[ctimeline]
[ctentry date=„13. April 2015 “ label=„Ein verdächtiger Server“]
Das Bundesamt für Verfassungsschutz sperrt einen verdächtigen Server im IVBB, dem Informationsverbund des Bundes zur Vernetzung der Obersten Bundesbehörden – genau jenen Server, der später auch im Zusammenhang mit dem Cyberangriff auf den Bundestag auffallen wird.
[/ctentry]
[ctspace][/ctspace]
[ctentry date=„30. April 2015“ label=„Erstinfektion“]
Das BSI schätzt, dass etwa am 30. April der erste Rechner im Bundestag mit der Schadsoftware infiziert wurde[/ctentry]
[ctspace][/ctspace]
[ctentry date=„5. Mai 2015“ label=„Freie Bahn für die Angreifer“]
Die Angreifer melden sich auf dem Domänencontroller und einer Admin-Workstation an, sie benutzen „mimikatz“, um an Admin-Passwörter zu gelangen. Das Tool ist als Open Source auf GitHub verfügbar.
mimikatz is a tool I’ve made to learn C and make somes experiments with Windows security.
Kurz darauf können sich die Angreifer frei im Netz bewegen.
[/ctentry]
[ctentry date=„6. Mai 2015“ label=„Angreifer erreichen weitere Server“]
„Mit Hilfe extrahierter Passwörter und diverser Remote Desktop Programme“ sind die Angreifer auf andere Server gelangt.
[/ctentry]
[ctentry date=„7. Mai 2015“ label=„Erste Datenübertragung scheitert“]
Die Angreifer versuchen, erste Daten aus dem Bundestagsnetz zu übertragen. Die Übertragung scheiterte an der Größe der Datei.
[/ctentry]
[ctentry date=„8. Mai 2015“ label=„Unübliche Kommunikationsverbindungen festgestellt“]
„Im Rahmen der normalen Betriebsüberwachung“ sind unübliche Kommunikationsverbindungen zwischen Bundestagsverwaltung und einem Abgeordnetenbüro festgestellt worden. Die Rechner wurden ausgetauscht. Es habe sich „zunächst um Untersuchungen im Rahmen des Alltäglichen“ gehandelt. Später wurde festgestellt, dass die betroffenen Rechner auch Verbindung zu einem Server einer Fraktion hatten. Auf diesem Server wurde auch ein unüblicher Zugriff eines fraktionseigenen Rechners festgestellt. Es wurden dafür Accounts von Administratoren benutzt, ohne deren Wissen.
[/ctentry]
[ctspace][/ctspace]
[ctentry date=„12. Mai 2015“ label=„Der Verfassungsschutz meldet sich“]
Das Bundesamt für Verfassungsschutz setzt sich mit der Geheimschutzstelle des Bundestags in Verbindung. Es hat Infos aus dem Ausland bekommen – von Bundestagsrechnern sollen auffällige Mails geschickt worden seien. Die Geheimschutzstelle informiert das Bundestagsreferat für IT-Sicherheit. Erst jetzt wird der Angriff richtig ernst genommen. Zwei Rechner aus dem Bundestag hatten Kontakt zu einem potentiell gefährlichem C&C‑Server im Ausland. Auch BSI und Cyberabwehrzentrum wurden vom BfV in Kenntnis gesetzt.
[/ctentry]
[ctspace][/ctspace]
[ctentry date=„15. Mai 2015“ label=„Voruntersuchungen beginnen“]
Mitarbeiter des BSI sprechen mit dem Bundestag über erste Schritte, BSI und Bundestags-IT beginnen mit den Analysen. Alle Rechner im Bundestag werden mit einer Minute Vorwarnzeit heruntergefahren.[/ctentry]
[ctentry date=„16. Mai 2015“ label=„Analyse gestartet“]
Drei Mitarbeiter des BSI und zwei externe Mitarbeiter der Firma BFK nehmen die Arbeit auf. Laut eigenen Angaben verfügt das BSI über 15 Personen mit der nötigen Kompetenz, diese sind jedoch gleichzeitig mit dem Schutz der Regierungsnetze beschäftigt.
