Angeblicher Hacker-Angriff auf Bundesregierung – Außen- und Verteidigungsministerium im Visier?

Die Meldungen sind noch hinreichend vage, aber schrecken auch so schon auf: In das Daten-Netzwerk der Bundesregierung sollen – ausländische – Hacker eingedrungen sein und insbesondere das Auswärtige Amt und das Verteidigungsministerium im Visier gehabt haben. Das berichten die Deutsche Presse-Agentur und die Süddeutsche Zeitung.

Die Attacke sei von deutschen Sicherheitsbehörden im Dezember erkannt worden, berichtet die dpa. Der Angriff sei da schon über eine längere Zeit gelaufen, womöglich ein ganzes Jahr. Aus Sicherheitskreisen heißt es, es seien vermutlich Cyberspione der russischen Gruppe „APT28“ gewesen, die das deutsche Außen- und das Verteidigungsministerium erfolgreich angegriffen hätten.

fasst tagesschau.de zusammen.

Das Thema wird weitergehen, weiter also nach Entwicklung.

23 Kommentare zu „Angeblicher Hacker-Angriff auf Bundesregierung – Außen- und Verteidigungsministerium im Visier?“

  • b   |   28. Februar 2018 - 18:30

    Wie kann man einen Hack, wenn es denn einer war, der sogennanten ATP28 Gruppe zuordnen? DIe Löcher die diese Gruppe zuvor genutzt hat sind gestopft. Die alte Schadsoftware ist verfügbar. Jeder Kundige kann die gegen ungepatchte Systeme verwenden.

    Als Fachmann in dem Gebiet halte Ich jede solche Attribution für Scharlatanerie. Wie John McAfee dazu sagte: „Wenn man behauptet das man Zeichen gefunden hat das es die Russen waren dann garantiere ich ihnen das die es nicht waren.“

  • Klauspeterkaikowsky   |   28. Februar 2018 - 18:42

    Unter Umständen ein Thema von: „Landesverteidigung“ aufgeteilt in die Militärische Landesverteidigung und die Zivilverteidigung.
    „Hackerabwehr“ also auch Aufgabe von Zivilverteidigung zur Aufrechterhaltung der Regierungsgewalt, Schutz und Versorgung der Bevölkerung, Erschließung und Erhaltung nationaler Hilfsquellen und Sicherstellung der Arbeitsfähigkeit staatlicher Organe, wie z.B. Unterstützung der Streitkräfte, auch solcher von Bündnispartnern?

  • Alarich   |   28. Februar 2018 - 18:43

    Für was das
    Bw ist die Nächsten Jahre eh nicht Einsatz Gefährlich

    Haben die jetzt Angst das Nächten Olympia mehr Verlieren
    weil die GebJg kein Gerät haben mit dem beschäftig Programm mehr Ski Fahren

  • CharlieSierra   |   28. Februar 2018 - 19:00

    APT 28 alias Cyber Berkut. War schon 2015/2016 aktiv.Wenn das wirklich stimmen sollte, dass diese Gruppierung seit Dez 17 aktiv war, sind vermutlich viele Informationen abgeflossen. Schöner Mist. Kann die neue TSK gleich aktiv werden. Und meine Meinung bestätigt sich mal wieder, dass sich Deutschland im Cyberraum immer im de facto V-Fall befindet.

  • Carsten   |   28. Februar 2018 - 19:06

    Naja, sooo kritisch und hochsicher ist der IVBB jetzt nicht. Es ist in erster Linie eine Verbindung der obersten Bundesbehörden, damit eine Kommunikation nicht über das internet gehen muss. Viel mehr ist das nicht, jede Behörde muss weiterhin ihre IT gegenüber dem IVBB absichern.

    Daher sind auch Aussagen a la „Super-GAU“ falsch, weil es sich nur um isolierte Fälle handeln kann. Insbesondere sind keine Netzwerke der Sicherheitbehörden betroffen, die laufen nicht über das IVBB.

  • CharlieSierra   |   28. Februar 2018 - 19:51

    Nicht CyberBerkut sondern Fancy Bear. Verzeihung

  • Mitleser   |   28. Februar 2018 - 20:16

    Dabei ist die sichere Abwehr derartiger Hackerangriffe bekannt und einfach:

    – Der Regierungssprecher erklärt die Affäre für beendet. –

    Erledigt. Hat mit der NSA auch funktioniert. Besser als die NSA sind selbst russische Hacker nicht aufgestellt.

