Am 28.02.2018 wurde durch Presseberichte, die sich auf Meldungen der DPA stützten, bekannt, dass deutsche Regierungsnetze Opfer einer Hacker-Attacke geworden sind. Unter anderem tagesschau.de (lokale Kopie) spricht von Hacking-Zugriffen auf IT-Systeme des Auswärtigen Amts und möglicherweise des Informationsverbund Berlin-Bonn (IVBB), dem zentralen IT-Netzwerk der Bundesregierung. Einer Stellungnahme des IVBB auf heise.de zufolge geht das Unternehmen selbst jedoch nicht davon aus betroffen zu sein (lokale Kopie). Darüber hinaus berichtet die NZZ (lokale Kopie) mit Bezug auf den schweizerischen Nachrichtendienst des Bundes (NDB), dass auch andere Staaten, darunter die Schweiz selbst betroffen sein sollen. Diese Vermutung werden auch in anderen Medien bestätigt, die unter anderem von Hacking-Zugriffen in „Skandinavien, Südamerika, die Ukraine und ehemalige Sowjet-Staaten“ sprechen. (heise.de / lokale Kopie). Der Hacking-Vorfall des deutschen Regierungsnetz soll am 19. Dezember 2017 nach Hinweisen ausländischer Dienste entdeckt und zu diesem Zeitpunkt bereits länger im Gange gewesen sein. Die FAZ berichtet (lokale Kopie), dass die Erstinfektion dem Ermittlungsstand zufolge über die Fachhochschule des Bundes für öffentliche Verwaltung erfolgt sein soll. Laut Berichten von heise.de (lokale Kopie) war die Schadsoftware seit mehr als einem Jahr auf den Rechnern der Fachhochschule verdeckt vorhanden, und wurde im Januar 2017 durch externe Steuerbefehle aktiv. Das bedeutet, dass zum „Aktivierungszeitpunkt“ mindestens ein weiterer Zugriffskanal bestanden haben muss. Update 10 (7.3.2018): Die Süddeutsche Zeitung berichtet (lokale Kopie), dass als „Kommunikationskanal“ eine modifizierte Version des Mailprogramm Microsoft Outlook benutzt wurde um Steuerbefehle in das abgeschlossene Netz zu schleusen und Daten daraus zu entwenden. Im März 2017 konnten dann 17 Rechner im auswärtigen Amt infiziert und per Root-Zugriff übernommen werden. Entgegen ersten Meldungen waren nicht die System des BMVg direkt betroffen sondern MitarbeiterInnen des Ministeriums arbeiteten an den infizierten PCs im Auswärtigen Amt. Außerdem berichten weitere Medien (lokale Kopie), dass über die betroffenen Netzwerk maximal Informationen der Sicherheitsstufe „Nur für den Dienstgebrauch“ (VS-NfD) ausgetauscht werden. Ob dies für die betroffenen Systeme im Außwärtigen Amt auch zutrifft ist bisland unklar. Wie heise.de mit Verweis auf andere Medien berichtet sollen die Angreifer das „Referat für Russland und Osteuropa im Auswärtigen Amt“ im Blick gehabt haben und dort sei es gelungen, „eine einstellige Zahl von Dokumenten zu kapern (..) Es handele sich um geringe Datenmengen“ (Q: heise.de / lokale Kopie).
