Als Mitte August auf dem Online-Softwareentwicklungs- und Versionsverwaltungsdienst GitHub diverse Hacking-Tools angeboten wurden, liefen Spekulationen über die Echtheit des Angebots und ihren Ursprung auf Hochtouren. Eine Gruppe, die sich „The Shadow Brokers“ nannte, behauptete, an Werkzeuge der NSA-Einheit Tailored Access Operations (TAO) gelangt zu sein. Ob dahinter ein NSA-Insider steht oder die NSA gehackt wurde, ist bis heute nicht geklärt.
Das BSI hat die Werkzeuge geprüft und bestätigte, „dass es sich um funktionierende und bisher teilweise nicht bekannte Werkzeuge“ handelt. Das geht aus der Antwort der Bundesregierung auf eine Kleine Anfrage von Konstantin von Notz, dem netzpolitischen Sprecher der Grünen im Bundestag, hervor. Woher die Werkzeuge stammen, konnte aber auch das BSI nicht sagen.
Lücken noch immer nicht alle geschlossen
Eines zeigt der Vorfall deutlich: Niemand ist sicher davor, dass Sicherheitslücken an die Öffentlichkeit gelangen, die für staatliche Zwecke beispielsweise von Geheimdiensten oder Strafverfolgern genutzt werden. Sie stehen einer großen Gruppe von Menschen zur Verfügung, solange die Hersteller der betroffenen Soft- und Hardware ihre Sicherheitslücken nicht geschlossen haben. Das dauert unter Umständen länger.
Der Hardwarehersteller Cisco schloss die veröffentlichten Schwachstellen mit den malerischen Namen wie EXTRABACON und EPICBANANAS kurzfristig nach Veröffentlichung der Tools. Bei anderen Herstellern verhält sich die Sache anders. Dem BSI ist bis heute nicht bekannt, ob das ebenso betroffene chinesische IT-Sicherheitsunternehmen TopSec überhaupt reagiert hat.
Das US-Unternehmen Juniper, das unter anderem Netzwerk-Hardware wie Switches und Router anbietet, verweist darauf, dass die Hackingtools in die Systeme eingebracht werden und man diese mit Prüfverfahren erkennen könne. Dass alle Betreiber von betroffener Juniper-Hardware das durchführen, dürfte ein frommer Wunsch sein. Ironischerweise fiel den Abgeordneten in der gestrigen Sitzung des NSA-Untersuchungsausschusses auf, dass ein neues Gerät im Europasaal installiert wurde: ein Access-Point von Juniper, der durch nervöses Blinken für Beunruhigung sorgte.
Regierung nimmt Anfälligkeit von eigenen Sicherheitsbehörden nicht ernst
Das Leak der Hacking-Werkzeuge demonstriert eindrücklich die entstehende Gefahr, wenn Regierungsstellen Sicherheitslücken geheim halten, statt diese zu schließen. Sie werden dann für Staatstrojaner und die Infiltration von IT-Systemen genutzt. Abgesehen von der fraglichen Grundrechtskonformität dieser Überwachungsmaßnahmen sollte allen Seiten klar sein, dass niemals garantiert werden kann, dass diese Schwachstellen und Hackingtools nicht auch in die Hände gewöhnlicher Krimineller fallen. Doch die Bundesregierung zeigt sich immun gegen diese Einsicht.
In ihrer Antwort behauptet sie, dass sie sich aktiv dafür einsetzt, dass Sicherheitslücken geschlossen werden:
In diesem Sinn verfolgt z. B. das BSI eine Responsible-Disclosure-Politik und geht aktiv auf Hersteller zu, damit diese gemeldete Schwachstellen schließen können.
Die Regelungen für das Unterbinden eines Schwarzmarktes für Zero-Day-Exploits – also bisher unveröffentlichten und unentdeckten Sicherheitslücken – befindet sie als „bereits heute umfassend“. Die Regierung sieht keine Gefahr, dass deutschen Behörden, die Sicherheitslücken für ihre Arbeit nutzen, das gleiche passieren könnte wie der NSA. Als sie nach der neu geplanten „Zentralen Stelle für Informationstechnik im Sicherheitsbereich“ (ZITiS) gefragt wird, die die Forschung für das Knacken verschlüsselter Kommunikation konsolidieren soll, weicht sie aus:
ZITiS wird sehr strengen personellen und materiellen Sicherheitsregeln unterliegen, die im Besonderen auf die IT-Infrastruktur Anwendung findet. Die neue Behörde wird sich damit in die Sicherheitsstandards von BKA (Bundeskriminalamt), BPOL (Bundespolizei), BfV (Bundesamt für Verfassungsschutz), BND und BSI einreihen.
