Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

Spekulationen laut Tim Berghoff derzeit nicht zielführend

[datensicherheit.de, 01.03.2018] Nach aktuellen Medienberichten soll es Angreifern gelungen sein, in das abgeschirmte Datennetzwerk der Bundesregierung zu gelangen: Diesen Informationsverbund Berlin-Bonn (IVBB) nutzen Regierung, Parlament, Ministerien, sowie Bundes- und Sicherheitsbehörden. Die Angreifer haben demnach bereits vor längerer Zeit Schadsoftware eingeschleust und konnten seitdem Daten stehlen. Es sei davon auszugehen, dass die Kriminellen auch an geheime Information gelangen konnten. Spekulationen über mögliche Täter seien derzeit indes nicht seriös möglich.

Angriffe oft mehrere Monate lang unentdeckt

„Beim Hackerangriff auf die Bundesregierung waren Profis am Werk“, betont Tim Berghoff, „G DATA Security Evangelist“. Es sei davon auszugehen, dass die Täter wussten wie sie ihre Spuren verwischen.
Über die Art der Daten schwiegen sich offizielle Stellen zur Stunde noch aus. Nachdem bereits 2015 Angriffe auf das Netzwerk des deutschen Bundestages öffentlich wurden, erneuerten diese aktuellen Geschehnisse die Diskussion über das Thema IT-Sicherheit in der Regierung.
Ebenso wie IT-Sicherheitsvorfälle in Großkonzernen sei der erfolgreiche Angriff eine Zeitlang unentdeckt geblieben. Im Schnitt bleibe ein Angreifer, der sich Zugang zu einem Netzwerk verschafft hat, bis zu mehreren Monaten lang unentdeckt.
Die Tatsache, dass der Informationsverbund Berlin-Bonn (IVBB) kompromittiert wurde, veranlasse Viele zu Vermutungen, welcher Art die gestohlenen Informationen sein könnten. Spekulationen dazu seien allerdings zu diesem Zeitpunkt nicht zielführend.

Das „sichere Netz“ gibt es nicht

Bisher sei bekannt, dass Schadsoftware für den „Einbruch“ genutzt wurde. Es sei davon auszugehen, dass deren Einsatz einen hohen Grad an Sachkenntnis voraussetzt. Wie genau der Angriff auf das Regierungsnetz ablief, sei ebenfalls noch unklar – die diesbezüglichen Ermittlungen dauerten noch an.
Die von der Bundesregierung genutzten Netzwerke seien natürlich auf einem höheren Sicherheitslevel angesiedelt. Unter Anderem würden bestimmte Systeme vollständig vom Rest des Internets isoliert, um es Eindringlingen zu erschweren diese zu kompromittieren.
Wie in jedem Netzwerk gebe es auch im Regierungsnetzwerk Schwachstellen, die man ausnutzen kann. Wie Sicherheitsexperten immer wieder anmerkten, gebe es „das sichere Netz“ nicht. Ziel aller Sicherungsmaßnahmen könne es daher nur sein, ein Eindringen so schwer zu machen, wie es dem Schutzbedarf angemessen ist. Mit ausreichender Motivation und mit genug finanzieller Unterstützung sei es jedoch nur eine Frage der Zeit, bis ein Netzwerk kompromittiert wird.

„Tatwaffe“ als einziges Indiz für Urheber ungeeignet

Wann immer über einen spektakulären Hack berichtet wird, möchten vor allem die Betroffenen gerne wissen, von wem der Angriff ausging – und es werde „wild spekuliert“.
Auch, wenn diese Information momentan heiß begehrt sei, wäre es derzeit unklug, sich bereits jetzt auf einen einzigen Verdächtigen einzuschießen: Es gebe zwar Hinweise, die von den verwendeten Werkzeugen auf eine Gruppierung aus Osteuropa als Urheber des Einbruchs hindeuteten – allerdings gebe es auch genauso berechtigte Gegenstimmen, die betonten, dass die Werkzeuge auch aus anderen Quellen zu beziehen seien. Die „Tatwaffe“ allein sei also als einziges Indiz möglicherweise ungeeignet.

„False Flag“-Attacke derzeit nicht auszuschließen

Denkbar wäre auch, dass man bewusst versucht, den Verdacht per „False Flag Operation“ auf besagte Gruppierung zu lenken. Deren Prinzip sei einfach: Am Tatort bleiben gefälschte Beweise zurück, die den Verdacht auf einen anderen als den eigentlichen Täter lenken sollen.
Solche Fälle habe es in der Vergangenheit auch schon gegeben – beispielsweise bei den Olympischen Spielen in Südkorea. Generell seien Schuldzuweisungen in Fällen dieser Art schwierig. Verständlicherweise werde nun von zahlreichen Stellen eine schnelle Aufklärung gefordert.

Weitere Informationen zum Thema:

G DATA SECURITY BLOG, 01.03.2018
Tim Berghoff: „Die gläserne Regierung?“ – Hackerangriff auf das Regierungsnetz

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie