Angriff auf Regierungsnetz: Bundesregierung bestätigt, dass sicheres Regierungsnetz unsicher ist

Der erfolgreiche Angriff auf als sicher geltende Regierungsnetze zeigt: Unsere Infrastruktur ist verletzlich. Doch der Staat ist selbst Teil des Problems. Anstatt Sicherheitslücken so schnell wie möglich zu melden und zu schließen, spielt die Staatstrojaner-Strategie Angreifern in die Hände.

Das deutsche Regierungsnetz ist rostiger als zuvor bekannt. Die Staatstrojaner-Strategie der Bundesregierung sorgt dafür, dass das auch so bleibt. CC-BY 2.0 Jakob Montrasio

Das als sicher geltende interne Netzwerk des Bundes ist wahrscheinlich ein Jahr unsicher gewesen, meldet die Deutsche Presseagentur (DPA) unter Berufung auf Sicherheitskreise. Ziel seien das Außen- und das Verteidigungsministerium gewesen, laut Süddeutscher Zeitung gab es im Auswärtigen Amt einen entsprechenden Vorfall.

Das Bundesinnenministerium bestätigte, „dass derzeit durch das BSI und die Nachrichtendienste ein IT-Sicherheitsvorfall untersucht wird, der die Informationstechnik und Netze des Bundes betrifft“. Der Angriff sei innerhalb der Bundesverwaltung mittlerweile isoliert und unter Kontrolle gebracht, hieß es aus dem Ministerium.

„Sicheres“ Regierungsnetz unsicher

Laut DPA sollen die Angreifer eine Schadsoftware eingeschleust und anschließend das Datennetz der Bundesverwaltung infiltriert haben. Über diesen Informationsverbund Berlin-Bonn (IVBB) tauschen die Obersten Bundesbehörden Daten aus, laut Regierungsinformationen „zuverlässig und sicher“. Das ist nicht mehr länger haltbar: Der Angriff soll bereits vor einem Jahr erfolgt sein, entdeckt wurde er im vergangenen Dezember. Dabei sollen Daten kopiert worden sein.

Benachrichtigt wurden bislang nur die Wenigsten. So machte der stellvertretende verteidigungspolitische Sprecher der SPD, Thomas Hitschler, seinem Ärger auf Twitter Luft. Weder er noch der Verteidigungsausschuss des Bundestages seien über den Sachverhalt informiert worden. Er habe davon erst durch Medienberichte erfahren. Der grüne stellvertretende Fraktionsvorsitzende Konstantin von Notz erklärte: „Sollten sich die Meldungen bestätigen, muss die Bundesregierung schnellstmöglich aufklären, welche Daten konkret abgeflossen sind und ob im Zuge des Angriffs eine Sicherheitslücke verwendet wurde, die deutschen Behörden bekannt war.“

Den Sicherheitskreisen zufolge wird der erfolgreiche Angriff der Hackergruppe „APT 28“ zugeschrieben, bestätigt ist das aber noch nicht. Die auch als „Fancy Bear“ bekannte Hackergruppe wird russischen Regierungskreisen zugerechnet und unter anderem dafür verantwortlich gemacht, 2015 in das Netz des Deutschen Bundestages eingedrungen zu sein und dort Daten abgezogen zu haben.

Staatstrojaner-Strategie spielt Angriffen in die Hände

Die Zuordnung fällt jedoch schwer, denn die eingesetzten Werkzeuge sind oft frei im Internet verfügbar und Spuren fälschbar. Zudem wird die Bundesregierung durch ihre Staatstrojaner-Strategie selbst Teil des Problems. Im Namen der Sicherheit wird ein System der Unsicherheit unterstützt: Um in Rechner oder Smartphones von Verdächtigen einzubrechen, kaufen deutsche Sicherheitsbehörden das Wissen um Sicherheitslücken auf und horten dieses, anstatt es den Herstellern zu melden. Und solange diese Lücken nicht geschlossen sind, werden sie auch ausgenutzt, sei es von ausländischen Mächten oder von Organisierter Kriminalität.