    /sarc off

    BTW, sind eigentlich alle bundeseigenen Rechner inzwischen upgedated und hält sich auch jeder Nutzer an die Sicherheitsprotokolle? Bei den Bundestagsabgeordneten bestehen da ja trotz aller Investitionen und Bemühungen der IT immer noch Zweifel, was den Umgang mit dem Gerät durch die Nutzer betrifft. Selbst die Bundeskanzlerin hat es nicht so mit der konsequenten Nutzung des verschlüsselten Telefons.

  • 0815   |   28. Februar 2018 - 20:45

    Nachdenklich…und nicht so Fancy

    Sollte dies etwa nur die Spitze des Eisbergs, ein kleiner Test oder nur eine Nebelkerze gewesen sein?

    Man(n) stelle sich vor, die BT Wahlen sind „nachhaltig“ beeinflusst worden, die Zahlen der Einsatzbereitschaft der Streitkräfte verfälscht und ganze Beschaffungsvorhaben + SASPF (Wasweisich)daten „einfach“ verschwunden oder sogar Beurteilungen (zum Nachteil der Truppe) verschlimmbessert.

    Vom Dieselskandal mal abgesehen bin ich froh das „mein Internetz“ aus der grauen Dose kommt, das Licht noch brennt sowie die Heizung,Kühlschrank noch richtig „Oldschool“ sind. ;-)
    (Ironie aus)

    Als Laie verstehe ich nur „TrainStation“ weil niemand die Hosen runterlässt und sagt: „Aufgepasst!
    -Das war schon grenzwertig“
    oder
    „- der gegnerische Angriff wurde zerschlagen !“

    Warum soll es der „Russe“ gewesen sein? Weil er es kann? oder weil es gerade „Fancy“ ist?

    @Mitleser | 28. Februar 2018 – 20:16
    Mir stellen sich immer die Nackenhaare auf , wenn ich sehe wie bei den BT-Debatten (vmtl) munter rumgetwittert , ge-facebook-ed und ge-whattsapp-t wird.
    Scheint auch Fancy zu sein, denn Teile der Truppe machen es ja auch.
    Prost Mahlzeit!

  • Onion   |   28. Februar 2018 - 23:29

    Zur Einschätzung ob es sich hier mit hoher Wahrscheinlichkeit um den Russen handelt:
    Es gibt tatsächlich innerhalb der einzelnen nachrichtendienstlichen Behörden sowie in den kooperierenden weiteren Behörden Fachleute, welche den ganzen Tag nichts anderes tun als sowas zu untersuchen und die zweifelsohne aufgrund von Methodiken und Abläufen sehr wohl sowas durch ihre Erfahrungen zuordnen können. Dies sind keine selbsternannten Fachleute mit FüUstgFw oder IT-SysAdmin ATN, sondern tatsächlich Fachleute in diesem hoch spezialisierten Bereich.

    @CharlieSierra
    Die Zuständigkeit in diesem Vorfall liegt nur sehr begrenzt in der von Ihnen gemeinten neuen TSK, da es sich hier u.a. um einen vermutlichen nachrichtendienstlichen Angriff auf den Bereich des BMVg handelt. Hier ist die Zuständigkeit also eindeutig dem Spionageabwehrbereich des BAMAD federfürend zuzuordnen.

  • ADLAS-Doe   |   28. Februar 2018 - 23:33

    @b & bzgl. der Attribution: Vielleicht nur ein Zufall, aber just zu dem Zeitpunkt, als die deutschen Behörden im Dezember den Angriff auf ihr Netz entdeckten, wurde auch bekannt, dass die Niederländer (!) seit Jahren live-Zugriff auf die Kollegen von APT-28, APT-29, hatten und haben da quasi in Echtzeit die Attacken auf die USA & Co. mitgeplottet haben. Über ne ebenfalls gehackte Sicherheitskamera hatten die zudem die Gesichter der Personen, die da ein und ausgingen, mitgeschnitten und so kann jetzt auch die Verbindung der Gruppe zum RUS-Geheimdienst nachgewiesen werden.

    Möglicherweise hat ja irgendwer von unseren Freunden APT-28 auf dieselbe Art infiltriert? Vielleicht ist es auch nicht APT-28 sondern APT-29 und der Tip kam von unseren niederländischen Nachbarn? Attribution erfolgt ja schon länger nicht mehr nur über genutzte Sicherheitslücken oder Server…

  • Pete   |   01. März 2018 - 0:42

    Das auch Deutschland von potenziellen Gegnern ausspioniert wird ist doch wohl das Normalste auf der Welt. Ich gehe mal davon aus, dass auch der Westen andere Staaten ausspioniert.

