News

(K)eine Hackerattacke auf Landtag von Sachsen-Anhalt ?

Medienberichten zufolge ist am Mittwoch das gesamte Netzwerk des Landtages von Sachsen-Anhalt durch einen Virus lahmgelegt worden. Bei dem Vorfall, der insbesondere mit Blick auf die anstehenden Wahlen bedenklich ist, wurden einzelne Arbeitsplatz-Rechner sowie ein gemeinsames Netzwerklaufwerk infiziert. Als Gegenmaßnahme wurden sämtliche Rechner sowie die Telefonanlage des Landtages vom öffentlichen Netz getrennt und die Außenkommunikation auf Notfallsysteme umgeleitet.

Ersten Pressemitteilung zufolge geht das LKA nicht von einer gezielten Attacke aus. Stattdessen wird davon gesprochen, dass ein Mitarbeiter den infizierten Anhang einer E-Mail geöffnet und so die Verbreitung des Virus ausgelöst haben soll. Diese Darstellung wirft jedoch Fragen auf:

Zum einen landen solche massenweise versendeten E-Mails, ebenso wie bei privaten Mail-Accounts auch, zuhauf und alltäglich in den Mailboxen des Landtages und werden (vermutlich) durch entsprechende Gegenmaßnahmen wie automatische Scans aller eingehenden Daten und E-Mails und Anti-Viren-Produkte abgewehrt. Insbesondere die Massen-E-Mails verwenden dabei bereits bekannte (und damit “kostenlos” zugängliche) Sicherheitslücken um mit den infizierten Anhängen Lücken in veralteter Software auszunutzen. Ein wirksames Gegenmittel – das vermutlich auch durch den Landtag eingesetzt wird – ist die regelmäßige und rasche Aktualisierung sämtlicher eingesetzter Software. Darüber hinaus besteht eine weitere Sicherheitshürde gegen solche Angriffe darin auch die Weiterverbreitung von Dokumenten und E-Mails innerhalb eines Netzwerkes mit derartigen Maßnahmen zu überwachen. Vor diesen Hintergrund ist es fraglich, welche Sicherheitslücken durch die infizierte Mail ausgenutzt werden konnten und welcher Virus das Netzwerk ohne Gegenmaßnahme infizieren konnte. Dieser Aspekt wirft die Frage auf, ob es tatsächlich um keine gezielte Attacke sondern eine Massen-E-Mail gehandelt hat. Eine übliche Taktik von Angreifern, die unter anderem beim Hack des Europa-Parlaments von einigen Jahren angewandet wurde besteht bspw. darin, E-Mails textlich thematisch auf den Kontext der Zielpersonen anzupassen um diese zum Öffnen des Anhangs zu verleiten. Um die Infektionswahrscheinlich zu erhöhen könnten beim einem gezielten Angriff dann Sicherheitslücken für das Eindringen und die Ausbreitung im Netzwerk ausgenutzt werden die noch nicht öffentlich bekannt und entsprechend nicht durch Software-Updates behoben worden sind (sog. Zero-Day-Exploits). Derartige Sicherheitslücken sind jedoch rar und werden auf entsprechenden Märkte für viel Geld gehandelt – was den Kreis möglichen Akteure auf große kriminelle Organisationen oder staatliche Einrichtungen wie Geheimdienste eingrenzt und in jedem Fall als gezielte Attacke zu werten wäre.

Dies sind bislang alles nur Mutmaßungen und es bleibt zu hoffen, dass es seitens der Behörden eine bessere Informationsstrategie verfolgt wird als die 2015 beim Hack auf das Parlakom-System des Bundestages der Fall war. (Aktualisierung folgen)

Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) eingeweiht

Nachdem mit dem Aufbau von ZITiS (der Zentralen Stelle für Informationstechnik im Sicherheitsbereich) bereits Anfang des Jahres offiziell begonnen worden ist, wurde diese am vergangenen Mittwoch in München nun eingeweiht (lokale Kopie). ZITiS wird als Behörde auf dem Campus der Bundeswehr-Universität in München unabhängig anderen Sicherheitsbehörden technische Hilfleistung in den folgenden Bereichen anbieten:

  • der digitalen Forensik
  • der Telekommunikationsüberwachung
  • der Kryptoanalyse (Dekryptierung)
  • der Massendatenauswertung/Big-Dat
  • sowie der technischen Fragen von Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr.