Zwar verneinen deutsche Behörden, sich auf dem Schwarzmarkt zu bedienen. Indem sie aber auf Unternehmen wie Finfisher oder Cellebrite zurückgreifen, unterstützen sie ebenjenes System. Und unsere Infrastrukturen bleiben selbst angreifbar.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

51 Ergänzungen

      1. t-systems ist doch diese firma die kuerzlich den grossauftrag verloren hat, die verteilte office instrastruktur von thyssenkrupp auf microsoft cloud produkte umzuruesten. ein grundsatz sollte sein, dass sicherheitsrelevante oeffentliche infrastruktur ausschliesslich freie software verwendet. es gibt genug produkte hierzulande, kolab, nextcloud, suse, oder auch bessere email provider wie posteo oder mailbox.org. da koennen sie noch so viele firewall cluster zu apothekenpreisen installieren, wenn der angriffsvektor sich auf die microsoftprodukte von laptops konzentriert, bzw. die fehlende opsec bei den diversen angestellten die sich im intranet tummeln.

  1. Morgen in den Nachrichten: Schönbohm reiste mit Koffer voller Dogecoin nach Russland, um Bundes-IT freizukaufen.

  2. Immer wieder beeindruckend, das Gezeiber.
    Man ist zwar nicht in der Lage, die Systeme abzusichern, weiß aber sofort, wers war. Zum Ausgleich ist dann wohl der Angreifer zwar in der Lage da einzudringen, nicht aber seine Identität ausreichend zu verschleiern.

    Klingt absolut logisch – also ich bin überzeugt.

    Mag noch jemand Kekse?

    1. Ein Täter musste her, um den eigentlichen Verantwortlichen den Rücken frei zu halten.

      Vermutlich hat einer der Hacker aus Versehen seine Ausweisdokumente auf einem Fileserver hinterlassen. Kommt vor.

      1. @Hinrich H.
        Welches man erst nach mehreren Tagen findet ,wenn die Putzfrau kommt,oder der Maler der nach 3 Jahren das Zimmer neu streichen muß.
        Da muß man nicht lange raten,man gründet doch sicherlich schon einen Ausschuß,welcher das Versagen der Behörden untersucht,obwohl es nicht notwendig ist,denn Behörden versagen ja bekanntlich nie.

  3. Ein Jahr lang nicht gemerkt, dass das sichere(!) Netz infiltriert war.
    Aber jetzt kriegen wir das in den Griff, wir schicken die Besten der Besten, Sir!

  4. Fakenews:
    „Deutsche Autokonzerne müssen eingestehen, dass sie über Jahre hinweg gehackt wurden. Man geht davon aus, dass auf diesem Wege Schadsoftware eingebracht wurde, die selbst bis in die Steuergeräte von Neufahrzeugen vordrang, mit dem Ziel der dt. Automobilwirtschaft zu schaden. Die kriminelle Energie wähnt man in Stuxnet ähnlichen Sphären.
    Man sehne sich bereits nach dem Abschluss des Rollouts der neuesten Version des Betriebssystems für Clients und Server, die solche Angriffe abwehren können werden.
    Die eingesetzte Client-, Server-, Netzwerkhardware (z. B. CPU, UEFI/BIOS) stellt zudem einen essenziellen Baustein des überzeugenden Sicherheitskonzepts dar.
    Der vorbildliche Modus Operandus hinsichtlich des bundesrepublikanischen Vorgehens zum Ausmerzen von IT Sicherheitslücken sucht Seinesgleichen.
    Auch im Bereich Wirtschaftsspionage fühlt man seitens der Organe der Bundesrepublik beispielhaft geschützt, werden doch etwaige Selektoren für z. B. Nachrichtendienstanwendungen nach bestem Wissen und Gewissen händisch, hinter verschlossenen Türen, im bewährten Zwei-Augen-Prinzip geprüft.
    Der Angriff wird einer Hackergruppe des östlichen, eurasischen Raumes zugeschrieben, denn Freunde bei uns im Westen würden so etwas ja nicht tun. Nordkorea und China schließt man derzeit auch aus, zumal deren Netze und nationalen Firewalls einer Quasiabschottung gleichkommen. Um den ersten Schock zu verwinden, wurde erst einmal Vodka ausgeschenkt.“