    Was sollen also diese kindischen Aufgeregtheiten? Es ist die Pflicht und Schuldigkeit der Regierung die Geheimnisse des Staates vor Mißrauch zu schützen. Wenn das nicht gelingt ist nicht der potenzielle Gegner „schuld“, sondern die deutsche Regierung.

    Hausaufgaben machen!

  • Cato   |   01. März 2018 - 8:56

    Jenseits des aktuellen Angriffs …

    … ist es sicher interessant auf die ganz praktischen Konsequenzen von Cyber-Angriffen für die Streitkräfte zu achten

    – „Fake News“ können natürlich Stimmungen (auch in der Truppe) beeinflussen und Fehlentscheidungen (auch von militärischen Führern) fördern. Dies ist für die Bundeswehr ein „alter Hut“ und Thema das Zentrums OpCom, dessen „Urgroßvater“ die PSK (Psychologische Kampführung) Bataillone des Kalten Kriegs waren.

    – Veränderungen an den Cyber-Elementen von Führungs-, Waffen- und sonstigen Systemen der „weißen“ und „grünen“ IT bilden die Grundlagen für Aktionen, mit denen sich der Grundbetrieb und der Einsatz von Streitkräften „lähmen“ lässt.

    Und nun zu den Eigentlich „Handlungsverpflichteten“

    Zunächst wird hier der – die Streitkräfte betreffende – Cyberspace im GB BMVg sicher von deren Abteilung CIT bzw. dem KdoCIR verteidigt.
    Da Cyberangriffe ihre „Wirkmächtigkeit“ in den Aufgabenbereichen der anderen OrgBereiche entfalten, wird eine Cyberverteidigung auf Führungsebene das Zusammenwirken allerdings konkret alle Inspekteure und Behördenleiter erfordern, insbesondere in den Bereichen SKB (u.a. Logistik, territoriale Aufgaben) , BAJUD (Sicherstellung der Infrastruktur) und BAAINBw (Lebenszyklus von Systemen).
    In Zeiten, in denen Streitkräfte weitgehend von zivilen Kritischen Infrastrukturen bzw. Lieferketten abhängen, werden die Streitkräfte auch in den betreffenden Unternehmen und den sie beaufsichtigenden Landes- und Bundesbehörden verteidigt (Beispiele: BMWI / Bundesnetzagentur für Energie- und Telekom-Versorgung, Verkehrsministerium /Landesregierungen mit ihren Aufsichtsbehörden für die Verkehrsträger usw.)

    Im Ergebnis geht es um das Zusammenspiel von mehreren tausend „Playern“. und deren vernetztem Zusammenspiel (Stichwort: gesamtstaatliche vernetzte Operationsführung in der Cyberverteidigung der Streitkräfte als Element der kritischen Infrastrukturen) mit besonderen Verantwortungen des BMI mit seinen Bundesoberbehörden, insbesondere dem BSI, dem BBK, dem BKA und dem Verfassungsschutz).

    Die aktuelle Denke ist hier operativ hierarchisch „baumartig“ auf ein Zusammenspiel von Behörden-Lagezentren ausgerichtet mit dem sog. Nationalen Cyberabwehrzentrum (NCAZ) im Mittelpunkt. Diese nationale Struktur kooperiert in einer Welt internationaler Abhängigkeiten dann – hoffentlich – mehr oder weniger mit Strukturen des von EU und NATO.

    Warum ich das hier einmal herunter schreibe? Weil ich mich auf Beiträge freue, in denen die kompetenten Aktiven dieses Blogs beschreiben, wo und warum diese Zusammenarbeit in der Bundeswehr, zwischen den betroffenen zivilen Cyber-Behörden und Ministerien und der Wirtschaft überall nicht funktioniert.

    Hier liegen die „Flanken und Lücken“ an denen wir uns abarbeiten sollen (und müssen).

