Deutsches Luft- und Raumfahrtzentrum Ziel von Spionageangriffen – Herkunft ungeklärt

CC-BY-ND 2.0 via flickr/aaet

Das Deutsche Zentrum für Luft- und Raumfahrt versucht seit Monaten, sich gegen ausgefeilte Spionageangriffe zu verteidigen. Das geht aus einem Bericht der aktuellen Printausgabe des Spiegel hervor. Mehrere Computer seien mit Trojanern infiziert worden, diese hätten jedoch nur wenige Spuren in Logdateien hinterlassen, zerstörten sich bei Entdeckung selbst und konnten daher nur schwer aufgespürt werden. Deshalb gehe man von einem professionellen Angriff durch ausländische Geheimdienste aus. Neben der Raumfahrt ist das DLR an einer ganzen Reihe anderer Forschungsarbeiten beteiligt, die attraktive Ziele für Wissenschaftsspionage darstellen. Dazu gehören unter anderem eine Zusammenarbeit mit der US-Luftwaffe, Beobachtungssatelliten und umfassende Sicherheitsforschung.

Nachdem die Angriffe aufgefallen waren, zog das DLR das Nationale Cyber-Abwehrzentrum hinzu. Diese Institution wurde 2011 gegründet und unerliegt der Federführung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Weiterhin  sind Teile des Bundesverfassungsschutzes, des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe, des BKA, der Bundespolizei, des Zollkriminalamts, des BND und der Bundeswehr an dem Abwehrzentrum beteiligt.

Als Herkunft der Schadsoftware wird bisher vage China vermutet, da bei der Codeanalyse chinesische Schriftzeichen und Tippfehler aufgefallen seien. Es könne jedoch ebensogut bloße Tarnung zur Irreführung sein, der Verdacht eines Täuschmanövers, beispielsweise durch die NSA, liegt derzeit niemals sonderlich fern. Sollte der Trojaner jedoch tatsächlich chinesischen Ursprungs sein, würde dies die entstandene Zusammenarbeit des DLR mit der chinesischen Raumfahrtorganisation CMSEO stark erschüttern. Die beiden Forschungseinrichtungen hatten beim Start des Raumschiffes Shenzhou 8 zusammengearbeitet. Bei ihrem Start im Oktober 2011 hatte die Rakete die deutsche SIMBOX (Science in Microgravity Box)-Experimentapparatur  an Bord, die mit 17 Experimenten aus den Bereichen Biologie und Medizin bestückt war und an der sieben deutsche Universitäten beteiligt waren.

Eine Rückverfolgung des wahren Ursprung des Angriffs wurde durch Verzögerungen in den Ermittlungen erschwert. Bereits im Januar habe das DLR einen Server in Wiesbaden identifiziert, den der Trojaner genutzt hatte, um die von ihm ausgespähten Daten an die vorgesehenen Empfänger zu leiten. Durch die Umleitung über diesen Server sei aber der wahre Kommunikationsendpunkt verborgen geblieben. Das DLR habe bereits zu diesem Zeitpunkt das BKA eingeschaltet, das jedoch inaktiv geblieben sei, da kein nachweislicher Schaden entstanden war. Mittlerweile sei die Spur unbrauchbar, da der Server abgeschaltet worden sei.

Diese Verzögerung entspricht der Kritik, die bereits in der Vergangenheit am Cyber-Abwehrzentrum geäußert wurde, an dem auch das BKA beteiligt ist. Wurde es geschaffen, um Deutschland gegen Spionage und andere Bedrohungen aus dem Internet zu schützen, ist zu bezweifeln, ob es dieser Aufgabe wirklich gewachsen ist. Denn auch wenn eine Vielzahl an Organisationen beteiligt ist – die personelle Ausstattung der Institution ist mager. 2011 nahm das Zentrum seine Arbeit mit nur 10 Mitarbeitern auf, die jedoch den beteiligten Behörden zugeordnet blieben. Das ist zum einen keine starke Grundlage, zum anderen birgt es auch die Gefahr der unzulässigen Zusammenarbeit von Geheimdienst- und Polizeibehörden. Sicherheitsprobleme „schnell und umfassend zu bewerten“, „abgestimmte Handlungsempfehlungen zu erarbeiten“ und all das mit dem Ziel der „Prävention, Reaktion und Frühwarnung“, wie es bei der Eröffnung so schön hieß, dürfte dem Cyber-Abwehrzentrum daher reichlich schwer fallen.