  5. Ein Netzwerk ist nur Sicher, wenn die Nutzer auch mit Disziplin auf Sicherheit achten und sich entsprechende Verhaltensweisen aneignen.
    Man muss hier natürlich die Kirche im Dorfe lassen, um nicht der Paranoia zu verfallen!
    Mutti sagte immer „Lass nix liegen!“, „Räum stets auf, dann findest du alles auch wieder und du weist dann genau, das einer deine Sachen durchwühlt hat!“ (das hatte meine Mutter mal gesagt, nachdem sie bei mir Ordnung geschaffen hatte), „Ordnung ist das halbe Leben!“.
    Wir haben es aber mit behüteten Menschen zu tun, die sich nicht um ihre eigene Sicherheit kümmern, das überlassen sie den Anderen, denen sie wenig bezahlen, wie dem Wachschutz des Bundestages!
    Klar hat das nichts mit Geld zu tun, aber wenn ich als Fachkraft die Wahl habe zwischen einem Harten Job mit wenig Bezahlung und einem Job mit entsprechender Bezahlung, dann nehme ich den!
    Wenn das ein Hackerteam ist, dann ist das so und ich kann mein Kind auf eine bessere Schule schicken, mir meine Frau leisten!

    1. „…mir meine Frau leisten!“

      Ich stelle mit Erschrecken fest, daß meine Phantasie manchmal augenscheinlich zu begrenzt ist.

      Hoffentlich bekomm ich die Bilder vom pickeligen Nerd und der „geleisteten“ Frau bald wieder aus dem Kopf.

      1. Sagen wir es mal so, wenn es einen pickeligen Nerd erwischt, der sich mit fremden Federn gerühmt hat, ist das voll OK!
        Dann suchen die Behörden nicht mehr, auch gut ist der Umstand, das sie die Russen im verdacht haben, wir hatten in der Schule noch Russisch und ein paar Kyrillische ASCII Zeichen zu hinterlassen, fällt da nicht sehr schwer!
        Im Normalen Leben, deiner Umwelt, Familie etc. bist du derjenige, der mit der Knete auskommen muss und als Deutscher wird von dir erwartet das du Jammerst!
        Von deinem Büro aus, als guter Admin hast du eher wenig zu tun, bereitest du deine Nebentätigkeiten vor oder führst sie auch durch, je nach Zeitzone.
        Die Bitcoin, tauschst du nach un nach um und deponierst dieses Geld auf mehreren Debit Kreditkartenkonten, es gibt sehr viele Banken, die noch Glaubwürdig sind und du solltest ihnen schon einmal einen Gefallen getan haben, das festigt das Vertrauen ungemein!
        Wie dem auch sein mag, der Hacker könnte auch dein biederer Nachbar sein, der sich das horrende Schulgeld für sein/e Kind/er vom Munde ab spart aber es dennoch irgendwie schafft!
        Klar ist das eine philosophische Sache, aber nicht aufzufallen haben wir früher schon als Kinder gelernt und in der heutigen Zeit vermittelt man das auch seinem eigenen Nachwuchs!

          1. Ja OK, ein linguistischer Ausrutscher!
            Wayne es interessiert und als russischer Hacker durch(tarnen)gehen möchte.
            Im überigen könnten es auch die Bulgaren gewesen sein!
            „Windows-1251 ist eine 8-Bit-Codepage zur Darstellung von Sprachen im kyrillischen Alphabet wie Russisch. Sie wird auch häufig für Bulgarisch verwendet.“
            Quelle: https://de.m.wikipedia.org/wiki/Windows-1251
            Da haben die Leute vom BSI dann viel zu tun!

