Trojaner in Berlin: Neues Netzwerk für den Bundestag

Seit Anfang Mai 2015 werden die Computer-Netzwerke des Deutschen Bundestags von Hackern attackiert. IT-Spezialisten der Bundesregierung und externe Dienstleister versuchen seit Wochen vergeblich, die Angreifer ausfindig zu machen, die das Computernetzwerk des Deutschen Bundestages mit Schadsoftware (Malware, Trojaner) infiltriert haben, Daten unberechtigt kopieren und an unbekannte Netz-Adressen weiterleiten. Den Hackern ist es gelungen, durch die installierte Schadsoftware über Monate hinweg immer weitere Rechner des Bundestags und der Fraktionen zu infizieren und so immer tiefer in die verschiedenen Bundestagssysteme einzudringen. Da sie mittlerweile über den “Generalschlüssel” (d.h. Administrator-Rechte) verfügen, ist das gesamte Netzwerk, mit über 20.000 Rechnern, nach Aussage der Experten nicht mehr zu retten

SZ (10.6.2015): Schließlich übernahmen die Hacker den sogenannten Verzeichnisdienst des Bundestages, einen Knotenpunkt, an dem alle etwa 20.000 Parlaments-Computer in einem Netzwerk zusammengefasst sind. Die Angreifer können somit schalten und walten wie sie möchten, und zwar: bis heute. Denn das ist die zweite unheilvolle Botschaft: Der Angriff ist noch immer nicht unter Kontrolle. // http://www.sueddeutsche.de/politik/berlin-bundestag-bekommt-hackerangriff-nicht-unter-kontrolle-1.2515345

Tagesschau (10.6.2015): Die Angreifer haben … Zugriff auf beliebige Systeme des Bundestages sowie auf alle Zugangsdaten der Fraktionen, Abgeordneten und Bundestags-Mitarbeiter. Auch weil die Angreifer mittlerweile Administratorenrechte im Bundestag an sich gebracht haben, empfiehlt das BSI nun, das alte System aufzugeben und ein neues Netzwerk aufzubauen. // http://www.tagesschau.de/inland/bundestag-it-101.html

Definitiv keine Daten (Passwörter, vertrauliche Dokumente, Gesetzentwürfe, Protokolle und Notizen) sind mehr sicher. Letztlich hilft wohl nur, das komplette Netzwerk mit allen Rechnern vom Netz zu nehmen und auszutauschen. Ob “nur” Software neu eingespielt und konfiguriert werden muss oder auch Hardware zu tauschen ist, ist derzeit offen. Der Aufbau einer neuen Infrastruktur dauert Wochen. Aber auch eine neue Infrastruktur wäre nur kurzzeitig “sicher”, da weder Auftraggeber noch Angriffswege der aktuellen Attacke bekannt sind. Es ist wie bei jeder Ausspäh-Aktion. Solange man die Täter nicht kennt und auch nicht weiß, wann, wo und vor allem wie sie agieren, hilft es wenig, neue Rechner und Netzwerke zu installieren. Auch jeder neue Rechner wird zur potentiell neuen Angriffsfläche, die aktuellen (oder modifizierte) Trojaner dürften kurz darauf wieder aktiv werden – und sei es, dass sie bei der Datensicherung mitgesichert wurden und erneut mit Zeitverzögerung aktiv werden. De facto heißt das: Neue Hardware und neue Netzwerkkonfigurationen verursachen ausschließlich Kosten ohne verläßlichen Nutzen, solange man die Störquelle nicht kennt.

Offline ist das neue Online

Die notwendig zu stellenden Konsequenzen sind dabei ganz lapidar. Nicht einmal dem Deutschen Bundestag mit seiner professionellen IT-Infrastruktur, mit eigenen Abteilungen für IT-Sicherheit, mit dem BSI und deutschen Nachrichtendiensten vor Ort, als bekanntes Ziel für potentielle Cyber- und Spionage-Attacken gelingt es, sich gegen derartige Hackerangriffe zu schützen. Wie sollen sich da “normale” Unternehmen und Dienstleister wehren können, die ja laut digitaler Agenda gar nicht schnell genug ins Netz gehen können und  zu Unternehmen der “Industrie 4.0” werden sollen? Vielleicht könnte man darüber nachdenken, dass es Unternehmen geben soll, deren Tagesgeschäft NICHT die immer umfangreichere Beschäftigung mit den Folgen der Digitalisierung und der Vernetzung ist?