Damit würde sie implizieren, dass die Sicherheitsvorkehrungen von BKA, BPOL, BfV, BND und BSI über denen der NSA liegen. Eine kühne Behauptung, die das Risiko birgt, dass Maßnahmen für vermeintlich mehr Sicherheit zu einer Schwächung der IT-Sicherheit für alle werden.
Volltext aus dem PDF befreit
Kleine Anfrage des Abgeordneten Dr. Konstantin von Notz u. a. und der Fraktion Bündnis 90/Die Grünen
Im Internet offen abrufbare NSA-Hackingwerkzeuge
BT-Drucksache 18/9616
Vorbemerkung der Fragesteller:
Im Verlauf des 13./14. August 2016 wurden überraschend auf der Software-Tauschplattform GitHub 300 Megabyte anspruchsvoller Programme angeboten, mit denen unter anderem das gezielte Hacking von weit verbreiteten kommerziellen Firewalls von Anbietern wie CISCO und Fortinet, von Routern, Betriebssysteme etc. möglich sein soll. Bei den erkennbar nur einen Teil eines Gesamtbestandes darstellenden Programmen soll es sich um Entwicklungen der der NSA-Elitehackergruppe TAO zugeordneten Equation Group handeln, deren Echtheit und Funktionsfähigkeit inzwischen von Experten allgemein bestätigt wird (vgl. „Hacker erbeuten offenbar NSA-Software“, Spiegel Online vom 17. August 2016). Zu der Veröffentlichung der zwischenzeitlich am ursprünglichen Ort nicht mehr verfügbaren, aber vielfach an anderer Stelle gespiegelten Dokumenten und Programmen bekannte sich eine Gruppe mit Namen Shadow Brokers. Während zunächst spekuliert wurde, ob die NSA selbst gehackt worden sein könnte, schätzen einige Experten die angebotenen Programme mittlerweile als das Leak eines Insiders ein, so dass die Möglichkeit diskutiert wird, ob nach Edward Snowden eine weitere Person aus dem weiten Beschäftigtenkreis der NSA gezielt Informationen an die Öffentlichkeit gegeben haben könnte (vgl. bspw. Erich Möchel „Der aktuelle NSA-„Hack“ war ein Insiderjob, abrufbar unter http://http://fm4.orf.at/stories/1772666/.
Nach Angaben unabhängiger Experten stellen die offenbar unter NSA-internen Codenamen veröffentlichten Hacking-Werkzeuge wie Epicbanana, Buzzdirection und Egregiousblunder eine reale und ernstzunehmende Bedrohung für die Sicherheit von Regierungs- und Unternehmensnetzwerken weltweit dar (vgl. Ellen Nakashima „Powerful NSA hacking tools have been revealed online, abrufbar unter https://www.washingtonpost.com/world/national-security/powerful-nsa-hacking-tools-have-been-revealed-online/2016/08/16/bce4f974-63c7-11e6-96c0-37533479f3f5_story.html).
Die Plattform WikiLeaks hatte in der Zwischenzeit angekündigt, über eine eigene Kopie des veröffentlichten Pakets von Hacking-Werkzeugen zu verfügen, welches ebenfalls zu gegebener Zeit veröffentlicht werden soll. Bisher hat diese Veröffentlichung jedoch noch nicht stattgefunden.
1. Wann hat die Bundesregierung (einschließlich die ihr nachgeordneten Behörden) erstmalig von der Veröffentlichung der Hacking-Werkzeuge Kenntnis erhalten?
Zu 1.
Eine erste Kenntnisnahme erfolgte zwischen dem 13. und 15. August 2016.
2. Wie bewertet die Bundesregierung die Echtheit der angebotenen Hacking-Werkzeuge und worauf stützt sich ihr Urteil?
Zu 2.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die „frei verfügbaren Hacking-Werkzeuge“ auf technische Plausibilität geprüft und kam zu dem Schluss, dass es sich um funktionierende und bisher teilweise nicht bekannte Werkzeuge handele.
3. ln welchem Umfang waren/sind bundesdeutsche Behörden und Unternehmen von den offengelegten Schwachstellen, beispielsweise von CISCO-und Fortinet Netzwerktechnik (siehe hierzu im Einzelnen http://blogs.cisco.com/security/shadow-brokers), betroffen (bitte nach Behörden/Ministerien je gesondert ausführen) und wurden zwischenzeitlich die erforderlichen Gegenmaßnahmen getroffen?
Zu 3.