    2. […] wenn ich als Fachkraft die Wahl habe zwischen einem Harten Job mit wenig Bezahlung und einem Job mit entsprechender Bezahlung, dann nehme ich den […] wenn das ein Hackerteam ist, dann ist das so […]

      Ich bin davon überzeugt, dass für die meisten Fachkräfte dann doch eine entscheidende Rolle spielt, ob der besserbezahlte Job legal ist oder nicht.

  6. Das als sicher geltende interne Netzwerk des Bundes […]

    Was charakterisiert eigentlich ein ‚als sicher geltendes Netzwerk‘?

    Und wenn das hier tatsächlich zutrifft…

    Durch den von öffentlichen Netzen getrennten Aufbau des IVBB sollte ein hohes Maß an Sicherheit gewährleistet werden. (1)

    …wie wurde dann die Schadsoftware eingeschleust und wie schickt sie die Daten nach Hause?

    (1) http://www.spiegel.de/netzwelt/netzpolitik/bundesregierung-hacker-sind-angeblich-in-regierungsnetz-eingedrungen-a-1195890.html

    1. Frau Klein schrieb:
      „Was charakterisiert eigentlich ein ‚als sicher geltendes Netzwerk‘?“

      Dass dessen Abwärme offenbar zur Erzeugung ministerieller Warmluft genutzt wird.

    2. Hi hi, das wird immer lustiger.
      Der „von öffentlichen Netzen getrennte Aufbau“ hat wohl Internetanschluß!!1!!11

    1. @Marek
      Ein positiver Aidstest ist auch nicht positiv für den Betroffenen,in dem Sinne ist der IT Sicherheitsfall auch nicht negativ,sondern positiv,d.h. nicht gut für den Betroffenen.,können Sie mir folgen? :-)

  7. Ich zähl dann mal die Zeit runter, bis der erste kommt, der eine Erhöhung der Zeiberausgaben fordert.

    1. Ich denke auch, das ist Teil der Strategie.
      Ähnliches Spielchen bei der Truppe: Missstände beklagen, um Akzeptanz für Aufrüstung zu schaffen.

  8. Die aktuelle Meldungen aus dem Geheimdienst-Kontrollgremium des Bundestages passen tatsächlich stimmig mit den bisherigen Infos überein, dass man die Attacke schon früher entdeckt aber eben nicht sofort abgewendet sondern isoliert und kontrolliert überwacht hat. Dies wäre eine gute Methode um Ziel, Motivation und Ursprung des Angreifers näher zu ermitteln. in diesem Falle könnte die mutmaßliche Hackergruppe selbst „Opfer“ einer gezielten Aufklärung und durch deutsche Behörden quasi „auf frischer Tat ertappt“ worden sein. Das politische Nachspiel wird interessant.

      1. @Horst: Eine Erklärung wäre, dass man den Angriff nach wie vor bewusst laufen lässt. Dagegen spricht, dass die Angreifer mittlerweile durch die Medien wissen müssten, dass sie entdeckt sind. Andererseits will das BSI vielleicht auch nur beobachten können ob/was die Angreifer unternehmen um ihre Spuren zu verwischen wie das Löschen von Code-Fragmenten der eigenen Tools etc. Oder man will die Angreifer selbst im Glauben lassen dass man als Verteidiger noch kein Gegenmittel gefunden hat um diese in falscher Sicherheit zu wiegen. Das bleibt natürlich alles Spekulation.

        Den aktuellen Informationsstand nebst Einschätzung versuche ich übrigens hier zusammen zu fassen: https://cyber-peace.org/2018/02/28/cyberattacke-auf-deutsche-regierungsnetze/

        1. Hallo Thomas,

          auf deiner Seite schreibst Du „Wir fanden außerdem Indizien, die darauf hindeuten, dass die Autoren von Uroburos russisch sprechen.“

          Ich hab auch Russisch gelernt. Da ich das gelegentlich auch im wirklichen Leben bei Muttersprachlern anwenden konnte, wäre es selbst für mich also keine große Kunst solche Spuren zu legen.