  • Ottone   |   01. März 2018 - 9:22

    ARD Tagesthemen 28.02.2018: Sandra Gaycken bewertet den Vorgang etwas anders:

    – in Fachkreisen gelten die Regierungsnetze nur als etwas sicherer als die anderen Netzte
    – für professionelle Hacker kein Problem da rein zu kommen
    – sehr viele der technischen Schutzmassnahmen halten nicht wirklich was sie versprechen
    – man kann halt nicht viel machen, da gibt es auch keine Technologie die man kaufen kann, die Nutzer müssen emails öffnen und das Internet benutzen [aber streng geheimes Material wird vom Netz abgekoppelt und es werden andere nichttechnische Massnahmen ergriffen]
    – da die Verteidung schlecht ist macht es Sinn in die Offensive zu investieren

  • snowparrot   |   01. März 2018 - 10:15

    @Pete

    1.) Die russische Regierung sieht die BRD feindlich an
    2.) Sie wird die Informationen gegen die BRD einsetzen
    3.) Es ist natürlich ein Versagen der Behörden und DARF NICHT vorkommen.

  • T.Wiegold   |   01. März 2018 - 10:46

    Örgs. Es gibt schon Kommentare, die sind, um es höflich auszudrücken, auch intellektuell grenzwertig, nach dem Muster „und Schuld daran ist nur die SPD“. So was hier nicht.

  • SvenS   |   01. März 2018 - 10:50

    Man kann Quellcode und Programme Gruppen und Personen zuordnen. Das funktioniert ähnlich wie ein Vergleich von Handschriften.
    An Universitäten arbeiten Dozenten, jeder Dozent hat eine besondere Handschrift. Da geht es um so Dinge wie die Kommentare im Quelltext, die genutzte Syntax, Benennung von Variablen und vieles mehr. Es gibt nun Systeme und Menschen die aufgrund bestimmter Eigenheiten im Code die Region der Welt bestimmen können wo der Programmierer gelernt hat/ausgebildet wurde. Von daher lässt sich schon recht gut bestimmen ob eine Software aus Europa, dem nahen Osten, Russland oder weiß Gott woher kommen.
    In der Vergangenheit gab es etliche Versuche diese „Handschrift“ zu fälschen, geglückt ist es bisher m.W.n. allerdings noch nicht.

  • Heribert Metzler   |   01. März 2018 - 13:22

    Schmunzel
    Was die Russen in denn letzten Jahren trotz Sanktionen so auf die Beine gestellt haben sollen. Respekt.
    Da frag ich mich, warum ich morgens nicht aufwache und plötzlich nur noch russisch denken kann.
    Gut, anerkennen muss man das deren Flugzeuge fliegen, Schiffe und Uboote funktionieren, und Panzer fahren.
    Vielleicht glauben die einfach nicht das das bei uns wirklich so desolat ist und wollten nur mal schauen ob wir da eine gigantische Desinformationsaktion fahren.
    Mal im Ernst, die Russen können es gewesen sein aber eben auch jeder andere, bis hin zu Privatpersonen.
    Victim plaming soll man ja eigentlich nicht machen aber es ist nun mal die Aufgabe der IT-Veranwortlichen genau so was zu verhindern. Es muss immer davon ausgegangen werden das sich, wer auch immer, für die Daten begeistern kann. Das gilt für jede IT-Infrastruktur.

  • OMLT   |   01. März 2018 - 15:33

    @CharlieSierra und Onion:

    Bevor es noch mehrmals zu diesem „Missverständnis“ kommt:

    Es gibt, nach wie vor, lediglich drei TSK -> Heer, Luftwaffe, Marine

    Wenn Sie von „CIR“ sprechen, ist dies ein MilOrgBereich.

  • Thomas Reinhold   |   01. März 2018 - 16:09

    Die aktuelle Meldungen aus dem Geheimdienst-Kontrollgremium des Bundestages passen tatsächlich stimmig mit den bisherigen Infos überein, dass man die Attacke schon früher entdeckt aber eben nicht sofort abgewendet sondern isoliert und kontrolliert überwacht hat. Dies wäre eine gute Methode um Ziel, Motivation und Ursprung des Angreifers näher zu ermitteln. in diesem Falle könnte die mutmaßliche Hackergruppe selbst „Opfer“ einer gezielten Aufklärung und durch deutsche Behörden quasi „auf frischer Tat ertappt“ worden sein.

  • Yeoman   |   02. März 2018 - 2:15

    Heribert Metzler | 01. März 2018 – 13:22
    „Gut, anerkennen muss man das deren Flugzeuge fliegen, Schiffe und Uboote funktionieren, und Panzer fahren.“

    Die begleitenden (marineeigenen) Schlepper bei aufgetaucht transitierenden Ubooten sind also nur zum Betriebsstunden abreißen dabei? (Um nur mal ein Beispiel zu nennen.)
    Auch bei den russischen Streitkräften wird der Tee nicht so heiß getrunken, wie er gekocht wird. Von der nicht ganz so goldrandlösungsversessenen Pragmatik könnte man sich allerdings was abschneiden, viele unserer aktuellen Rüstungs- und Trendwendemiseren rühren auch aus einer mE schon hypochondrisch zu nennenden Erwartungshaltung her.
    Und das gilt auch für den gerade aktiven APT im IVBB – nur weil er passiert, passiert damit nicht automatisch was Schlimmes.

