Bild: Imago
Seit gestern ist es öffentlich: Hacker sind in das geschützte Datennetzwerk des Bundes eingedrungen, und das offenbar über viele Monate hinweg. In dem Netzwerk tauschen sich unter anderem das Auswärtige Amt und das Verteidigungsministerium aus. Offiziell bestätigt wurde bisher aber nicht, wo genau die Hacker eingedrungen sind und ob sie geheime Daten lesen oder stehlen konnten.Auch Medien sind sich noch uneins, welche Behörden genau angegriffen wurden. Das Innenministerium hat Motherboard gestern mitgeteilt, der Angriff sei "innerhalb der Bundesverwaltung isoliert und unter Kontrolle gebracht" worden. Obwohl bisher wirklich kaum etwas bekannt ist, gibt es drei falsche Vorurteile, über die man Bescheid wissen sollte.Wer nicht regelmäßige Berichte über Hacks verfolgt, könnte vom aktuellen Angriff auf die Bundesregierung überrascht sein. Online-Nachrichtenportale haben Eilmeldungen verschickt, die Tagesschau hat ihre Ausgabe vom 28. Februar mit dem Fall eröffnet. Tatsächlich gehören Hacks auf staatliche IT-Systeme zum Alltag. Etwa einmal pro Woche greift mutmaßlich ein fremder Geheimdienst die Regierung an, das geht aus der Antwort der Bundesregierung auf eine kleine Anfrage der Linken hervor. Deshalb ist der aktuelle Hack auch nicht als Beginn eines Cyberkriegs zu verstehen, wie einzelne Journalisten twittern, sondern als erfolgreiches Beispiel in einer Reihe erfolgloser Angriffe.Folgt Motherboard auf Facebook, Instagram, Snapchat und TwitterAußergewöhnlich ist dieser Hack trotzdem. Das gehackte Datennetzwerk gilt als besonders sicher. Wie die Deutsche Presse-Agentur berichtet, handelt es sich um den Informationsverbund Berlin-Bonn (IVBB), mit dem Bundesbehörden kommunizieren, also beispielsweise Mails und Dateien tauschen. Eine Broschüre des BSI erklärt, wie Beamte mithilfe des IVBB auch Mails, Kontakte und Notizen vom Smartphone auf ihren PC schicken.Auf der Behörden-Website heißt es: "Durch den separaten und von öffentlichen Netzen getrennten Aufbau des IVBB, konnte ein Maß an Sicherheit und Verfügbarkeit erreicht werden, das bis heute richtungweisend ist." Das stellt der aktuelle Hack wohl radikal in Frage.Zuschauer der Tagesschau vom 28. Februar 2018 hatten kaum Anlass zum Zweifel, dass Russland für den Hack verantwortlich ist: "Russische Hacker haben offenbar erfolgreich Datennetze der Bundesregierung angegriffen", heißt es dort zu Beginn. Noch deutlicher titeln die FAZ ("Russische Hacker dringen in deutsches Regierungsnetz ein") oder die Saarbrücker Zeitung ("Russische Hacker knacken deutsches Regierungsnetz"). Tatsächlich sind die Verbindungen nach Russland in diesem Fall bisher nur Vermutungen, genau wie beim Bundestags-Hack 2015.Im Mittelpunkt der Vermutungen steht die Hackergruppe ATP28, auch bekannt unter dem Namen "Fancy Bear" oder "Sofacy Group". Die dpa beruft sich auf namenlose Sicherheitsexperten, die von einem ATP28-Hack ausgehen. Auch wenn sehr vieles dafür spricht: Absolut sicher weiß man es nicht.Sicherheitsexperten und Geheimdienste gehen fest davon aus, dass die Gruppe für Russland arbeitet und sehen direkte Verbindungen zur russischen Regierung – auch aufgrund ihrer Angriffsziele und weiterer Indizien. Hacks der Vergangenheit, die ATP28 zugeschrieben werden, haben russischen Interessen genutzt, wie auch Experten der US-amerikanischen Firma FireEye beschreiben. Das Problem dabei ist: Hacker sind Meister darin, ihre wahre Herkunft zu verschleiern, falsche Fährten zu legen und dafür zu sorgen, dass sich Hinweise nicht zu Beweisen verhärten lassen.Noch ist nicht klar, auf welchem Weg die Hacker in das Datennetzwerk des Bundes eingedrungen sind. Das Blog Netzpolitik.org warnt in diesem Zusammenhang davor, dass Staaten und ihre Geheimdienste häufig Sicherheitslücken für sich behalten – und damit auch für potentielle Angreifer offen lassen.