          Gibt es da aus deiner Sicht irgendwas belastbares, als solch simple Andeutungen?
          Wie könnte je ausgeschlossen werden, daß da jemand unter falscher Fahne segelt?
          Gibt es in der IT überhaupt irgendwas, was nicht zu kopieren oder (ver)fälschen wäre?

          Wenn ich sowas machen würde und es mir nicht nur um mein Ego ginge, würde ich doch alles tun, meine Spuren zu verwischen und falsche zu legen.

          Insgesamt halte ich das ganze Gezeiber für leichtfertig, unseriös und (unnötig) riskant. Allein die augenscheinliche Tatsache, daß man das vorgeblich sichere und abgeschlossene Netz dann doch mit dem Internet verbunden hat, kann man doch nur als dumm und/oder vorsätzlich gefährdend bezeichnen.
          Leider kann ich mich des Eindruckes kaum noch erwehren, daß es darum geht, ab 5Uhr45 zurückzeibern zu können. Die schon bestehenden Drohungen, auf Gezeiber analog reagieren zu wollen, machens nicht besser.

          1. @Horst: Hi, der zitierte Satz ist nicht von mir sondern aus der verlinkten GDATA Studie zum Vorfall.

            Zu deiner Frage: Sprachliche Besonderheiten können maximal ein Indiz unter vielen sein und sind natürlich gut geeignet für falsche Fährten. Wenn aber bspw. mutmaßlich die selbe Gruppe immer wieder mit gleichen sprachlichen Präferenzen auftritt, das über Jahre hinweg und auch bspw. Aktivitätszeiten zu den Zeitzonen passen dann kann das schon ein starker Hinweis sein.

            Falls dich der Aspekt der Abschreckung näher interessiert (und die Gründe warum Staaten so agieren) dann habe ich hier ein wenig dazu geschrieben https://cyber-peace.org/2015/04/26/die-neue-us-cyberstrategie-und-die-rolle-der-abschreckung/

          2. Danke für deinen Link!

            Das legt nahe, daß die Amis, jetzt sind ja plötzlich ganz viele betroffen, dahinterstecken. :D
            Warum? Na, weil man seinen Adepten schon hin und wieder mal zeigen muß, wer hier Chef im Ring ist.

            Vorher hätte ich auch Scriptkinder nicht ausgeschlossen. Wobei die Grenzen wohl fließend sein dürften.

            Seh ich mir die Zeiträume und die Salamitaktik an, wirds immer unglaubwürdiger.
            #zeibermeetoo

            Disclaimer:
            Nein, das „richtige“ meetoo seh ich nicht als unglaubwürdig an und ganz sicher auch nicht so lächerlich.

          3. „Aktivitätszeiten zu den Zeitzonen passen dann kann das schon ein starker Hinweis sein.“

            Sag das mal nem Schichtarbeiter und wunder dich bitte nicht, wenn der dich auslacht.

            Davon abgesehen haben die Russen ELF Zeitzonen und man sagt, daß Nerds sowieso seltsame Zeiten leben.

            Tut mir leid, das sind nicht mal Indizien.

          4. Himmel, was bin ich doch leichtfertig.
            Mein IT-Mensch wohnt zwar nur acht Kilometer weg, schickt mir aber Informationen und Rechnungen grundsätzlich nachts so zwischen eins und zwei.

            Das ist ja dann höchstwahrscheinlich ein Russe.

            Den stell ich demnächst zur Rede, den Zeiberterroristen, den russischen!

            Einfach hinterhältig ist ja auch seine Tarnung! Selbst seine Eltern und bestimmt auch die Großeltern haben das hier schon langfristig geplant und besiedelt. Generationsübergreifendes Schläfertum! Pfui!!!

    1. Ha! Ich glaub ich habs.

      Da ist den Zeiberlehrlingen wohl was aus dem Ruder gelaufen, bei ihren ambitionierten Spielereien und nun sitzen sie so im Dreck, daß sich nix mehr verheimlichen ließ.

      Herr, die Not ist groß!
      Die ich rief, die Geister
      werd ich nun nicht los.

