternehmen aber auch Regierungsinstitutionen wie das BSI gingen nach ersten Analysen von einer systematischen Störung des Netzwerkes und später von gezielten Attacken gegen die Telekom aus. Dabei wurden gezielte Angriffe auf die DSL-Router der Telekom vermutet, also jene Geräte, die bei Endkunden verbaut sind um den Zugang zum Internet herzustellen. Man ging ursprünglich davon aus, dass gezielt Schwachstellen in diesen Router ausgenutzt wurden um deren Steuerung zu übernehmen, Schadsoftware zu installieren und die Router in ein Botnetz zu integrieren, dass – ähnlich wie das vor einigen Wochen für Angriffe gegen das US-Unternehmen Dync.om verwendete Botnetz Mirai – zum Großteil aus Geräten des “Internet of Things” bestehen sollte.

Mittlerweile ist durch IT-Sicherheitsexperten (bspw. bei comsecuris.com / lokale Kopie) die Ursache der Störung geklärt und dabei deutlich geworden, dass die Vermutungen über den Aufbau eines Botnetzes zutreffen, es sich mit hoher Wahrscheinlichkeit aber nicht um eine gezielte Attacke auf das Telekom-Netzwerk gehandelt hat. Statt dessen waren die von der Telekom an ihre Kunden verteilten Endgeräte auf Grund ihrer Programmierung für einen spezifischen Effekt anfällig, der im Augenblick im Internet durch Hacker versucht wird auszunutzen. Dabei prüfen Hacker mit sogenannten Port-Scans großflächig die im Internet erreichbaren Geräte (wozu auch die DSL-Router als Schnittstelle zwischen Internet und Heimnetzwerk zählen) auf Schwachstellen und versuchen dann mit Hilfe bekannter Sicherheitslücken diese anzugreifen. Solche Port-Scans sind dabei grundsätzlich reguläre und zulässig Anfragen an entfernte Geräte ob ein bestimmter Dienst zur Verfügung steht, ein Mechanismus der in dieser Form für die Funktionalität des Internets notwendig ist. Im konkreten Fall sollte eine Schwachstelle in bestimmten Modellen von DSL-Routern der Firma Zyxel ausgenutzt werden, die in der Form und Konfiguration von einem irischen IT-Provider bei dessen Kunden für die Fernwartung der Geräte eingesetzt wird. Die Schwachstelle und der Code zum Ausnutzen derselben wurde von einigen Tagen im Internet veröffentlicht und aktuell großflächig durch Hacker ausgenutzt und dabei auch die DSL-Geräte der deutschen Telekom gescannt. Obwohl diese Modelle für den Fehler selbst nicht anfällig sind, war die eingesetzte Software so programmiert, dass sie sich nach wiederholten, schnell aufeinander folgenden Scan-Versuchen einfach selbst vom Internet getrennt haben. Dies könnte seitens der Telekom als Schutzmaßnahme gedacht werden um bei massiven Attacken automatisch “die Reißleine zu ziehen”. In Folge dieser Programmierung und den weiter fortgeführten Scanversuchen durch die Angreifer trennten die DSL-Router immer wieder die Internet-Verbindungen und es kam zu den massiven Beeinträchtigungen, die erst durch ein komplettes Blockieren der Anfragen innerhalb des gesamten Telekom-Netzwerkes behoben werden konnten.

(mehr …)

In eigener Sache

Normalerweise erscheinen hier mindestens zwei Nachrichten pro Woche. Leider ist das aus traurigen familiären Gründen zur Zeit nicht möglich und dass, obgleich mit dem Cybersicherheitsgesetz, der „Hacker-Angriff“ auf die Telekom-Router und weiterem mal wieder viel passiert. Ich hoffe dass hier demnächst wieder mehr Inhalte entstehen. Bis dahin wünsche ich allen Lesern dieser Seite eine friedliche Advents-Zeit.

Donald Trump und die weitere Militarisierung des Cyberspace

Nach dem Wahlerfolg Donald Trumps wird nun viel gemutmaßt über die unterschiedlichen Aspekte seiner Politik – unter anderem auch deshalb weil insbesondere außen- und sicherheitspolitisch bislang wenig konkrete Informationen bekannt sind.

Da sich dieser Blog sich in erster Linie mit der Militarisierung des Cyberspace auseinandersetzt soll an dieser Stelle ein Blick auf die Konsequenzen der US-amerikanischen Cyber-Außen- und Sicherheitspolitik gewagt werden. Auch hierfür ist die Faktenlage denkbar dünn. Zum einen muss darauf verwiesen werden, dass bereits vor der Wahl beide Kandidaten darauf verwiesen haben, die militärische Stärke im Cyberspace auszubauen und mögliche Opponenten damit abzuschrecken. Im Oktober wurde außerdem bekannt, dass im weißen Haus Cyberattacken gegen Russland als Vergeltung für die Hacking-Attacken auf den Wahlkampf der demokratischen Partei erwogen wurden.