In den Regierungsnetzen sind die betroffenen Komponenten nicht im Einsatz. Bundesdeutsche Behörden und Unternehmen wurden durch das BSI gewarnt. Über die Umsetzung der erforderlichen Gegenmaßnahmen liegen dem BSI keine Erkenntnisse vor.
4. Was wurde von der Bundesregierung bzw. den zuständigen Bundesbehörden wann veranlasst, um etwaigen Schaden von Regierungs- als auch Unternehmensnetzwerken der Bundesrepublik abzuwenden?
Zu 4.
Das BSI hat Warnungen mit Handlungsempfehlungen an Bundesbehörden, Betreiber Kritischer Infrastrukturen und Mitglieder der Allianz für Cyber-Sicherheit versandt und diese Warnungen mehrfach aktualisiert.
5. Wie bewertet die Bundesregierung die Frage, ob es sich um ein Hack einer der NSA nahestehenden bzw. der NSA zugehörigen Gruppe (z. B. der sogenannten „Equation Group“) oder die Veröfientlichung eines möglichen NSA-Beschäftigten selbst handeln könnte und welche Erkenntnisse liegen ihr (oder ihr nachgeordneten Behörden) hierzu vor?
6. Wie bewertet die Bundesregierung die Frage, ob es sich um ein Hack einer der russischen Regierung nahestehenden Gruppe und welche Erkenntnisse liegen ihr (oder ihr nachgeordnete Behörden) hierzu vor?
Zu 5. und 6.
Es liegen keine Erkenntnisse im Sinne der Frage vor.
7. Hat die Bundesregierung (oder ihr nachgeordnete Behörden) Kenntnisse bezüglich der Frage, von wann die entwendete Software ist und ob die entsprechenden Sicherheitslücken mittlerweile geschlossen wurden? Wenn ja, welche Sicherheitslücken wurden zwischenzeitlich geschlossen und welche bestehen weiterhin?
Zu 7.
Keine der Dateien trug einen Zeitstempel nach Juni 2013, jedoch lassen sich Zeitstempel von Dateien ohne großen Aufwand manipulieren. Konkrete Erkenntnisse zu Zeitpunkt der Erstellung der Software liegen der Bundesregierung nicht vor.
Die Schließung der Schwachstellen gestaltet sich wie folgt:
- Die CLI Schwachstelle (CVE-2016–6367) wurde von Cisco im Jahr 2011 geschlossen;
- die EPICBANANAS CLI Schwachstelle (CVE-2016–6367) wurde 2013 von Cisco geschlossen;
- die EXTRABACON SNMP Schwachstelle (CVE-2016–6366) wurde am 16. August 2016 von Cisco geschlossen;
- die BENIGNCERTAIN IKE-Schwachstelle betraf PIX Firewalls mit Versionen < = 6.x. Die PIX-Serie wurde von Cisco im Jahr 2008 abgekündigt;
- die vermutlich unter EGREGIOUSBLUNDER laufende FortiGate Firmware (FOS) Schwachstelle betraf nach Angaben des Herstellers alle vor August 2012 veröffentlichten Versionen von FortiOS;
- die WatchGuard-Schwachstelle hat nach Aussage des Herstellers ausschließlich in älteren RapidStream Geräten existiert. WatchGuard Firebox und XTM Systeme sind demnach nicht verwundbar.
Hinter ELIGIBLECANDIDATE, ELIGIBLEBOMBSHELL, ELIGIBLECONTESTANT und ELIGIBLEBACHELOR verbergen sich allem Anschein nach unterschiedliche Exploits für Firewalls des chinesischen Herstellers TopSec. Seitens TopSec wurden nach BSI-Kenntnis bisher keine Patches veröffentlicht.
Bei BANANAGLEE, FEDTHROUGH und ZESTYLEAK handelt es sich um für NetScreen-Firewalls des Herstellers Juniper Networks nutzbare Implantate. In einem Blog-Post bestätigt Juniper grundsätzlich die Existenz von Implantaten für NetScreen Systeme. In Reaktion wird auf Prüfverfahren verwiesen, mit denen sich modifizierte Firmware-Images erkennen lassen.
8. Hat die Bundesregierung (oder ihr nachgeordnete Behörden) Kenntnisse bezüglich der Frage, ob es sich um einen gezielten Hack oder eventuell eher um einen „Zufallsfund“ auf einem von der „Equation Group“ oder anderen Gruppe verwendeten Command-and-Control-Server handelt? Wenn ja, welche?
