Hackerangriff auf die Bundesregierung

Cyberangriff auf Bundesregierung: Einfallstor Outlook?

Lt. eines Berichts der Süddeutschen Zeitung und anderer Nachrichtenportale war wohl Outlook das Einfallstor für die Spionageattacke auf das Netz der Bundesregierung. Konkret wurde Outlook – lt. der in dem Artikel enthaltenen Informationen – wohl zur Steuerung der bereits infizierten Rechner genutzt.

Outlook – wer liest meine Mails?

Fernsteuerung von PCs über Outlook: Der Anhang von Mails enthielt in diesem Falle versteckte Steueranweisungen für den bereits auf den jeweiligen PCs aktiven Schadcode. Emails werden von Outlook standardmäßig automatisiert heruntergeladen, was in diesem Falle wohl bereits ausreichend war – ein Öffnen der Mail bzw. des Anhangs durch den Benutzer war wohl nicht erforderlich.
Auf diese Art und Weise konnten die Angreifer die infizierten PCs „elegant“ (Zitat aus dem verlinkten Artikel) fernsteuern – sie mussten lediglich eine Email an die entsprechende Adresse senden.
Um es nochmals zu wiederholen: Es reicht bereits aus, eine entsprechend präparierte Email an ein Outlook-System zu senden, um das zugehörige System fernzusteuern.
Die zu stehlenden Dokumente wurden wohl ebenfalls über Outlook versendet, da die sonst übliche Methode des Datendiebstahls – Aufbau einer verschlüsselten Verbindung zum Empfänger – innerhalb des befallenen Informationsverbund Berlin-Bonn-Netzwerkes blockiert wird.

Microsoft – ein „verdammtes Pulverfass“?

Unklar ist wohl noch, wie die Erstinfektion der PCs stattfand. Lt einer anderen Quelle könnte dies über eine Phising-Mail mit einer gefälschten Absenderadresse geschehen sein, in welcher der Empfänger zum Öffnen eines (infizierten) Anhangs – konkret eines Excel-Dokuments – aufgefordert wurde.
Weiterhin ist nicht bekannt, in welchem Umfang Datendiebstahlt stattfand, welche (auch internationalen) Institutionen betroffen waren und wann der Cyberangriff entdeckt wurde. Dies alles sei, lt. Aussage des Informanten der Süddeutschen Zeitung, „ein verdammtes Pulverfass“.

Cyberangriffe: Fragen über Fragen

Der oben beschriebene Ablauf wirft natürlich einige Fragen auf. Denn tatsächlich handelt es sich, sollte dies so stattgefunden haben, um ein „Pulverfass“. Wohlgemerkt: es handelt sich bei den betroffenen Daten nicht um Kochrezepte, Katzenbilder oder Geburtstagslisten, sondern um Staatsgeheimnisse.
Die Cyberspione machten sich hier wohl eine simple Tatsache und weltweit vorhandene Schwachstelle bzgl. der IT-Sicherheit zunutze: das weltweit im Einsatz befindliche Office-Paket von Microsoft sowohl die Unmöglichkeit für einen Anwender, gut gemachte gefälschte Phishing-Mails zuverlässig und in allen Fällen zu erkennen. Wobei sich die Gefährlichkeit dieser Phishing-Mails erst durch die mangelhafte Sicherheit der verwendeten Microsoft-Produkte ergibt.

Cyberangriff – was ist das?

Bisweilen kann der Eindruck entstehen, dass genau diese Art von Frage an verantwortlichen Stellen immer noch gestellt wird. Die Digitalisierung ist in den Köpfen vieler ranghoher, in Regierungsverantwortung stehender Menschen immer noch nicht angekommen – werder deren Chancen, noch deren Risiken.
Die Welt der Berliner Führungsriege ist großteils immer noch analog. So fallen der neuen Staatsministerin für Digitalisierung, Frau Dorothee Bär, in einem Interview des Heute-Journals beim Thema Digitalisierung beispielsweise als erstes die mittlerweile viel zitierten „Flugtaxis“ ein.