Das BMI bestätigte den Hacking-Vorfall unmittelbar nach Bekanntwerden des Medienberichtes indirekt mit der folgenden Pressemitteilung:
„Wir können bestätigen, dass derzeit durch das BSI und die Nachrichtendienste ein IT-Sicherheitsvorfall untersucht wird, der die Informationstechnik und Netze des Bundes betrifft. Die Verantwortlichen in den betroffenen Behörden sind informiert und es wurden bereits geeignete Maßnahmen zur Aufklärung und zum Schutz getroffen. Das BSI stellt über die Netze des Bundes Schutz auch für die nichtbetroffenen Behörden bereit. In dem Zusammenhang sind derzeit keine betroffenen Stellen bekannt, die außerhalb der Bundesverwaltung liegen. Innerhalb der Bundesverwaltung wurde der Angriff isoliert und unter Kontrolle gebracht. An dem Vorfall wird mit hoher Priorität und erheblichen Ressourcen gearbeitet. Dabei verläuft die Zusammenarbeit zwischen allen beteiligten Sicherheitsbehörden und den betroffenen Behörden exzellent. Nähere Details können zu diesem Zeitpunkt wegen der noch laufenden Analysen und Sicherungsmaßnahmen nicht öffentlich bekannt gemacht werden.“
Erste Spekulationen über den Ursprung gingen in Richtung der Gruppe APT28, die bereits hinter dem Zugriff auf das IT-System des Bundestages Parlakom im Jahr 2015 vermutetet werden. Belastbare öffentliche Informationen für diese Mutmaßungen gibt es jedoch bislang keine, ein Experte des Unternehmens FireEye hegte in einem Interview mit der „Welt“ (lokale Kopie) mit Blick auf die APT28-Herkunft der Cyberattacke wenig Zweifel. Nach einer Sitzung des Geheimdienst-Kontrollgremium des Bundestages am 01.03.2018 wurde verlautbart (lokale Kopie), dass die Cyberattacke tatsächlich sogar noch laufe und man diese beobachte um Ziel, Motivation und Ursprung des Angreifers näher zu ermitteln. Tatsächlich handelt es sich dabei um eine gängige Methodik der IT-Forensik, einen entdeckten Angreifer zu beobachten, ihn durch vorgetäuschte und lukrativ erscheinende Ziele anzulocken (sog. Honeypots) oder ihm manipulierte Daten anzubieten, die sich dann leichter entdecken, nachverfolgen und identifizieren – und damit einem Angreifer zuordnen lassen. Ein solches Strategie würde zu den bisherigen Informationen passen, dass der Angriff zwar seit längerem bekannt ist, aber isoliert und überwacht weitergelaufen lassen wurde um Informationen zu sammeln. Sollte die Isolation den Fachleuten des BSI effektiv gelungen sein, dann wäre die Cyberattacke tatsächlich unter Umständen weniger katastrophal als es den Anschein hat. Da sich Spuren in IT-Systemen sehr gut aufzeichnen und damit nachverfolgen lassen – sofern man (1.) weiß das und (2.) wonach man suchen muss – könnte in diesem Falle die mutmaßliche Hackergruppe selbst „Opfer“ einer gezielten Aufklärung und durch deutsche Behörden quasi „auf frischer Tat ertappt“ worden sein. In jedem Fall dürfe das politische Nachspiel interessant werden. Wenig später wurde bekannt DPA-Meldung (lokale Kopie) bekannt, dass die Ermittler nun davon ausgehen, dass nicht APT28 sondern die Gruppe „Snake“ hinter den Angriffen steckt. Die Gruppe war bereits 2014 im Zusammenhang mit Cyberspionage in Erscheinung getreten, und firmierte damals auch unter den Namen „Uroburos“ bzw. „Turla“ (weitere Information hier in der Datenbank von Cybervorfällen). Laut heise.de hat mittlerweile die deutsche Bundesanwaltschaft „Vorermittlungen wegen geheimdienstlicher Agententätigkeit gegen unbekannt“ eingeleitet (heise.de / lokale Kopie).
In einer ersten Reaktion des Kreml wird eine Beteiligung Russlands an dem Spionage-Hack verneint und mit Enttäuschung über die Anschuldigungen reagiert: “We note with regret that any hacking attacks in the world are associated with Russian hackers but that each time they (the allegations) are made without any tangible proof” (Q: reuters.com / lokale Kopie)
Kleiner Hinweis: Der Text wurde für die bessere Lesbarkeit bereinigt und Meldungen früherer Updates eingearbeitet.
[to be continued]