9. Welche Erkenntnisse hat die Bundesregierung (oder ihr nachgeordnete Behörden) zu Verbindungen von den nun veröffentlichten Dokumenten und den Dokumenten aus dem Umfeld Edward Snowdens und welche Rückschlüsse lassen diese Erkenntnisse aus Sicht der Bundesregierung auf die jeweilige Echtheit der veröffentlichten Dokumente zu?
Zu 8. und 9.
Hierzu Iiegen keine Erkenntnisse vor.
10. Unabhängig von der Frage der Herkunft und Verantwortung für die Erstellung der Hacking-Werkzeuge, hält die Bundesregierung es für die Aufgabe auch bundesdeutscher Behörden (etwa die geplante ZITiS), kommerzielle Netzwerkelemente wie beispielsweise die betroffenen, weithin im Einsatz befindlichen CISCO- und und Fortinet-Produkte, Firewall-Programme, Router, Betriebssysteme etc, gezielt auf Schwachstellen zu analysieren und für den Angriff auf Netzwerke derartige Instrumente und das Wissen über Schwachstellen vorzuhalten?
Zu 10.
Die Bundesregierung nutzt bereits jetzt die ihr zur Verfügung stehenden Ressourcen, um die IT-Sicherheit Deutschlands möglichst umfassend zu gewährleisten. Zu diesem Zweck werden bereits heute wichtige Hard- und Software-Komponenten auf mögliche technische Schwachstellen untersucht und kritische Infrastrukturen zum Schutze des Landes entsprechend gesichert.
11. Teilt die Bundesregierung, auch angesichts der jetzigen Veröffentlichungen, die Ansicht der Fragesteller, dass es dringend angeraten ist, Schwachstellen, sobald sie bekannt sind, statt sie bewusst offen zu halten, um sie ggf. zu einem späteren Zeitpunkt nutzen zu können, umgehend zu schließen, auch, um zu verhindern, dass diese Dritten offenstehen und ggf. missbraucht werden können?
Zu 11.
Die Bundesregierung steht für eine sichere IT-Infrastruktur und spricht sich vor dem Hintergrund einer möglichen missbräuchlichen VenNendung gegen das Offenhalten von Sicherheitslücken aus. In diesem Sinn verfolgt z. B. das BSI eine Responsible-Disclosure-Politik und geht aktiv auf Hersteller zu, damit diese gemeldete Schwachstellen schließen können.
12. Wird sich die Bundesregierung, wie dies beispielsweise in einem Entschließungsantrag der fragestellenden Fraktion zu der dritten Beratung des Gesetzentwurfs der Bundesregierung eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) auf BT-Drs.-Nr. 18/5127 im Juni 2015 forderte, für eine grundsätzliche Pflicht zur unverzüglichen Veröffentlichung von Wissen über Sicherheitslücken einsetzen?
Zu 12.
Gemäß § 7a Absatz 1 Satz 1 des BSI-Gesetzes kann das BSI zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14 und 17 auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen. § 7 Absatz 2 des BSI-Gesetzes enthält eine eindeutige Zweckbindung und stellt klar, dass die aus den Untersuchungen gewonnenen Erkenntnisse ausschließlich zur Erfüllung dieser Aufgaben genutzt werden dürfen. Das BSI darf seine Erkenntnisse weitergeben und veröffentlichen, soweit dies
zur Erfüllung dieser Aufgaben erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellungnahme zu geben.
Die Bundesregierung sieht an der bestehenden Regelung keinen Änderungsbedarf. Die mit dem IT-Sicherheitsgesetz in § 7a des BSI-Gesetzes eingefügte Regelung zur Untersuchung von informationstechnischen Produkten und Systemen ist sachgerecht. Sofern der Hersteller – etwa bei einer festgestellten Sicherheitslücke – selbst an die Öffentlichkeit geht oder sonst Abhilfe schafft, ist eine zusätzliche Veröffentlichung der Erkenntnisse durch das BSI nicht erforderlich.
Eine grundsätzliche Verpflichtung des BSI zur unverzüglichen Veröffentlichung wäre demgegenüber nicht nur rechtlich problematisch, sondern auch im Ergebnis nicht zielführend, etwa dann nicht, wenn die Sicherheitslücke weder geschlossen werden kann noch alternative Produkte zur Verfügung stehen. Eine Veröffentlichung würde in diesem Fall nur potentiellen Angreifern helfen, eine bestehende Sicherheitslücke auszunutzen.
13. Wird die Bundesregierung, wie dies in der in Frage 12 Erwähnung findenden Initiative gefordert wird, dafür Sorge tragen, dass, auch um eine Beförderung des Schwarzmarktes für Sicherheitslücken, welche die Integrität digitaler Infrastrukturen gefährden, der staatliche Aufkauf und die Zurückhaltung bzw. Nicht-Veröffentlichung von Wissen über Sicherheitslücken, gesetzlich verboten wird? Wenn ja, wann ist mit der Vorlage zu rechnen? Falls nein, warum nicht?