Zum Start beginnt ZITiS mit 100 Mitarbeitern, eine Aufstockung auf insgesamt 400 Mitarbeiter ist bis 2022 vorgesehen. Die neue Behörde befindet sich in unmittelbarer Nähe zum kürzlich aufgestockten Cyber-Sicherheitsforschungszentrum CODE der Bundeswehr und obgleich seitens des BMI und des BMVg auf die Trennung der beiden Einrichtung verwiesen wird bleibt bislang unklar ob mit ZITiS nicht auch eine Lücke bei den geplanten Cyber-Offensiv-Fähigkeiten der Bundeswehr geschlossen werden soll – insbesondere wenn es um Netzwerkoperationen in Friedenszeiten geht. Entsprechende Bedenken wurden bisher auch nach kleinen Anfragen von Parlamentariern nicht ausgeräumt. Eine solche Kritik wurde unter anderem durch die sicherheitspolitische Sprecherin der Grünen-Bundestagsfraktion, Agnieszka Brugger erneut vorgebracht (lokale Kopie).

US Cyber Command wird eigenständige(re) Militäreinrichtung

Präsident Trump hat in der vergangenen Woche per Dekret (lokale Kopie) das Pentagon angewiesen, das US Cyber Command als eigenständiges „Unified Combatant Command“ auszubauen und damit von der NSA weiter zu entkoppeln. Damit folgt er einer Einwicklung, die bereits durch Obama begonnen wurde, der zu seiner Amtszeit eine Ende der Doppelführung von NSA und US Cyber Command angestoßen hatte. Desweiteren kündigte er an, dass geprüft werden soll ob und unter welchen Bedingungen das Cyber Command komplett von der NSA unabhängig gemacht werden kann. Der weitere unabhängige Aufbau soll auch mit einer Verbesserung der Finanzierung einhergehen. Mit der Anhebung des Status des US Cyber Command wird dieses das zehnte „global combatant command“ und das vierte ohne geografische Limitierung.

Ziel dieser Maßnahmen soll laut Trump der Ausbau der Möglichkeiten für „cyberspace operations“ sein, um damit schneller, breiter und innerhalb der Führungsstrukturen unabhängiger auf Bedrohungen aus dem Cyberspace reagieren zu können sowie Verteidigungsmöglichkeiten zu demonstrieren oder auch Verbündeten zur Verfügung stellen zu können:

This new Unified Combatant Command will strengthen our cyberspace operations and create more opportunities to improve our Nation’s defense.  The elevation of United States Cyber Command demonstrates our increased resolve against cyberspace threats and will help reassure our allies and partners and deter our adversaries. (..)
United States Cyber Command’s elevation will also help streamline command and control of time-sensitive cyberspace operations by consolidating them under a single commander with authorities commensurate with the importance of such operations.  Elevation will also ensure that critical cyberspace operations are adequately funded.
(Q: whitehouse.gov / lokale Kopie)

[Kurz notiert] Reederei Maersk bilanziert bis 300 Mio. Dollar Verlust durch NotPetya

Die dänische Reederei Maersk war eines der am schwersten durch die Malware NotPetya betroffenen Unternehmen. Pressemeldungen zufolge waren Systeme auf Bohrinseln sowie automatische Verladesysteme der Containerschiffe betroffen und länger gestört. Das Unternehmen hat aktuell sein Quartalsbilanz veröffentlicht und geht laut dieser von Schäden zwischen 200 und 300 Millionen Dollar durch die Ausfälle aus:

“In the last week of the quarter we were hit by a cyber-attack, which mainly impacted Maersk Line, APM Terminals and Damco. Business volumes were negatively affected for a couple of weeks in July and as a consequence, our Q3 results will be impacted. We expect the cyber-attack will impact results negatively by USD 200-300m.”
(Q: maersk.com / lokale Kopie)

