Politik
Video
Donnerstag, 01. März 2018

Hack von Regierungsnetz: Die IT-Schwachstelle ist der Mensch

Von Benjamin Konietzny

Die aktuelle Cyber-Attacke trifft offenbar ein isoliertes, speziell gesichertes Regierungsnetz, das IVBB. Dennoch finden Hacker einen Zugang. Wie ist das möglich? Fragen und Antworten zum Angriff aufs Auswärtige Amt.

Wer wurde angegriffen?

Von einem "IT-Sicherheitsvorfall" war gestern beim Bundesinnenministerium die Rede. Die "Informationstechnik und Netze des Bundes" seien betroffen. Nach einem Bericht der "Süddeutschen Zeitung" ist unter anderem das Auswärtige Amt betroffen. Konkret soll bei dem Angriff der Informationsverbund Berlin-Bonn (IVBB) infiltriert worden sein, berichtet die Deutsche Presse-Agentur. Ein Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wollte das gegenüber n-tv.de weder bestätigen noch dementieren.

Was ist das IVBB?

Das IVBB, auch Regierungsnetz genannt, ist das speziell gesicherte Netzwerk der Exekutive. Es wurde wegen des Umzugs der Regierung von Bonn nach Berlin eingerichtet und soll den sicheren Datenaustausch zwischen den angeschlossenen Behörden und Ministerien ermöglichen. Über den Aufbau des Netzwerkes berichtete 2016 das Portal "netzpolitik.org" und veröffentlichte Dokumente, aus denen hervorgeht, dass das IVBB auf eigens konstruierter Hardware läuft.

Das IVBB galt bisher als sicher. Kurz nachdem 2015 der Bundestag gehackt worden war, sagte Bundesinnenminister Thomas de Maizière mit Blick auf das Regierungsnetz: "Der Schutzschild, den die Bundesregierung und die Bundesverwaltung um sich gezogen haben, funktioniert, und er funktioniert ziemlich gut."

IT-Sicherheitsexperte Christian Polster sagt n-tv.de: "Der Sinn dieses Netzwerkes ist eigentlich, dass genau so etwas nicht passieren kann." Polster erstellt im Auftrag von Banken, Versicherungen und Regierungsstellen IT-Risikobewertungen. "Aber anscheinend war es möglich, ausgerechnet in diesem Netzwerk Schadsoftware zu integrieren."

Das IVBB läuft auf eigener Hardware und relativ isoliert von anderen Netzen. Wie konnten die Hacker dennoch Zugang bekommen?

Die Schwachstelle sei der Mensch, so Polster. "Die Schwierigkeit dabei ist die Frage, wer solche Netzwerke wartet", sagt er und führt aus: "Mindestens der Administrator solcher Netze hat einen Remote-Zugriff und kann von extern darauf zugreifen." Wenn ein Rechner, mit dem von extern auf das Netzwerk zugegriffen wird, mit Schadsoftware infiziert werde, dann könnten Hacker auch zu einem solchen, isolierten Netzwerk einen Zugang finden.

Was haben die Hacker erbeutet?

Nicht viel, will die Deutsche Presse-Agentur aus Sicherheitskreisen erfahren haben. Demnach dauerte die Attacke bis Mittwoch an und ist nach Darstellung der Regierung inzwischen unter Kontrolle. Bei dem Angriff seien keine großen Datenmengen abgeflossen, hieß es weiter.

"Hinter der Attacke dürfte das Motiv stehen, anderen Regierungen Dokumente zuspielen zu können, die in bestimmten Situationen genutzt werden können", sagt Polster. Aktuelle und vertrauliche Bewertungen von Lagen im Ausland, von Konfliktherden - "das kann für entsprechende Regierungen natürlich interessant sein".

Welche Maßnahmen wurden ergriffen?

Ein Sprecher des BSI bestätigte n-tv.de, dass eine Spezialeinheit namens Mobile Incident Response Team (MIRT) entsandt worden sei, um vor Ort eine Schadensanalyse zu erstellen. Die Experten durchforsten den Datenfluss der betroffenen Netze und suchen nach Schlupflöchern, die Hacker in den Netzwerken hinterlassen haben könnten. Auch wenn die aktuelle Attacke abgewehrt wurde - durch Schlupflöcher und Hintertüren könnten die Hacker die Netzwerke erneut betreten.

IT-Sicherheitsexperte Polster warnt jedoch: "Aus meiner Sicht kann man nie hundertprozentig sagen, dass die Attacke vorbei ist. Wenn beispielsweise auf einem privaten Rechner Schadsoftware wie Kryptolocker fordert, dass man Geld zahlt, um den Rechner zu entsperren, dann ist der Rechner danach wieder entschlüsselt, aber im Hintergrund läuft immer noch ein Programm mit." Ähnliches gelte auch für ein Netzwerk wie das IVBB. "Irgendwo in dem Verbund aus tausenden Rechnern mag es möglich sein, dass ein Stück Schadsoftware weiterläuft. Und bis diese Software anspringt, bleibt sie in einem Modus, in dem sie nicht erkannt werden kann", erklärt Polster.

Woher kam der Angriff?

In ersten Berichten war von "russischen Hackern" die Rede. Woher die Attacke genau kam, ist jedoch bisher nicht offiziell bestätigt. In Sicherheitskreisen heißt es, die Ermittler gingen von einem klassischen Spionageangriff aus, bei dem die Cyberspione der Gruppe "APT28" recht gezielt versuchten, an Daten zu kommen. Hinter "APT28" vermuten zahlreiche Computerfachleute auch russische Regierungsstellen. Die Gruppe hat mehrere Namen und wird auch Fancy Bear, Sofacy oder Tsar Team genannt.

Wie geht es jetzt weiter?

Um 12.30 Uhr hält das Parlamentarische Kontrollgremium eine Sondersitzung ab. Anschließend soll die Öffentlichkeit informiert werden. Ein Sprecher des BSI sagte n-tv.de, dass ein umfassendes Statement am Nachmittag veröffentlicht werden solle. Auch der Digitalausschuss des Bundestages dürfte im Laufe des Tages zusammen kommen. Ein Antrag auf eine Sondersitzung stieß fraktionsübergreifend auf Zustimmung. Offiziell angesetzt war die Sitzung am Morgen allerdings noch nicht.

Quelle: n-tv.de