Outlook als Einfallstor – Update 6.3.2018
Die Süddeutsche Zeitung berichtet, dass die Hacker Microsoft Outlook dafür benutzt haben sollen, um Daten von den 17 infizierten Rechnern im Auswärtigen Amt zu kopieren und sich zuzuschicken. Die Angreifer versteckten demnach codierte Befehle in den Mail-Anhängen. Die Hacker schickten dann eine derart präparierte Mail an einen oder mehrere der bereits infizierten PCs. Outlook lädt den unauffälligen Anhang (um welchen Dateityp es sich dabei handelt, ist unbekannt) mit den darin versteckten Befehlen herunter und die auf dem PC bereits installierte Schadsoftware führt die Befehle dann aus. Diese Malware muss also nur das Postfach von Outlook überwachen und auf die an sie gerichteten Befehle warten. Der Benutzer im Auswärtigen Amt, der vor dem PC sitzt, muss nichts tun und bekommt davon auch nichts mit. Auf dem gleichen Weg, also via Mail, wurden dann vermutlich auch die kopierten Daten an die Hacker verschickt.
Laut IT-Sicherheitsexperten soll die von der Hackergruppe Turla verwendete Angriffsmethode bisher von niemandem sonst verwendet worden sein. Die SZ zitiert die IT-Sicherheitsexperten mit den Worten, die Angriffsmethode sei “elegant, weil es unauffällig ist”. Offiziell bestätigt wurde dieser Angriffsweg von der Bundesregeirung aber nicht. Sie hält sich bedeckt.
Falls tatsächlich Outlook für den Angriff verwendet wurde, steht damit fest, dass die infizierten Rechner entweder mit Windows oder mit macOS laufen. Wahrscheinlicher ist, dass es Windows-Rechner waren, die infiziert wurden. Denn das AA hatte zwar vor 2010 unter dem damaligen Außenminister Frank-Walter Steinmeier massiv auf quelloffende Software gesetzt und viele Desktop-Rechner auf Linux migriert und dadurch auch Geld bei den Lizenkosten gespart. Von der höheren Sicherheit vor Malware auf Linux-Desktop-PCs ganz zu schweigen. Doch unter Steinmeiers Nachfolger Bundesaußenminister Guido Westerwelle änderte das AA seine Marschrichtung und setzt seitdem wieder massiv Windows-PCs ein. Der Anteil der Linux-Rechner sank seitdem deutlich. Mit möglicherweise fatalen Folgen für die IT-Sicherheit.
Die Stadt München bereit derzeit eine ähnliche Rückmigration von Linux auf Windows vor.
Die undichte Stelle
Die Hacker sollen über die Bundesakademie für öffentliche Verwaltung ins Netz eingedrungen sein. In der Bundesakademie für öffentliche Verwaltung hackten die Angreifer einen Webserver; anscheinend wurden dabei digitale Lernunterlagen für einen Onlinekurs für Mitarbeiter des Außenministeriums manipuliert, wie die FAZ berichtet. Die Bundesakademie ist an das IVBB angeschlossen. Dieser Angriff ereignete sich laut heise.de bis Januar 2017.
Über die manipulierten Lernunterlagen auf dem Server dieser Hochschule des Bundesaus drangen die Angreifer bis März 2017 ins Außenministerium vor und konnten dort die Kontrolle über 17 Rechner übernehmen. Wie viele Daten die Angreifer kopieren konnten, steht noch nicht fest; in den Medien ist von einer einstelligen Zahl die Rede. Anscheinend war das Referat für Russland und Osteuropa im Auswärtigen Amt das konkrete Ziel der Attacke. Welche Betriebssysteme auf den infizierten Rechnern liefen, ist unbekannt. Das Außenministerium verwendet aber bekanntermaßen überwiegend Windows-Rechner.
Den Hinweis auf den erfolgreichen Angriff erhielten deutsche Sicherheitsbehörden im Dezember 2017 von einem ausländischen Geheimdienst, wie bild.de berichtet. Die deutschen Sicherheitsbehörden wollten den Hackerangriff noch länger beobachten und analysieren, wurden dann aber durch die Medienberichte aufgeschreckt. Deshalb suchen die deutschen Behörden nach der „undichten Stelle“, die die Information über den erfolgreichen Hackerangriff an die Öffentlichkeit getragen hat .
Das Regierungsnetzwerk gilt als besser geschützt als das Netzwerk des Bundestags, in das Hacker im Jahr 2015 eingedrungen sind. Insofern ist dieser erfolgreiche Angriff besonders besorgniserregend, zumal im Regierungsnetzwerk hochbrisante Daten abgegriffen werden können.