Mit Blick auf die Wahlkampfversprechen von Donald Trump wird deutlich, dass diese verschärfte Linie mit hoher Wahrscheinlichkeit weiter verfolgt und insbesondere die Offensiv-Fähigkeiten ausgebaut werden sollen (Seite online nicht mehr verfügbar, lokale Kopie aus dem Google Cache). Darin heißt es:Order the Secretary of Defense and Chairman of the Joint Chiefs of Staff to provide recommendations for enhancing U.S. Cyber Command, with a focus on both offense and defense in the cyber domain.

Order the Secretary of Defense and Chairman of the Joint Chiefs of Staff to provide recommendations for enhancing U.S. Cyber Command, with a focus on both offense and defense in the cyber domain.

Develop the offensive cyber capabilities we need to deter attacks by both state and non-state actors and, if necessary, to respond appropriately.
(Q: www.donaldjtrump.com)

Noch während des Wahlkampfes wurde Donald Trump mehrmals zu den Bedrohungen durch Cyberattacken und seinen Ansätzen für eine verbesserte Cybersicherheit befragt. Dabei wurde jedoch scheinbar vor allem deutlich, dass der Cyberspace für ihn keine besonders relevante Rolle spielt und diese Dinge über „the Cyber“ Thema der Jugend sind (exemplarisch: „Trump’s Incoherent Ideas About ‘the Cyber’“ in The Atlantic / lokale Kopie). Andererseits hat Donald Trump in einer Rede von Anfang Oktober (Q: fcw.com / lokale Kopie) darauf verwiesen, dass Cybersicherheit eines der Themen mit Top-Priorität für ihn ist und er unmittelbar mit Amtseinführung ein „Cyber-Review-Team“ bilden will aus Vertreter der Wirtschaft und dem Militär um die Gefahren durch Cyberattacken auf kritische Infrastrukturen zu analysieren und Sicherungsmaßnahmen zu entwickeln. Politische Beobachter gehen aktuell davon aus, dass sich insbesondere im weiteren Umgang mit den mutmaßlich russischen Cyberattacken zeigen wird, wie Donald Trump dieses Thema bewertet und welche konkreten Maßnahmen ergriffen werden.  Möglicherweise wird damit auch das Thema der nuklearen Abschreckung erneut an politischer Relevanz bekommen, eine Option die bereits im Nachgang von Stuxnet als mögliche Verteidigungsstrategie gegen die zunehmenden Cyberattacken debattiert worden ist (eine ausführliche Erörterung eines entsprechenden Vorschlages des US Defense Science Boards hier bei armscontrolnow.org / lokale Kopie).

[Kurz notiert] Updates der Datenbank relevanter Cybervorfälle

Die Datenbank relevanter Cybervorfälle, die auf dieser Seite neben den News als zentrale Analysen-Sammlung und Quellen-Ressource aufgebaut und kontinuierlich aktualisiert wird, hat ein Update um drei neue Einträge erhalten.

Die Vorfälle selbst liegen dabei bereits eine ganze Weile zurück, spielen in den Debatten um die Militarisierung des Cyberspace und das Ausmaß konkreter militärischer Attacken in dieser Domäne neben Stuxnet immer wieder eine wichtige Rolle als historische Referenzen.

Ansonsten können sehr gern Tipps und Hinweise abgegeben werden, über wichtige Inhalte die hier fehlen oder Ereignisse, die noch nicht aufgenommen worden sind.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

[Kurz notiert] Gespräche über Cyberspionage zw. China und Deutschland

Presseberichten zufolge soll es bei dem Besuch des Besuch chinesischen Vorsitzenden der Parteikommission für Politik und Recht, Meng Jianzhu, der in dieser Woche in Berlin stattfindet unter anderem auch um die Eingrenzung der Cyberspionage gehen (Q: heise.de / lokale Kopie). Das Thema war bereits im Sommer dieses Jahres Gegenstand der Deutsch-Chinesischen Regierungskonsultationen (Q: Bundesregierung.de / lokale Kopie). Ziel ist es offenbar, angesichts der wirtschaftlichen und sicherheitspolitischen Bedeutung des Cyberspace geeignete Regeln und Verfahrenswege zu finden um die Cyberspionage einzugrenzen und entsprechende Maßnahmen koordinieren zu können:

Beide Seiten sind sich bewusst, dass der Cyberraum Entwicklung von Wirtschaft und Gesellschaft fördert, aber zugleich auch Risiken und Herausforderungen für die Datensicherheit, das geistige Eigentum und den Schutz von Geschäftsgeheimnissen mit sich bringt. Beide Seiten wollen beim Angehen dieser Herausforderungen die Zusammenarbeit intensivieren, auf der Grundlage des jeweiligen nationalen Rechts Handlungsfelder zur Zusammenarbeit bei der Bekämpfung von Cyberkriminalität identifizieren, böswilligen Cyberaktivitäten vorbeugen sowie den Aufbau eines Cyberraums des Friedens, der Sicherheit, der Offenheit und Kooperation vorantreiben.