Auf Motherboard: Umzingelt von Haien – Zu Besuch auf der Insel der Raubfische
Das ist tatsächlich ein strukturelles Problem: Geheimdienste nutzen noch nicht gestopfte Lücken, sogenannte Zero-Day-Exploits, lieber für die eigene Spionage. Dabei nehmen sie in Kauf, dass Nutzer ungeschützt bleiben. In Deutschland wird derweil diskutiert, ob die neue Sicherheitsbehörde Zitis so etwas offiziell tun darf; US-Geheimdienste tun es bereits. Würden alle Behörden solche Lücken sofort schließen lassen, wäre die IT-Welt ein großes Stück sicherer.Umfangreiche Hacks auf staatliche Behörden lassen sich dadurch aber nicht komplett abwenden. Manchmal scheitert die IT-Sicherheit nicht an einem geheim gehaltenen Zero-Day-Exploit, sondern an Nachlässigkeit und fehlenden Routinen. Der Hack auf den Bundestag 2015 zum Beispiel hätte sich einem Bericht von Zeit Online zufolge durchaus verhindern lassen, wenn das BSI den Bundestag einfach früher über eine bereits entdeckte Bedrohung informiert hätte. Ob ein Zero-Day-Exploit für den aktuellen Hack verantwortlich ist, lässt sich zumindest bezweifeln: Der attackierte IVBB ist nämlich ein abgeriegeltes Netz mit eigener Hardware.Folgt Sebastian auf Twitter
Anzeige
Vorurteil 1: Hackerangriffe auf die Regierung sind eine Ausnahme
Anzeige
Vorurteil 2: Es waren die Russen
Anzeige
Vorurteil: 3. Das Problem sind Geheimdienste, die Sicherheitslücken für sich behalten
Auf Motherboard: Umzingelt von Haien – Zu Besuch auf der Insel der Raubfische
Das ist tatsächlich ein strukturelles Problem: Geheimdienste nutzen noch nicht gestopfte Lücken, sogenannte Zero-Day-Exploits, lieber für die eigene Spionage. Dabei nehmen sie in Kauf, dass Nutzer ungeschützt bleiben. In Deutschland wird derweil diskutiert, ob die neue Sicherheitsbehörde Zitis so etwas offiziell tun darf; US-Geheimdienste tun es bereits. Würden alle Behörden solche Lücken sofort schließen lassen, wäre die IT-Welt ein großes Stück sicherer.Umfangreiche Hacks auf staatliche Behörden lassen sich dadurch aber nicht komplett abwenden. Manchmal scheitert die IT-Sicherheit nicht an einem geheim gehaltenen Zero-Day-Exploit, sondern an Nachlässigkeit und fehlenden Routinen. Der Hack auf den Bundestag 2015 zum Beispiel hätte sich einem Bericht von Zeit Online zufolge durchaus verhindern lassen, wenn das BSI den Bundestag einfach früher über eine bereits entdeckte Bedrohung informiert hätte. Ob ein Zero-Day-Exploit für den aktuellen Hack verantwortlich ist, lässt sich zumindest bezweifeln: Der attackierte IVBB ist nämlich ein abgeriegeltes Netz mit eigener Hardware.Folgt Sebastian auf Twitter