      1. Zeiberclowns bei der Arbeit:

        Chef, ich glaub es wird eng!
        Mist! Sofort dblspace.exe ausführen.
        Hä???
        SOFORT! Sie Depp!

    2. Ich bin auch hochgespannt wie die Diskussion weiterläuft. Es ist natürlich nur eine „Baustelle“ von sehr vielen aber das Schadpotenzial ist schon gewaltig. Da kommt auch das „Telefonproblem“ der Kanzlerin vor einigen Jahren nicht heran.

  9. Mir ist das meiste noch unklar:
    – War das jetzt ein Angriff oder ein Einbruch ?
    – Haben die kein Intrusion Detection System oder schlägt das erst ein Jahr später an ?
    – Ist der Einbrecher noch im Netz ? Hat er Hintertüren installiert und werden diese gefunden ?
    – Wurden nur Daten gestohlen oder auch welche manipuliert und kann das überhaupt noch festgestellt werden ?
    – Haben die überhaupt etwas zu verbergen ?

    1. Abschiedsshow von De Maiziere.
      Er will sich noch einmal in Szene setzen,daher das Kasperletheater des Wichtigtuers.

      NSU Skandal,NSA Skandal…,selbst unter BTM mag niemand TDM.

  10. Sollte etwas dran sein, was ich stark bezweifel, muss man den Russen unendlich dankbar sein, dass sie den Mafiaclan ausgehoben haben. Lieber wäre mir allerdings, sie würden sofort einrücken und alle deutschen Regierungsverbrecher dingfest machen.

  11. Welcher „befreundete“ Geheimdienst könnte die Bundesregierung warnen, dass sich jemand in ihr abgeschottetes „sicheres“ und jetzt doch unsicheres Netz „verirrt“ hat? Was machen Geheimdienste denn so den lieben langen Tag? Sie lügen, spionieren, betrügen …. . Alle.

  12. sei es von ausländischen Mächten oder von Organisierter Kriminalität

    Zu welcher dieser beiden Kategorien zählen eigentlich unsere Geheimdienste?

  13. Im Zeitalter des Datenreichtums, in dem die Privatsphäre der Bürger „vermarktet“ werden soll, kann es nicht verkehrt sein, wenn das Treiben der Regierung mal etwas ausgeleuchtet wird.

    Also echte investigative Journalisten sollten heuzutage auch vor Regierungsnetzen nicht zurückschrecken. Wenn man eine Hintertür findet, warum nicht mal vorbeischauen? Die Regierung kann nicht einerseits alle Bürger zu Terroristen abstempeln und überwachen wollen und andererseits für sich andere Rechte einfordern. Das wäre eine Diktatur i.e.S.. Von daher sollten die endlich von WinXP auf Win10 umstellen, das soll ja sowas von „sicher“ sein… .

  14. Das wär mit Linux nicht passiert. Ach ja, die haben ja Linux beseitigt und sind auf die teure NSA-Spionagesoftware Windows umgestiegen.

  15. „Nach Informationen des rbb bekamen die deutschen Nachrichtendienste am 19. Dezember einen Hinweis von einem ausländischen Partnerdienst: Euer Regierungsnetz wurde gehackt. Zu diesem Zeitpunkt hatte davon in den deutschen Sicherheitsbehörden niemand etwas mitbekommen. Man machte sich auf die Suche.“
    http://www.tagesschau.de/inland/hackerangriff-bundesregierung-101.html

    Erinnert mich jetzt an Flughafen Berlin, Stuttgart 21, Bundeswehr, EURO-Rettung…..

    1. Ich hab heute mal, nur sehr halbherzig, versucht herauszufinden, wie es denn bei den anderen Ländern, die da auch befallen sein wollen, so aussieht. Gibts da etwas seriöses? Ich hab nur selbstrefferenzielles finden können.

  16. Schon vor einem Jahr wurden Dateien aus dem sicheren Netz kopiert. Ja sicher. Das wird jetzt bestimmt noch viel sicherer, das sichere Netz.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.