Später werden insgesamt zehn Mitarbeiter des BSI, die Firma BFK und ein „Spezialist der T‑Systems für das Active Directory“ im Einsatz sein.[/ctentry]
[ctentry date=„18. Mai 2015“ label=„Von Analyse zu ‚Übergangsbetrieb‚“]
Es erfolgt ein Übergang von der Phase „Analyse“ in einen „Übergangsbetrieb“ – wegen Presseberichterstattungen und der damit einhergehenden Vorwarnung des Angreifers. Das BSI beginnt den Einsatz seines Schadprogramm-Präventionssystems (SPS).
[/ctentry]
[ctentry date=„20. Mai 2015“ label=„Verlängerung der Speicherfrist für Verbindungsdaten“]
Die Obleute der IuK-Kommission werden über eine Verlängerung der Speicherfrist von Verbindungsdaten im Bundestag von sieben Tagen auf maximal drei Monate informiert.
Der letzte festgestellte Datenabfluss findet statt.
[/ctentry]
[ctentry date=„21. Mai 2015“ label=„6. Sitzung der IuK-Kommission“]
Die IP-Adresse, an die Daten abgeflossen sind, wird gesperrt.
[/ctentry]
[ctentry date=„27. Mai 2015“ label=„Letzte Aktion des Angreifers“]
Die letzte erkannte Aktion des Angreifers findet statt – die Installation eines Schadprogramms.
[/ctentry]
[ctentry date=„5. Juni 2015“ label=„Der Verfassungsschutz bietet sich an“]
Der Präsident des BfV, Hans-Georg Maaßen, bietet die Mithilfe seiner Behörde an. Er bittet darum, dass das BfV Informationen vom BSI erhalten darf.
[/ctentry]
[ctentry date=„10. Juni 2015“ label=„IuK-Kommission werden über Angebot des BfV informiert“]
Sie erhalten einen Aktenvermerk zu einem Gespräch mit BfV-Präsident Hans-Georg Maaßen.
[/ctentry]
[ctentry date=„vor dem 11. Juni 2015“ label=„Der Generalbundesanwalt meldet sich“]
Der GBA teilt dem Bundestag mit, dass er prüft, ob er ein Ermittlungsverfahren einleiten wird und schickt dem Bundestag einen Fragenkatalog.
Das BSI informiert das BfV über den Angriff in einer als geheim eingestuften Unterlage[/ctentry]
[ctentry date=„11. Juni 2015“ label=„7. Sitzung der IuK-Kommission“]
[/ctentry]
[ctentry date=„2. Juli 2015“ label=„8. Sitzung der IuK-Kommission“]
[/ctentry]
[ctentry date=„30. Juli 2015“ label=„Bald wird abgeschaltet und neugemacht“]
Bundestagspräsident Norbert Lammert informiert Abgeordnete und Mitarbeiter, dass die IT-Systeme des Bundestags voraussichtlich am 13. August abgeschaltet werden sollen, wenn die Griechenland-Debatte nicht dazwischen kommt.
[/ctentry]
[ctentry date=„20. August 2015“ label=„Systeme heruntergefahren“]
Vorbereitung für die Neuaufsetzung der Systeme: Die PCs im Bundestag werden heruntergefahren, die Nutzerkonten gesperrt und die Domänencontroller isoliert.
[/ctentry]
[ctentry date=„21. August 2015“ label=„Umplanen“]
Um 23:00 Uhr wird der Ablaufplan für die Neuaufsetzung umgestellt, weitere Hardware wird aufgebaut.[/ctentry]
[ctentry date=„23. August 2015“ label=„Tests erfolgreich“]
Erste Tests deuten darauf hin, dass die Neuaufsetzung der Systeme erfolgreich war.[/ctentry]
[ctentry date=„24. August 2015“ label=„Erste Systemerneuerung abgeschlossen“]
Es erfolgen letzte Tests. Um 11:30 Uhr wird durchgesagt, dass wieder eine Internetverbindung besteht.[/ctentry]
[ctentry date=„10. September 2015“ label=„9. Sitzung der IuK-Kommission“]
[/ctentry]
[ctentry date=““ label=„2016″] Es war etwas mehr los, 2016.[/ctentry]
[ctspace][/ctspace]
[ctentry date=„13. April 2015 “ label=„Ein verdächtiger Server“]
amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
[/ctentry]
[ctentry date=““ label=„2015″] Es war wirklich nicht viel los in diesem jahr.[/ctentry]
[/ctimeline]