Die notwendigen Konsequenzen und Alternativen sind übrigens ebenso bekannt, wenn auch politisch nicht opportun. Solange es keine zuverlässigen Methoden das Datenschutzes von Rechnern im Netz gibt (d.h. nie!), müssen Rechner mit kritischen Daten (F&E, bei Agenturen neue Kampagnen etc.) vom Netz genommen werden. Die (berufliche!) Kommunikation (eMail & Co.) und Recherche im Web läuft über separate Rechner.  Die private Kommunikation wird nicht über Unternehmens-IT geführt. Arbeitsrechner mit sensiblen Daten sind physisch (kein Kabel, kein WLAN) vom Netz getrennt. Oder es müssen gleich ganz neue Systeme für sicherheitsrelevante Anwendungen (Kraftwerke, Flugzeuge, Parlamente) entwickelt werden, so der IT-Experte  Sandro Gaycken im Inteview mit der Badischen Zeitung;

So macht es Apple in seinem Design Lab, so machen es US-Unternehmen, die Neues (Produkte, Patente, Kampagnen) entwickeln  und selbst bestimmen wollen, wann etwas öffentlich wird. Das kann man von den Staaten lernen. Andernfalls werden Digitale Agenda und Wirtschaft 4.0 zu Synonymen, um Unternehmen und ihre Daten den Netzattacken der (befreundeten) Geheimdienste und der Wirtschaftsspionage (auch durch “Freunde”, das gehört zur Aufgabenbeschreibung der US-Geheimdienste) auszuliefern. Wer sich mit den Strukturen von IT und Netzwerken auskennt, weiß (oder könnte wissen), das Rechner im Netz per se nicht zu sichern sind. Gleiches gilt für die Cloud und Cloud Computing, was als Dienstleistung und Geschäftsmodell taugen mag, unter Aspekten der Datensicherheit aber indiskutabel ist.

BZ: Was müsste getan werden?
Gaycken: Eine bessere Lösung, die auch kommen muss, weil es gar nicht anders geht, ist, dass man eigenständige IT-Hochsicherheitsnetze entwickelt und für sensible Bereiche einsetzt.
BZ: Was bedeutet das?
Gaycken: Das bedeutet, dass man für sicherheitsrelevante IT-Netze den Computer komplett neu erfindet. Man braucht ganz neue Systeme, kein Microsoft, kein Apple, kein SAP, keine chinesischen Hersteller, nichts von der herkömmlichen Hardware oder Software. Ein solches eigenständiges System wäre von außen nahezu unhackbar.

Badische Zeitung, 13.6.2015: Cyberexperte: “Man braucht neue Systeme

Bis es soweit ist, sollten Rechner mit sensiblen Daten vom Web getrennt bleiben und nur als Intranet (=internes Netzwerk ohne Verbindung ins Internet) betrieben werden. Wer das für übertrieben hält erinnere sich daran, dass Hacker in den Vereinigten Staaten Ende Mai 2015 Daten von vier Millionen Regierungsangestellten erbeuteten. Wer das gemacht hat, welche Angestellten darunter waren und was mit diesen gestohlenen Daten beabsichtigt wird, ist unklar. Man könnte frotzeln und Wetten abschließen, welcher Geheimdienst es diesmal war, ein eigener oder ein externer (der “Feind”), aber es ist nicht lustig. Es bleiben Unsicherheit und Angst.  ANGST zu erzeugen wiederum ist die Methode, immer autortitärere Strukturen zu etablieren.

Versprochen wird Sicherheit, etabliert wird die vollständige Kontrolle aller.

Spiegel online: Vier Millionen Daten… // US: OPM to Notify Employees of Cybersecurity Incident

[rl, 12.6.2015]