Mittlerweile gehen IT-Forensiker davon aus, dass es den Urhebern von NotPetya explizit um die Schädigung von IT-Systemen ging und eben nicht um – wie ursprünglich vermutet – das Erpressen von Lösegeld. Ob allerdings eine solche Verbreitung intendiert war bleibt unklar.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Googles Vorschlag eines Frameworks für staatliche Rechte im Cyberspace

In Analogie zum Vorschlag einer „Genfer Konvention für den Cyberspace„, der im April durch Microsofts Präsident und Chief Legal Officer Brad Smith unterbreitet worden ist, hat sich nun auch Google mit einem ähnliche Vorstoß zu Wort gemeldet. Dem Konzern geht es dabei in erster Linie um die Errichtung eines gesetzliches Frameworks um legitime Interessen staatlicher Behörden bei der Strafverfolgung mit den ebenso legitimen Ansprüchen des Persönlichkeits- und Datenschutzes zu verbinden:

The Problem:

Governments ​that adhere to baseline privacy, due process, and human rights standards are encumbered in their ability to obtain electronic data that is held by service providers. These governments have legitimate law enforcement objectives, and they are often unable to obtain this data in a timely manner…

Users’​ privacy rights are not adequately protected by current legal frameworks…

The Solution…

Digital evidence that is held by service providers should be accessible in a timely manner for legitimate law enforcement investigations. ​Countries that commit to baseline privacy, due process, and human rights principles should be able to make direct requests to providers​ in other democratic countries. For other countries, existing mutual assistance frameworks should be reformed to improve response times.

Countries must commit to baseline principles of privacy, due process, and human rights in their domestic laws if they wish to make direct requests to providers in other democratic countries.

Q: blog.google.com / lokale Kopie

Die Ideen werden in einem Blog-Eintrag selbst nochmals genauer ausgeführt und sind hier zu finden: „Digital security and due process: A new legal framework for the cloud era“ (lokale Kopie)

 

[Lesetipp] Rechtliche Regeln und Grenzen zum Einsatz der Bundeswehr im Inneren

Sowohl im Rahmen des Aufbaus der neuen Cyber-Organisationseinheit der Bundeswehr als auch bei der Vorstellung des aktuellen Weißbuches von 2016 wurde durch Entscheidungsträger angeregt, dass mit den zu schaffenden Cyber-Verteidigungsressourcen bei der Bundeswehr auch die Aufgabe einer Cyber-Verteidigung im Inneren einhergeht. Einem solchen Einsatz sind jedoch enge Grenzen gesetzt, die sich insbesondere im Cyber-Bereich mit sehr vielen praktischen Fragen (und Schwierigkeiten) mischen.

Mit Blick auf die rechtlichen Grundlagen eines solchen Einsatz hat Thomas Wiegold vom Blog augengeradeaus.net einen hervorragenden Beitrag im Magazin „Aus Politik und Zeitgeschichte“ (APUZ 32-33/2017), das von der Bundeszentrale für politische Bildung herausgegeben wird, geschrieben. Unbedingt lesenswert (lokale Kopie).

 

[In eigener Sache] Analyse zu den Implikationen von Hack-Back als Maßnahme der Cyberverteidigung

Bereits im Frühling dieses Jahres wurde das Konzept einer aktiven Cyberverteidigung, bei der Cyber-Angriffe durch offensive Gegenmaßnahmen ausgeschaltet werden sollen durch Sicherheitspolitiker und Behördenleiter als Vorschlag für die Verbesserung der Cybersicherheit Deutschlands ins Gespräch gebracht. Diesen Anlass haben Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP) in Berlin und ich genommen um uns in einem Arbeitspapier, mit den Implikationen sowie den massiven technischen und rechtlichen Bedenken und Problemen einer solchen Cyberverteidigungs-Maßnahme auseinanderzusetzen. Das Paper ist gestern durch die SWP veröffentlicht worden auch hier zum Download verfügbar (Q: swp-berlin.org).

