Peinlich war zum Beispiel, dass die deutschen Behörden den Eindringling nicht einmal selbst entdeckten, sondern laut Süddeutscher Zeitung erst im Dezember 2017 durch den Hinweis eines ausländischen Geheimdienstes auf die Hacker aufmerksam wurden. Besagter Geheimdienst – vermutlich der amerikanische – scannt routinemäßig in großen Datenströmen nach Mustern, die verdächtig sein könnten. Das Bundesamt für Verfassungsschutz, das in Deutschland für solche Maßnahmen zuständig wäre, darf ähnliches ohne Verdacht nicht tun. Der befreundete Dienst jedenfalls informierte die deutschen Kollegen, dass eine russische Hackergruppe mit IP-Adressen aus dem deutschen Regierungsnetz hantiere und man sich dies genauer anschauen sollte. Es dauerte noch etwa zwei bis drei Wochen, dann gelang es einer Spezialeinheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) den weiteren Weg der Hacker, die sich ins Auswärtige Amt mit sensibleren Daten vorarbeiten wollten, zu beobachten. Zunächst wollte man ihre Strategien analysieren und sie schließlich wieder hinauswerfen. Das Mobile Incident Response Team (MIRT) untersucht nun, ob es den Angreifern vorher gelungen war, einige Hintertürchen im Netzwerk zu platzieren, um später leichter zurückkehren zu können.
Hohe Dunkelziffer
Angesichts der heutigen Bedrohungslage ist der gelungene Hack ins Regierungsnetz beängstigend. Experten, darunter Arno Schönbohm, Chef des BSI, beschrieben vor einigen Monaten auf dem hessischen Cyber-Sicherheits-Gipfel das Ausmaß heutiger Cyber-Angriffe: Jedes dritte Unternehmen sei von Ransomware getroffen worden, also von Verschlüsselungstrojanern, die für die Entschlüsselung der betroffenen Daten Geld verlangen. Dabei melden viele Unternehmen nicht einmal die Angriffe, obwohl sie dazu verpflichtet sind. Es gibt also eine hohe Dunkelziffer. Laut eines weiteren Experten gibt es auf das Regierungsnetz vermutlich Tausende automatisierte Angriffe am Tag, darunter eine Handvoll gesteuerter, höherer Angriffe und jede Woche ein gezielter Angriff eines ausländischen Nachrichtendiensts. Erfolgreiche Spionageangriffe werden im Durchschnitt erst nach etwa acht Monaten entdeckt – solange können sich die Hacker in den Netzen unauffällig herumtreiben. Hinzu kommt, dass die Bundesregierung die Angriffe nur zugibt, wenn sie ohnehin durchsickern. Vermutlich gibt es also auch in der Politik eine Dunkelziffer. Was noch gravierender ist: Offenbar hat die Regierung aus vergangenen Angriffen nichts gelernt.
Das sieht jedenfalls Konstantin von Notz so. Der stellvertretende Fraktionsvorsitzende der Grünen saß im NSA-Untersuchungsausschuss und ist einer der schärfsten Kritiker der Regierung in Sachen Cyber-Security. „Es gibt im Regierungsnetz nach wie vor zahlreiche Schwachpunkte“, sagt er. „Ein Problem ist, dass beim Bund wahnsinnig viele Rechner am Netz hängen – darunter alle Ministerien. Wenn Angreifer da einmal richtig drin sind, ist das ein attraktives Umfeld.“ Es lohne sich, viel Geld in die Hand zu nehmen, um in das System kommen, weil der Preis so hoch sei – ein tiefer Einblick in die Strategien der Regierung bis hin zu den individuellen, teils privaten Informationen der Mitarbeiter. Wer den Zugang dazu finde, habe sozusagen gleich den Hauptgewinn.
Technisch höhere Hürden würden die Zahl der Angriffe reduzieren. Es bräuchte zum Beispiel kleinteilige Strukturen, damit die Beute der Hacker kleiner ausfiele, sagt Stefan Katzenbeisser, der die Security Engineering Group an der Technischen Universität Darmstadt leitet. Dann müssten die Angreifer die Verhältnismäßigkeit einer monatelangen Aktion in Frage stellen. Je mehr Aufwand Hacker betreiben müssen, desto seltener greifen sie naturgemäß an. Falls Hacker Jahre für nur einen Hack brauchen, sind ihre Ressourcen für parallele Angriffe begrenzt. „Natürlich gibt es keine hundertprozentig sicheren Systeme, aber gegenwärtig gibt es auch noch in den meisten Netzen überflüssige Schwachstellen“, so Katzenbeisser. Ein Grund sei eine gewisse Bequemlichkeit. „Auf vielen Anwendungen ist noch Windows XP im Einsatz – da finden Sie genügend Software-Fehler.“ In einem komplexen System mit vielen unterschiedlichen Software-Lösungen könne sich zudem jemand leicht verstecken, weil so viele Prozesse gleichzeitig laufen. Es sei schwer, schädliche Software darin zu finden. „Im Grunde müssten die Netze laufend auf Anomalien geprüft werden – aber ein solches Monitoring ist äußerst aufwändig, weil es sehr viele Falschmeldungen produziert.“ Es gibt zudem im Internet Tools, die die aktuellen Schwachstellen von größeren Infrastrukturen aufzeigen. Sie helfen, Angriffe leichter zu planen. „Wenn man die Netzwerke also nicht kleiner halten will, so müsste man sie wenigstens so konzipieren, dass man bei einem Angriff Teile davon isolieren und jederzeit schnelle Updates einspielen kann.“ Ein solches System baue derzeit die Deutsche Bahn auf, um die Stellwerke zentral steuern zu können – dort sei man inzwischen sensibilisiert für die Security bei solchen Infrastrukturen.
[pullquote]„Auf vielen Rechnern ist noch Windows XP im Einsatz – da finden Sie genügend Software-Fehler.“[/pullquote]
Gerade in diesem letzten Punkt scheint es in der Regierung Nachholbedarf zu geben. „Der größte Schwachpunkt ist das leider immer noch gering ausgeprägte Bewusstsein, dass die politische Infrastruktur überhaupt massiv angegriffen wird“, sagt Konstantin von Notz. Hinzu komme, dass die Bundesregierung einen widersprüchlichen Kurs fahre. Zum einen wolle sie Sicherheitslücken in der IT-Infrastruktur schließen, zum anderen würden die deutschen Nachrichtendienste auf dem Schwarzmarkt Informationen zu Sicherheitslücken in standardisierter Software einkaufen – aber nicht, um sie zu schließen, sondern um sie für eigene Zwecke auszunutzen. Dies schade der IT-Sicherheit insgesamt. Von Notz sagt: „Dass Unternehmen Hackerangriffe nicht gerne melden, mag also auch daran liegen, dass sie sie jenen Behörden melden müssen, die vielleicht selbst Interesse an den Lücken haben.“ Aber: Je weniger Angriffe bekannt werden, desto schlechter können andere sich auch auf sie vorbereiten.