Zu 13.
Die Strafverfolgungsbehörden des Bundes und der Länder gehen im Rahmen der geltenden Rechtslage und ihrerjeweiligen Zuständigkeiten gezielt gegen organisiertes Verbrechen, Cybercrime und Terrorismus vor.
Die Strafverfolgung richtet sich dabei auch konsequent gegen strafbare Handlungen und Inhalte des Schwarzmarktes. Die gesetzlichen Regelungen sind dabei bereits heute umfassend.
14. Sieht die Bundesregierung den Ankauf und die Zurückhaltung bzw. Nicht-Veröffentlichung von Wissen über Sicherheitslücken durch staatliche Stellen als vereinbar mit ihrem Ziel, die IT-Sicherheit zu erhöhen, an oder teilt die Bundesregierung die Ansicht der Fragesteller, dass beides nicht miteinander in Einklang zu bringen ist?
Zu 14.
Erkenntnisse zu Sicherheitslücken, die öffentlich bekannt sind, auf eigenen Analysen beruhen oder beispielsweise im Rahmen der Zusammenarbeit von CERTs gewonnen werden. diskutiert das BSI gemäß seines gesetzlichen Auftrages regelmäßig mit den betroffenen Herstellern. Das Ziel ist hierbei, dass die Hersteller diese Sicherheitslücken kurzfristig schließen können.
15. Verfügt die Bundesregierung oder ihr nachgeordnete Behörden inzwischen über Kopien der online angebotenen Hacking-Werkzeuge und wenn nein, auf welche Weise wurde Vorsorge getroffen (etwa durch Ansprache anderer betroffener Staaten; Kontakt mit den USA, der NSA etc.), dass diese Werkzeuge nicht gegen Stellen in und gegen Institutionen der Bundesrepublik Deutschland eingesetzt werden können?
Zu 15.
Der Bundesnachrichtendienst (BND) und das BSI verfügen über die „frei verfügbaren Dateien.“
16. Sind Regierungsstellen bzw. Teile von Regierungsnetzwerken von den von CISCO benannten Sicherheitslücken (Exploits) oder anderen Schwachstellen, z. B. für die Umgehung von gängigen Firewall-Programmen, zur Infiltrierung von Routern und/oder Betriebssystemen, betroffen, wenn ja, in welchem bezifferbaren Umfang und konnten diese Lücken inzwischen geschlossen werden?
Zu 16.
In Regierungsnetzen sind die betroffenen Komponenten nicht im Einsatz.
17. Wurde zwischenzeitlich der zur Koordination mit der Wirtschaft geschaffene Cybersicherheitsrat mit diesem Vorfall befasst und wenn ja wann und mit welcher Zielrichtung?
Zu 17.
Die letzte Sitzung des Cyber-Sicherheitsrates fand am 8. Juli 2016 statt. Die in Rede stehende Veröffentlichung erfolgte am 13. August 2016. Der Cyber-Sicherheitsrat hat sich bisher nicht mit diesem Vorfall befasst.
18. Wann war das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmalig mit diesem Vorgang befasst und was hat es hierzu zwischenzeitlich veranlasst?
Zu 18.
Auf die Antworten zu den Fragen 1, 2, 4, 15 und 17 wird verwiesen.
19. Gibt der Vorfall der Bundesregierung Anlass, ihre Bewertung der Vorteile und Risiken der Neugründung der sogenannten ZITiS-Behörde zu überdenken, welche selbst zum ausgewählten Ziel von Angriffen werden dürfte, die bei Erfolg gravierende Risiken für die nationalen Kommunikationsinfrastrukturen als auch für die Betriebs- und Geschäftsgeheimnisse von Unternehmen der Wirtschaft nach sich ziehen?
Zu 19.
ZITiS wird sehr strengen personellen und materiellen Sicherheitsregeln unterliegen, die im Besonderen auf die IT-Infrastruktur Anwendung findet. Die neue Behörde wird sich damit in die Sicherheitsstandards von BKA (Bundeskriminalamt), BPOL (Bundespolizei), BfV (Bundesamt für Verfassungsschutz), BND und BSI einreihen. Ferner werden auch für ZITiS die Grundsätze der Verschlusssachenanweisung (VSA) gelten, durch die zusätzliche hohe Standards für die Verwahrung schützenswerter Erkenntnisse festgeschrieben sind.