Experte zum Hackerangriff: "Infrastruktur der Regierung muss erneuert werden"

Tom Van de Wiele, Sicherheitsexperte bei F-Secure, ist spezialisiert darauf, Firmen anzugreifen, um deren Schwachstellen in der IT zu finden. Im Interview mit t-online.de erklärt er, welche Fehler zum Angriff auf das Regierungs-Netzwerk geführt haben.

t-online.de: Ist schon bekannt, wie der Angriff genau abgelaufen ist? Kann der erste Kontakt über eine Phishing-Mail gelaufen sein?

Tom Van de Wiele: Es gibt bis heute nur Spekulationen über Herkunft, Ausmaß und Auswirkungen des Sicherheitsvorfalls. Die vorliegenden Informationen sind sehr dünn für eine abschließende Bewertung. Im Grunde sind jeder Schnittpunkt eines Computersystems zum Internet, aber auch USB-Ports ein potenzielles Einfallstor. Der fahrlässige Umgang mit E-Mails eröffnet Angreifern häufig die Möglichkeit, Schadsoftware ins System einzuschleusen – ob das beim Hack des Bundesnetzes auch so war, kann im Moment kein Außenstehender beantworten. Es kann aber auch ein veraltetes System gewesen sein, ein nicht oder zu spät installiertes Sicherheitsupdate oder etwas ganz anderes. Hacker sind kreativ und lassen sich immer wieder neue Wege einfallen.

Offenbar lief der Angriff schon seit Ende 2016. Wie konnte er so lange unentdeckt bleiben?

Das Parlamentarische Kontrollgremium des Bundestags hat bekanntgegeben, dass der Angriff seit langem bekannt und unter Kontrolle war. Zugleich verlautete, dass er immer noch andauert. Ob es sich um eine Schutzbehauptung oder tatsächlich um den Versuch handelt, durch Beobachtung eines laufenden Angriffs Erkenntnisse zu gewinnen, ist derzeit nicht zu beurteilen. Zu wissen, was vor sich geht und in der Lage zu sein, zu bestätigen, dass es sich tatsächlich um einen Vorfall handelt, sind die ersten Schritte eines so genannten "Incident Response Plans". Die meisten Organisationen werden mit bestimmten Protokollierungs- und Überwachungs-Einstellungen ihres Betriebssystems oder Netzwerkgeräts betrieben. Diese liefern allerdings nicht genügend Daten für die Untersuchung. Damit ist die Suche nach den Ursachen zum Scheitern verurteilt. Man darf vermuten, dass Regierungsorganisationen einen höheren Aufwand zur Protokollierung der Prozesse, zur Analyse der Situation und zur Ausarbeitung eines Reaktionsplans betreiben. Ob sie damit aber auf Augenhöhe mit einem kriminellen Angreifer sind und den Angriff tatsächlich abwehren können, das lässt sich derzeit nicht sagen.

Ist schon bekannt, von wo der Angriff kam? In Berichten ist von der russischen Hackergruppe "Snake" die Rede?

Aktuell gibt es wenig überprüfbare Detailinformationen, ohne die eine seriöse Einschätzung von außen unmöglich ist. Zu diesem Zeitpunkt gibt es nur Spekulationen über Herkunft, Ausmaß und Auswirkungen des Sicherheitsvorfalls. Zunächst hieß es ja, dass die russische Hackergruppe "APT28" schuld sei. Und viele Medien haben das übernommen, obwohl keine Belege für die Behauptung vorgelegt wurden. Jetzt geistert die Gruppe "Snake" durch die Medien. Ob dieser Angriff überhaupt aufgeklärt werden kann und am Ende sogar zweifelsfrei auf eine bestimmte Gruppe zurückzuführen ist, bleibt abzuwarten.

Die eindeutige Zuordnung von Cyberangriffen – wir nennen sie Attribution – ist in jedem Einzelfall extrem schwierig. Der Angreifer – egal ob Einzel-Täter, Hacker-Gruppe auf eigene Rechnung oder im Regierungsauftrag – kann mit zahlreichen Techniken seine Herkunft verschleiern und sogar falsche Fährten legen. Vereinfacht gesagt: Wenn eine Attacke von einer spanischen IP-Adresse erfolgt, dann muss dahinter nicht zwingend die spanische Regierung stecken.

Offenbar ist der Schaden relativ gering, die Rede ist von sechs Dokumenten. Warum wurde nur so wenig kopiert?

Wir kennen verschiedene Muster hinter Cyber-Angriffen. Eine verbreitete Strategie ist, in möglichst hoher Zahl und automatisiert übers Internet bei Computersystemen „anzuklopfen“ und herauszufinden, ob es eine Zugriffsmöglichkeit auf schützenswerte Daten gibt, die dann in großem Volumen heruntergeladen werden. Da wird quasi erst nach einer Analyse der erbeuteten Daten entschieden, ob und wie daraus Kapital geschlagen werden kann. Wenn nur wenige Daten „gestohlen“ werden, deutet das darauf hin, dass gezielt nach speziellen Informationen gesucht wurde – was häufiger im Spionage-Bereich passiert. Das sind typische Muster, allerdings sollte man sich hüten, davon ausgehend bereits Schlussfolgerungen auf den aktuellen Vorfall zu ziehen – dafür wissen wir einfach zu wenig. Das ist sozusagen nur ein Ausschnitt, man müsste aber das gesamte Bild sehen.

Was muss passieren, damit ein solcher Angriff nicht noch einmal passiert? Auf technischer Seite, aber auch bei den Mitarbeitern?

Regierungen haben miteinander verbundene Systeme und Netzwerke und teilen Informationen, greifen auf dieselben Datenbanken zu und teilen sich die Infrastruktur. Die gesamte Regierung eines Landes anzugreifen und ein bestimmtes System kompromittieren zu können, entspricht dem klassischen Modell von Offensive und Defensive: Der Angreifer muss nur einen einzigen Weg finden, der Verteidiger muss alles verteidigen. Die meisten Angriffe können auf einzelne Schwachstellen oder Phishing-Kampagnen zurückgeführt werden. Angreifer scannen regelmäßig das Internet auf regierungs-eigene IP-Adressen und erkennen, welche Software läuft. Wenn veraltete Software durch die Veröffentlichung so genannter neuer Bulletins für Sicherheitslücken innerhalb Stunden oder Minuten im Internet auftauchen, hat der Angreifer den Vorteil, dass die Regierungen vermutlich selbst von der Sicherheitslücke nicht Bescheid wissen. Und auch wenn: Die meisten öffentlichen und privaten Organisationen sind immer noch damit beschäftigt, alte Sicherheitslücken zu schließen. Denn sicherzustellen, dass die Software gesichert wurde, bevor jemand die Sicherheitslücke ausnutzt, was zum willkürlichem Zugriff, Datenmissbrauch oder Manipulation führen kann, ist nicht einfach.

Das bedeutet: Die häufig veraltete Infrastruktur unserer Regierungsorganisationen muss erneuert und abgesichert werden. Die Überwachung und Protokollierung der Aktivitäten im Netzwerk darf nicht nur an der Eingangstür, sondern muss in die Tiefe laufend im gesamten Netzwerk erfolgen. Dafür brauchen die Behörden fähige IT-Security-Experten, aber auch in der Breite geschulte und sensibilisierte Mitarbeiter, die zum Beispiel nicht auf das „Spear Phishing“ hereinfallen, bei dem mit gezielten E-Mails an einzelne Personen getarnte Schadsoftware eingeschleust werden.