Closed-Source Software: ein Sicherheitsrisiko

Ein neutraler Beobachter kann es nur als grobe Fahrlässigkeit betrachten, innerhalb einer Sicherheitszone kommerzielle, weltweit verbreitete Closed-Source Software einzusetzen.
Die Systemverantwortlichen haben bei einer solchen Closed-Source Software absolut keine Möglichkeit nachzuvollziehen, was innerhalb der Software vor sich geht, wo evtl. Sicherheitslücken bestehen und wie diese Sicherheitslücken zu schließen sind. Vielmehr sind sie auf Gedeih und Verderb dem jeweiligen Softwarehersteller geradezu ausgeliefert. Einem Softwarehersteller, welcher bei einem weltweit verbreiteten System wie dem Office-Paket von Microsoft zwangsweise überfordert ist, sämtliche denkbaren Sicherheitslücken und Cyberangriffsmöglichkeiten zuverlässig zu schließen.

Nur noch zum Kopfschütteln

Dies alles ist umso mehr zum Kopfschütteln, da bereits längst zuverlässig funktionierende Open-Source Alternativen zum Microsoft-Biotop bestehen. Thunderbird als Email-Client steht dem Mail-Client Outlook in nichts nach, und auch für die sonstigen Outlook-Funktionen gibt es – wenn sie denn überhaupt verwendet werden – zuverlässige Alternativen.
Als Alternative für Word und Excel bietet sich die Open-Source Alternative Libre Office an – ein Infektionsweg wie der oben beschrieben wurde, wäre hier schlicht nicht möglich.

Unternehmen sollten handeln

Kommerzielle Anwender / Unternehmen sollten sich im Hinblick auf die oben beschriebenen Sicherheitslücken überlegen, ob sie tatsächlich weiterhin kommerzielle Closed-Source Software einsetzen möchten. Auch Firmen besitzen schützenswerte Daten, deren Diebstahl oder Offenlegung fatal wäre – auch wenn es keine Staatsgeheimnisse sind. Verantwortlichen Personen sei angeraten, sich selber einmal die Frage zu stellen was wäre, wenn Konkurrenzunternehmen oder Kriminelle Zugriff auf das Firmennetzwerk mit sämtlichen dort enthaltenen Informationen hätten? Was wäre, wenn Kriminelle alle in Ihrem Firmennetzwerk vorhandenen Daten löschen oder verschlüsseln würden, um hierfür ein Lösegeld zu erpressen? Wäre es nicht lohnend, zur wesentlichen Minderung dieses fatalen Risikos eine kleine Umgewöhnung hinsichtlich der verwendeten Software zu akzeptieren?
Den ersten Schritt hierzu können Sie bereits heute tun: sprechen Sie uns an.