Hackerangriff läuft noch
Wie Spiegel Online berichtet, lief der Hackerangriff auf das deutsche Regierungsnetz auch nach Bekanntwerden immer noch. Das teilte das Parlamentarische Kontrollgremium (PKGr) des Bundestages mit. Der Angriff sei lediglich “unter Kontrolle”, was auch immer das heißen soll. Weitere Details wollen die Bundesregierung und das PKGr nicht mitteilen, um den Hackern nicht die Arbeit zu erleichtern. Lediglich die Formulierungen, dass es sich um “einen veritablen Cyberangriff auf Teile des Regierungsnetzes“ handle und dass „der Geheimnisverrat an sich ein beträchtlicher Schaden ist“, gab Armin Schuster (CDU) als Vorsitzender des Kontrollgremiums gegenüber Journalisten zu Protokoll.
Was ist passiert?
Der Angriff wurde erst am 28.2.2018 durch einen Bericht der dpa bekannt. Die Sicherheitsbehörden entdeckten den Hackerangriff nach eigenen Angaben im Dezember 2017, wie die SZ berichtet. Doch es kommt viel schlimmer: Die Hacker konnten vermutlich ein Jahr lang unbemerkt im Regierungsnetzwerk herumspionieren, bis sie im Dezember 2017 schließlich entdeckt wurden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersucht den Angriff mit einem Mobile Incident Response Team und will den Angriff mittlerweile „isoliert“ haben – das würde bedeuten, dass die Angreifer noch immer in dem Regierungsnetzwerk aktiv sind. Wichtigste Aufgabe ist es nun, alle eventuell platzierten Trojaner, Backdoors, Keylogger und andere Spionagetools aufzuspüren und auszuschalten und die Lücke aufzuspüren, über die die Angreifer eindringen konnten.
Was konnten die Hacker erbeuten?
Die Hacker drangen in das Datennetz der Bundesverwaltung ein – der so genannte Informationsverbund Berlin-Bonn (IVBB), wie spiegel.de berichtet. Über dieses Datennetz kommunizieren die Bundesbehörden untereinander. Wie viele Daten und vor allem welche Daten die Angreifer erbeuten konnten, ist unbekannt. Es ist davon die Rede, dass Daten aus dem Außenministerium und vielleicht auch aus dem Verteidigungsministerium kopiert wurden. Wobei die Informationen zum Angriff auf das Verteidigungsministerium widersprüchlich sind. Sicher festzustehen scheint derzeit nur der Angriff auf das Außenamt von Noch-Außenminister Sigmar Gabriel.
Wer kümmert sich um den Schutz vor Hackern?
Das Bundesinnenministerium ist für das IVBB verantwortlich. Wer Zugang zum IVBB bekommen will, muss sich bei der Anmeldung authentifizieren. Firewalls und Filter schützen dieses Netzwerk, auch Virtual Private Networks kommen zum Einsatz; für die Nutzer gibt es Nutzungsbeschränkungen, viele Webseiten sind gesperrt für Nutzer auss dem IVBB.
Das IVBB nutzen Teile des Bundestags, der Bundesrat, das Bundeskanzleramt, die Bundesministerien, der Bundesrechnungshof sowie Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten. Die Telekom-Tochter T-Systems betreibt das Netz, das BSI soll die Sicherheit garantieren.
Die Deutsche Telekom hat aber laut einem Bericht des Handelsblatts Berichte zurückgewiesen, nach denen der sogenannte Informationsverbund Berlin-Bonn (IVBB) Ziel des Hackerangriffs sei: “Wir haben keinerlei Erkenntnisse darüber, dass von uns betriebene Systeme in diesem Zusammenhang angegriffen wurden”. Das IVBB wird von der Telekom betrieben.
Woher kamen die Angreifer?
Das BSI will Hinweise entdeckt haben, die auf russische Hacker hinweisen. Nachdem anfangs die seit Jahren bekannte und mit Russland in Verbindung gebrachte Hackergruppe APT28 alias Fancy Bear alias Sofacy (“Advanced Persistent Threat”) für das Eindringen in das Regierungsnetzwerk verantwortlich gemacht wurde (APT28 wird für den Hackerangriff auf den Bundestag von 2015 verantwortlich gemacht), wird nun laut Spiegel Online aber die Hackergruppe Snake als vermutlicher Täterkreis gehandelt. Snake alias Turla wird von westlichen Sicherheitskreisen genauso wie APT28 dem russischen Einflussbereich zugeordnet und mit dem russischen Geheimdienst in Verbindung gebracht. An der russischen Urheberschaft des Hackerangriffs würde sich dadurch also nichts ändern, sofern die Vermutung zutreffen sollte.
Allerdings kann so eine Spur auch bewusst falsch gelegt werden. Und wirklich gute Hacker – und um solche handelt es sich offensichtlich – können ihre Spuren so gut verwischen, dass man die Urheberschaft nicht mehr erkennen kann…
Die Welt berichtet unter Berufung auf die US-Sicherheitsfirma FireEye, dass der Angriff auf das IVBB Teil einer größeren Angriffswelle gegen Ziele in der Europäischen Union sei. Demnach würden die Angreifer schon länger gezielt Außen- und Verteidigungsministerien in Staaten der Europäischen Union angreifen.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.