Eine knappe Woche nach dem Bekanntwerden einer erfolgreichen Hacking-Attacke auf das deutsche Regierungsnetz soll an dieser Stelle eine kleine Bilanz der Situation und der bisherigen Informationen gezogen werden. Einen ersten Aufschlag dazu gab es bereits vor einigen Tagen im Sammel-Eintrag zum Vorfall. Mittlerweile wird die Dichte der veröffentlichten Informationen geringer und das Bild – soweit es die öffentlichen Angaben verlässlich darstellen – etwas klarer. Vermutlich hat es sich bei dem Zugriff um klassische Spionage in Form einer APT-Kampagne gehandelt. „APT“ steht für Advanced Persistent Threat, einem Begriff aus der IT-Security, der für langanhaltende, sehr professionell durchgeführte Cyber-Attacken mit einem hohen Grad an vorsichtiger, verdeckter Operation verwendet wird. Dafür spricht, dass die ursprüngliche Infektion mehr als ein Jahr unbemerkt in den Netzwerken verbleiben konnte und in dieser Zeit (im Gegensatz zum Parlakom-Hack von 2015) sehr wenige, offensichtlich aber gezielte Informationen (mindestens) aus dem Auswärtigen Amt gesucht und entwendet hat. Ein Grund für dieses vorsichtige Vorgehen der Angreifer bestand sicher auch darin, dass ein großvolumiges „Absaugen“ von Informationen aus den geschützten und überwachten Regierungsnetzwerken sehr viel schneller aufgefallen wäre. Wie und wohin genau die Daten kopiert wurden, ist bislang nicht öffentlich bekannt, allerdings kann man davon ausgehen, dass die an der Untersuchung beteiligten Behörden mit hoher Wahrscheinlichkeit über detailierte Informationen dazu verfügen. Deren Vorgehen und insbesondere der Umstand, dass der Hack nach Hinweisen befreundeter, ausländischer Organisationen bereits vor einigen Wochen aufgedeckt worden ist, wurde in den vergangenen Tagen öfter kritisiert. Sicherlich wäre einerseits eine frühere Einbeziehung relevanter Parlamentarier wie bspw. im Rahmen des Parlamentarischem Kontrollgremiums wichtig gewesen, andererseits ging es den Behörden mutmaßlich um die Aufklärung des Vorfalls indem die Hacker „in the act“ beobachtet werden sollten bzw. beobachtet wurden. In diesem Zusammenhang erscheint es schlüssig, dass in den Stellungnahmen der Regierung von einer „Isolation“ der Angriffe gesprochen wurde, da man einen einmal entdeckten Angreifer und dessen Aktivitäten durch entsprechende Datenanalyse-Werkzeuge und das Erfassen von Log-Daten gut nachverfolgen und dabei durchaus kontrollieren kann, welche für den Angreifer scheinbar relevante Informationen dabei kopiert werden. Auf diese Weise ist es auch möglich, Bestandteile und Code-Fragmente der Hacking-Tools zu sammeln bzw. darüber Erkenntnisse zu gewinnen, die wiederum Rückschlüsse auf die Beteiligung an anderen Hacking-Operationen zulassen können. Diesen entsprechenden taktischen Vorteile gehen mit einem öffentlichen Bekanntwerden des Hacks verloren. Mit Blick auf die bisherigen Mutmaßungen über den Ursprung der Hacker sollte man Vorsicht walten lassen. Die öffentlichen Informationen deuten zwar auf einen staatlichen Akteur, lassen aber diesbezüglich bislang kaum stichhaltige Zuordnungen zu. Das aufgedeckte Spionage-Vorgehen könnte – ausgehend von den angewandten Tools und Fähigkeiten – zu einigen Staaten und deren „Arsenalen“ an hoch-entwickelten Hacking-Werkzeugen passen. Sollte die Bundesregierung eine ähnliche politische Kommunikationsstrategie wie im Fall des Parlakom-Hacks verfolgen, darf man weder auf genauere Informationen noch deutlich öffentliche Signale an den mutmaßlichen Angreifer erwarten. Interessant könnte jedoch noch die Frage werden, welcher befreundete Dienst, auf Basis welcher Informationen und mit welchen Mitteln auf den Hack aufmerksam wurde und die dt. Bundesregierung informiert hat. Möglicherweise haben Hacker dieses Dienstes selbst in den Systemen der Angreifer unbemerkt deren Operationen bemerkt und verfolgt, wie dies bspw. im Fall des NSA-Hacks von Herbst 2017 der Fall war. Dieser wurde durch israelische IT-Security-Fachleute entdeckt, die ihrerseits in russischen Netzwerken eingedrungen waren. Sollte es sich um ein vergleichbares Szenario handeln, dann dürfte der Ursprung des Angriffs zumindestens den entsprechen Sicherheits-Kreisen bekannt sein. Die kommenden Tage und Woche dürften trotz allem noch spannend werden.
News >>