 

10 Ergänzungen

  1. Chinesische Schriftzeichen im Binärcode? Wow, das würde ich mir gerne mal ansehen. Haben die freundlichen Hacker den Quellcode gleich mitgeliefert, oder wie soll das gehen?

    Von einer Seite wie dieser hätte ich eigentlich eine kritischere Analyse des Spins erwartet…

    1. Wenn man sich in einem Themenkomplex nicht auskennt, verpackt man seine Vorwürfe besser in Fragen; z.B. Wie soll es denn technisch möglich sein chinesische Zeichen in einem Programm zu hinterlassen? Nur so als Tip, hilft gegen dumm aussehen.

      Generell gilt bei der Analyse von sowas der alte Grundsatz: Qui bono? Wem nützt es. In diesem Falle würde „den Chinesen“ eine unentdeckte Infektion nützen, um an Daten zu kommen.
      „Den Amerikanern“ hingegen die Entdeckung einer Malware vermeintlich chinesischen Ursprungs, um die Kooperation Deutschlands mit China zu brechen.

      Ohne genaue Kenntniss des Entdeckungsprozesses bleibt daher nicht viel, außer Spekulationen und daran sollte man sich als Journalist nicht beteiligen. Die Darstellung hier ist so kritisch, wie es die Faktenlage zulässt. Ich finde den Artikel gut, da er nicht einfach die dpa-Meldung 1:1 abdruckt (weshalb man bei den anderen den jeweils exakt gleichen Wortlaut lesen kann).

      Dafür Danke Anna.

      1. Und wie sollen nun chinesische Zeichen in den Code eines Trojaners kommen? Wird ja wohl kein javascript gewesen sein ;-)

      2. Ähm, ganz langsam. Es gibt sowas wie Reverse Engineering. Zu den Grundübungen zählt dazu, Strings in Binärcode aufzuspüren. Der geneigte Leser kann das sogar mal abgespeckt selbst ausprobieren, indem er „strings *beliebige binary*“ in seine Kommandozeile eingibt.

        Pro-Tipp: Oder du schaust dir den Spaß im Hexeditor an und suchst nach 00. Damit hören Zeichenketten auf.

        Und zur Vorbeugung: Es ist recht egal, ob das Zeichen jetzt nen normaler Buchstabe oder ein chin. Zeichen ist. Letztere sind auch bloß codiert, i.d.R. sogar unicode. Und dass die IT-Spezialisten das auslesen können, das darf man ihnen doch wohl zugestehen.

        Und auch wenn du mir offensichtlich nicht die Kompetenz zusprichst, zwischen Bytecode und Javascript unterscheiden zu können, glaub mir, dass ich zumindest das in 10 Semestern Informatikstudium gelernt hab…

    2. Im Beitrag steht „[…] bei der Codeanalyse chinesische Schriftzeichen und Tippfehler aufgefallen seien […]“

      Da steht rein gar nichts von Binärdateien, könnten daher auch Skriptsprachen (JavaScript, Python, Ruby) gewesen sein

      Bei Skriptsprachen ist der Code der Programmierung und jener den man dem Rechner zum ausführen übergibt der selbe und für den Nutzer direkt einsehbar.

  2. Wenn es wirklich von China käme, wäre es eher unwahrscheinlich, dass chinesische Schriftzeichen auftauchen würden.

    Apropo: was bedeuten denn diese gefundenen chinesischen Schriftzeichen? Ich vermute mal „Hühnchen süß-sauer“ oder so ;D

  3. Binärer Machinencode enthält oft halt auch Metainformationen, wie irgendwelche Manifeste oder eben Strings im Code.. z.B. stelle man sich einen http request auf einen server vor, auf den die Daten abgelegt werden sollen. Hier würde man zumindest die URL im binary finden (solange diese nicht erst zur Laufzeit entschlüsselt wird z.B.)

    1. Kommt ganz drauf an, was sich die Programmierer dabei gedacht haben, ist ja auch möglich Programmcode zu verschleiern/unlesbar zu machen, wobei dies meist nur die Analysedauer in die Höhe treibt die Analyse selber auch ansonsten wenig behindert.

  4. Binärer Code kann auch Schriftzeichen generieren.

    Letztlich ist auch Maschinensprache nur eine Sprache, die nach Konventionen interpretiert werden muss, meistens von Intel oder AMD.

    Es bleibt dabei. Käme es von China hätten die Chinesen alles daran gesetzt, dass kein Bezug auf China abgeleitet werden könnte.

    Wie im militärischen gibt es auch im digitalen nur noch eine Supermacht ;)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.