Hackerangriff auf die Bundesregierung

Wie gestern (28.02.2018) bekannt wurde, war das interne Netzwerk der Bundesverwaltung – der Informationsverbund Berlin-Bonn (IVBB) – über einen längeren Zeitraum hinweg (die Rede ist von bis zu einem Jahr) Opfer eines Hackerangriffs. Über das IVBB wird insbesondere die interne Kommunikation der Bundesbehörden abgewickelt. So sind an das IVBB beispielsweise diverse Sicherheitsbehörden, das Bundeskanzleramt, die Bundesministerien sowie der Bundesrechnungshof angeschlossen.
Hauptziel der Ausspähaktion waren scheinbar das Außenministerium sowie (hier sind die Angaben widersprüchlich) das Verteidigungsministerium.
Wie mittlerweile bekanntgeworden ist, waren wohl auch andere Staaten von der Ausspähaktion betroffen.
Der Bundestag, die höchste gewählte demokratische Instanz, erfuhr übrigens aus der Presse von dem Vorfall. Auch das Parlamentarische Kontrollgremium, dessen Aufgabe die demokratische Legitimation und Überwachung der diversen Sicherheitsdienste des Bundes ist, war hiervon lt. Aussagen einiger Mitglieder nicht ausgenommen.
Noch ist es unklar bzw. nicht veröffentlicht, welche Dokumente und welche Informationen die Angreifer erbeuten konnten.
Über Identität und Hintergrund der Angreifer kann realistischerweise nur spekuliert werden. Für einen kompetenten IT-Spion dürfte es ein leichtes sein, die Spuren zu verwischen sowie falsche Hinweise zu legen. So ist auch die Vermutung es würde sich um die russische Gruppe APT28 handeln, nicht mehr als eine reine Spekulation.
Dieser erneute Vorfall bringt die gesamte Misere europäischer IT-Politik zutage. In nahezu der gesamten öffentlichen Verwaltung werden nach wie vor Standardprodukte von der Stange eingesetzt, insbesondere aus dem Hause Microsoft und US-amerikanischen Netzwerkausrüstern wie beispielsweise Cisco. Diese Produkte bieten einem potentiellen Angreifer ein nahezu perfektes Biotop. Sie sind weit verbreitet, einfach zu beschaffen und zu analysieren und unterliegen zudem keinerlei öffentlicher Kontrolle, da der zugehörige Quellcode nicht offengelegt ist.
Eine einmal entdeckte Sicherheitslücke – ein sog. Exploit – kann zunächst unbemerkt und ohne Abwehrmöglichkeit auf sämtlichen zugehörigen System eingesetzt werden. Bis zur Schließung einer solchen Lücke können wenige Tage bis hin zu mehreren Jahren vergehen, wenn die Lücke anderweitig unentdeckt bleiben sollte.
Aufgrund der Struktur des Systems „Closed Source“ bleibt Öffentlichkeit bei der Entdeckung und der Behebung hiervon ausgeschlossen und kann nur auf die Kompetenz und Ehrlichkeit des jeweiligen Herstellers vertrauen.
Um ein gesamtes Netzwerk zu infizieren kann es bereits ausreichen, einen sich innerhalb des Netwerkes befindlichen Anwender zum Öffnen einer zuvor entsprechend präparierten Email oder zum Aufruf einer zuvor entsprechend präparierten Netzseite zu bewegen. Auch eine Infektion über einen externen Datenträger (z.B. USB-Stick oder auch über eine angeschlossene Digitalkamera oder ein Smartphone) ist jederzeit denkbar.
Ist dies einmal geschehen und der entsprechende Angriffscode im Sinne des Angreifers „gut“ verfasst, so besteht ab diesem Zeitpunkt auf Grund der Gleichartigkeit der innherhalb des Netzes vorhandenen Systeme für den Angreifer ein leichtes Spiel.
Leider hat es die Europäische Union bis heute versäumt, entsprechende europäische Standards zu schaffen und gerade im öffentlichen Bereich konsequent auf Open Source Software zu setzen. Angefangen von der Office-Anwendung bis hin zum Sicherheitsbereich existieren bereits heute ausgefeilte Lösungen, welche ihren kommerziellen Gegenübern in nichts nachstehen und zudem bereits auf Grund ihres Konzepts ein wesentlich höheres Maß an Sicherheit bieten.
Eine 100%ige Sicherheit kann und wird es auch hier natürlich niemals geben. Jedoch muss man einem evtl. Angreifer nicht auch noch einen Roten Teppich ausrollen, wie dies mit den derzeit eingesetzten Systemen teilweise geschieht.
Die von der Fa. Laempe Riskmanagement vertriebenen Serversysteme setzen übrigens konsequent und von Grundauf – insbesondere bei der Sicherheitstechnik – auf Open Source Software. Und auch für Büroarbeitsplätze bieten wir interessante Alternativen auf Open-Source Basis an.