PS.: Der Urlaub ist vorbei und ab jetzt gibt es wieder „Live-Content“

[Lesetipp] Die Frauen von Bletchley Park

Ein nicht ganz so ernst gemeinter Lesetipp zum Ende der Offline-Zeit: „Hacking the Nazis: The secret story of the women who broke Hitler’s codes“ (lokale Kopie). In Bletchley Park, ca. eine Stunde nördlich von London entfernt, wurde während des zweiten Weltkrieges enormes im Zeichen der Kryptoanalyse geleistet, unter anderem die deutsche Verschlüsselungsmaschine Enigma geknackt und durch Alan Turing ein erster automatischer Rechner für die Entschlüsselung der täglich neuen Verschlüsselungsdaten gebaut (die sog. Turing-Bombe). Der Familienurlaub in diesem Jahr wird uns zum Ende der Reise hoffentlich hierhin führen, danach gibt es hier auch wieder ernsthaftere Inhalte.

 

[Lesetipp] Bitkom-Studie zu wirtschaftlichen Schäden durch Spionage, Sabotage, Datendiebstahl

Bitkom, der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien hat Ende Juli die Ergebnisse einer neuen repräsentativen Studie veröffentlicht, die sich mit den jährlichen Schäden von Cyberspionage und Cybersabotage befasst:

Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) sind in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dadurch ist ein Schaden von rund 55 Milliarden Euro pro Jahr entstanden.(..) Verglichen mit der ersten Studie vor zwei Jahren ist der Anteil der Betroffenen nur leicht von 51 auf 53 Prozent gestiegen, der Schaden ist zugleich um rund 8 Prozent von 51 auf 55 Milliarden Euro gewachsen.  (Q: bitkom.de / lokale Kopie)

Die Auswertung listet detailiert die unterschiedlichen Angriffsmethoden, die (gesicherte oder mutmaßliche) Herkunft der Angriffe sowie Art und Umfang der Schäden auf. Interessant ist dabei vor allem, dass der überwiegende Umfang an Schäden nicht durch die oft propagierten Auslandsgeheimdienste, sondern vielmehr durch „Innentäter“ entstehen.

Hier die Präsentation der Studie mit allen Zahlen (lokale Kopie)

Gerichtsverhandlung zu dem “Hack” gegen die Telekom-DSL-Router von 2016

Ende des letzten Jahres gab es für einige Stunden massive Ausfälle im DSL-Netzwerk der Telekom, die nach endgültigen Schätzungen zufolge mehr als 1,25 Millionen Kunden betroffen haben sollen.

Tatsächlich wurde dabei gar nicht im eigentlichen Sinne das Netzwerk der Telekom attackiert sondern ein breiter Scan nach verwundbaren Systemen eines bestimmten Typs durchgeführt. Allerdings waren die Kunden-Router der Telekom derart konfiguriert, dass sie einen solchen Versuch als Sicherheitsgefährdung ansahen und sich mehrere Minuten vom Internet trennten. Da die Scans anhielten wurde damit effektiv für mehrere Stunden der Internet-Zugang der betroffene Geräte blockiert.

Zu dem Vorfall gibt es nun auch eine Gerichtsverhandlung, da der Hacker gefasst worden und mittlerweile auch geständig ist: Der Hacker, der sich im Netz „Spiderman“ nannte, sagte aus, dass die Attacke nicht gezielt der Telekom gegolten habe. Er handelte im Auftrag eines liberianischen Telekommunikationsunternehmens und sollte einen weltweiten Angriff auf Router starten – mit dem Ziel, sie zum Teil eines sogenannten Botnets zu machen. Dieses Netzwerk aus verbundenen Computern und Elektronik-Geräten sollte bei einem weiteren Angriff die Konkurrenz in Liberia behindern. (Q: heise.de / lokale Kopie)

Auch wenn diese DoS-Attacke nicht gezielt gegen die Telekom-Systeme gerichtet gewesen sein mag, deutet die Tragweise eines solch verhältnismäßig harmlosen Angriffs auf die breite gesellschaftliche Abhängigkeit von – zum Teil recht schlecht gewarteter -Endkundenhardware hin.