Hacker im Netzwerk des Bundes

Bundeskanzleramt

An der Nachricht kommt man in diesen Tagen kaum vorbei: Ausländische Hacker haben es geschafft, in den “Informationsverbund Berlin-Bonn” einzudringen. Dabei handelt es sich um das besonders geschützte Netzwerk des Bundes, über das etwa Ministerien miteinander kommunizieren. Die darüber ausgetauschten Informationen sind ausgesprochen vertraulich. Umso mehr Sorge bereitet, dass die Angreifer nach neuesten Informationen bereits seit 2016 Zugriff haben und offenbar immer noch aktiv sind.

Die Hacker: Gute Bekannte?

Die bisherigen Ermittlungen verdächtigten zunächst die APT28-Gruppe. Es wäre nicht der erste Angriff dieser Gruppe auf Ziele in der deutschen Politik gewesen. Bereits im Mai 2015 wurde ein Angriff auf den deutschen Bundestag öffentlich, der dieser Gruppe zugeschrieben wurde.

APT28 sind aus den Medien besser unter ihren zahlreichen anderen Namen bekannt, die verschiedene IT-Sicherheitsunternehmen ihnen gegeben haben. So wurde APT28 bereits als “Fancy Bear”, “Sofacy” oder “Pawn Storm” bezeichnet. Die nüchterne Bezeichnung APT28 benennt die Gruppe einfach als den 28. Urheber von Advanced Persistent Threats, der identifiziert wurde. Als Advanced Persistent Threats (“Fortgeschrittene, andauernde Bedrohungen”) werden in der IT-Branche Angriffe auf IT-Systeme bezeichnet, die über herkömmliche Hacker-Attacken hinausgehen. Die Definition von APTs wurde in den letzten Jahren erheblich verwässert, gemeinhin werden damit aber gezielte, ausgefeilte und andauernde Angriffe bezeichnet. Solche Angriffe erfordern erhebliche technische Kenntnisse, Erfahrung und Finanzierung. Daher wird in den meisten Fällen als Urheber solcher Angriffe ein “Nation State Actor”, also ein staatlicher Angreifer, vermutet. Solche staatlichen Angreifer werden meist Geheim- und Nachrichtendiensten zugeordnet, ihre Ziele sind zumeist Großunternehmen (Industriespionage) oder Regierungsorganisationen (Spionage). Die Gruppe APT28 wird immer wieder mit dem russischen Geheimdienst GRU assoziiert.

Nach Veröffentlichungen vom zweiten März erhärtete sich der Verdacht gegen APT28 nicht, stattdessen wird eine andere Hackergruppe, die als “Snake”, “Turla” oder “Uruburos” bekannt ist, verdächtigt. Diese Gruppe ist bereits seit 2005 aktiv und wird ebenfalls häufig als russischer, gut aufgestellter Akteur bewertet.

Das Opfer: Nachlässig?

Im Nachgang des Bundestag-Hacks 2015 veröffentlichte netzpolitik.org interne Dokumente zum erfolgten Angriff und warf der Bundestags-IT Überforderung vor. Der Grünen-Abgeordnete Konstantin von Notz machte angesichts des erfolgreichen Angriffs auf den Informationsverbund Berlin-Bonn ähnliche Vorwürfe. Dieses Urteil erscheint vorschnell, solange noch keine Informationen zum konkreten Angriffsvorgang vorliegen. Sollte sich allerdings bewahrheiten, dass die Angreifer bereits seit längerer Zeit Zugriff auf das hochsensible Netzwerk hatten, würde das dringenden Handlungsbedarf aufzeigen.

Es ist ein unbequemer Fakt, dass es keine hundertprozentige Sicherheit vor gut finanzierten, speziell ausgebildeten und hartnäckigen Angreifern gibt. Setzt sich eine APT-Gruppe zum Ziel, in ein Netzwerk einzudringen, so stehen die Chancen leider sehr gut, dass sie es auch irgendwann schaffen wird. Dieses Risiko ist akzeptabel, solange ein solcher erfolgreicher Angriff zeitnah entdeckt wird, denn dann ist es möglich, die Angreifer zu isolieren und aus dem Netzwerk zu entfernen, bevor sie maximalen Schaden anrichten können. Durch technische Kenntnisse und Erfahrung sind APT-Gruppen zwar meist in der Lage, Spuren zu verwischen, doch vollkommen spurlose Angriffe sind technisch unmöglich. Gerade bei einem solchen hochsensiblen und gegen Angriffe gehärteten Netzwerk wie dem Informationsverbund Berlin-Bonn sollte ein Angriff sehr zeitnah aufgespürt werden können, alles andere dürfte auf eine mangelhafte Ausstattung oder Kompetenz der Verantwortlichen im Bereich der IT-Security hindeuten.