Beide Seiten haben sich darauf verständigt, dass sie die Verletzung von geistigem Eigentum, Handels- oder Geschäftsgeheimnissen unter Verwendung des Cyberraums zur Erlangung von Wettbewerbsvorteilen für ihre Unternehmen oder kommerzielle Sektoren weder betreiben noch wissentlich unterstützen. Beide Seiten werden im Einklang mit ihren internationalen Verpflichtungen und innerstaatlichen Gesetzen die entsprechenden Rechte und Interessen schützen.

Beiden Seiten erkennen an, dass die Vereinten Nationen bei der Festlegung von Standards für den Cyberraum eine entscheidende Rolle spielen und bemühen sich im Rahmen der Vereinten Nationen, international akzeptierte Standards für verantwortungsvolles Staatenverhalten im Cyberraum voranzutreiben. Um die oben genannten Übereinkünfte umzusetzen, die Zusammenarbeit zu verstärken und in der Zusammenarbeit eventuell auftretende Probleme zu lösen, errichten beide Seiten einen Konsultationsmechanismus, an dem die zuständigen Stellen beteiligt werden. (Q: Bundesregierung.de / lokale Kopie)

Darüber hinaus soll es aber auch um Sicherheitsbedenken gehen, die deutsche Unternehmen beim Einkauf von IT-Produkten oder Bauteilen aus China haben und bei denen die chinesische Regierung unter anderem den Zugriff auf Verschlüsselungs-Daten oder andere sensitive Information erhebt. Mit den Gesprächen folgt die deutsche Regierungen dem Vorbild der USA, die seit langem versuchen in Verhandlungen mit China zu entsprechenden Vereinbarungen zu gelangen.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

[Kurz notiert] ShadowBroker leaken Liste von mutmaßlich NSA-gehackten Systemen

Die Hackergruppe „ShadowBroker“, die vor einigen Monaten bereits eine Liste von mutmaßlichen NSA-Hacking-Werkzeuge teilweise veröffentlicht und weiteres Material zum Kauf angeboten hatte, hat unlängst weitere Informationen geleakt. In einer Meldung vom 30.10.2016 werden Dokumente zum Download verlinkt (Q: medium.com / lokale Kopie), die Listen von IT-Systemen und Servern enthalten sollen, die von der, der NSA zugerechneten Equation Group infiltriert worden sein sollen. Die Listen enthalten neben den Namen und IP Adressen auch Angaben über die Software-Versionen der Systeme sowie Zeitstempel. Eine einfache Liste der gehackten Systeme findet sich hier.  Da sich die Echtheit der vor einigen Monaten enthüllten Hacking-Werkzeuge und der dabei ausgenutzten Sicherheitslücken bewahrheit – und hektische Patch-Wellen namhafter Netzwerk-Ausrüster ausgelöst hatten –  sollten die jetzt veröffentlichten Leaks ernst genommen werden. Reaktion der betroffenen Unternehmen und möglicherweise auch staatlichen Institutionen sollten nicht lang auf sich warten lassen.

Eine genaue Dokumentation des gesamten Vorfalls ist hier in der Datenbank relevanter Cybervorfälle mit den entsprechenden Quellen und weiteren Ressourcen zu finden.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Cyber-Reserve, Cyber-Söldner und zivile Unterstützung für die Bundeswehr

Die Süddeutsche Zeitung (lokale Kopie) berichtet von einem aktuell noch intern verhandelten Strategiepapier des BMVg demzufolge der neue Cyber-Bereich der Bundeswehr auch durch zivile Reserve-Kräfte unterstützt werden soll. Diese Vorschläge wurden bereits im Umfeld der Veröffentlichung des Aufbauberichts des neuen Cyber-Organisationsbereich mit Blick auf die Schwierigkeiten der Personalgewinnung geäußert und auf Wirtschaftskooperationen verwiesen, sowie auf Überlegungen zu “ungewöhnliche Karrierewegen”. Diese Planungen werden nun offenbar konkretisiert.

Laut dem internen Papier auf dass sich die Zeitung beruft soll zu Ende 2017 eine Cyber-Reserve mit 100 bis 200 Personen eingerichtet werden, die neben ehemaligen “IT-nahen” Bundeswehrpersonal, Umsteigern innerhalb der Truppe, auch “Freiwillige mit herausragenden (Programmier-)Fähigkeiten, Studierende, Angehörige von Nicht-Regierungsorganisationen, Vereinen oder Verbänden, sonstige Talente oder Freiberufler” umfassen soll. Ferner soll dieser Verband durch operative sowie Führungs-IT-Kräfte aus der Wirtschaft ergänzt werden, wobei der Bericht betont, dass man nicht mit Unternehmen um Fachkräfte konkurrieren sondern statt dessen mit ihnen kooperieren möchte. Dabei sollen auch kurzfristig Fachkräfte und Beratungsleistungen eingekauft werden.

(mehr …)