  • Heribert Metzler   |   02. März 2018 - 9:40

    @Yeoman
    Stimmt. Ich wollte nur etwas launisch überspitzen.
    Es wird aktuell einfach massiv Panik geschürt. Teilweise berechtigt. Die Misere der BW sehe ich vor allem in der Verwaltung. Solange jedes Beschaffungsprojekt aus dem Ruder läuft hilft auch mehr Geld nicht.
    Grundsätzlich muss man sagen das in einem Ernstfall erheblich mehr fahren würde als was die Meldungen so suggerieren. Viel von dem Großkampfgerät steht doch auf irgendwelchen Parkplätzen rum. Das die nominell einer Privatfirma gehören ware bei einer richtigen Bedrohungslage egal. Kleinere bis mittlere Mängel spielen da keine Rolle mehr. Bei solchen Betrachtungen muss man ja auch die durchschnittliche Nutzungszeit bis zum Verlust der Einheit sehen. Als ich bei der NVA war ging man von einer durchschnittlichen Lebensdauer eines Panzers mit drei Minuten im Gefecht aus.
    Grundsätzlich sehe ich das ähnlich wie Sie.

  • califax   |   02. März 2018 - 10:36

    Attribution läuft bei Geheimdiensten nicht (nur) über Systemanalyse sondern vor allem über Gegenspionage im Verbund. Und die übliche Argumentation, Russen für zu blöd zum Hacken zu halten und gleichzeitig zu glauben, die würden doch nie Spuren hinterlassen oder gar öffentlich prahlen, wird allmählich langweilig. Spätestens seit Putin selbst öffentlich damit geprahlt hat, die „grünen Männchen“ auf der Krim seien seine Soldaten und Paramilitärs gewesen, sollten manche Tscheloweki hier doch mal ihre eigene Glaubwürdigkeit reflektieren… :)

    Die gesamte NATO ist seit mehr als 10 Jahren Ziel russischer Spionage- und Destabilisierungsoperationen. Daran ist nichts neues, man will es nur einfach nicht zugeben, solange der Rubel rollt.

    Bei der aktuellen Operation wird es auch wieder Monate dauern, bis auch nur die Rahmendaten einigermaßen feststehen. Bis dahin werden die Reichsbürger und Putinfans wieder reichlich Desinformation gestreut haben, um abzulenken. Komintern in braun halt.

    PS.: Angeblich war das Ziel, eine weitere deutsche Mission im Baltikum zu verhindern, indem man die funktionstüchtigen Panzer der Bundeswehr zur Wartung angemeldet hat. Den einen zur Abgasuntersuchung und den anderen zur Umrüstung wegen Barrierefreiheit.

  • Wait&C   |   03. März 2018 - 13:46

    Was mir in meinem EDV-Leben seitens fachfremden Entscheidungsträgern an Uneinsichtigkeit und Emotionsentscheidungen untergekommen ist passt auf keine Kuhhaut.

    Ja, man kann sichere Systeme bauen. Nein, das sind dann keine schniecken und trendigen HP Envy / Macbook / Windows 10 / MacOS Lösungen. Das sind dann Systeme die erstmal ein wenig nach frühen 1990ern riechen – aber wirklich sicher sind. Natürlich kann man dann auf so einem System wirklich nur Arbeit erledigen, die iTunes-Bibliothek und Forge of Empires bleibt aussen vor.

    Natürlich ist so etwas absolut unvermittelbar. Wenn in Meetings im Jahr 2018 der Umstieg von Windows 7 auf Windows 10 seitens der Geschäftsführung entgegen der Empfehlung der EDV-Abteilung verschoben wird weil das Startmenü anders aussieht dann ist der Umstieg auf ein gehärtetes Unix-System mit anschliessender Mitarbeiterschulung schlicht undenkbar.

    Viele Emotionen lassen sich schon beruhigen wenn man einen Parallelbetrieb von gehärtetem System und Bring-Your-Own-Device hinter harter Firewall erlaubt (*1). Ist das in einer Welt vorstellbar bei der man ein dringendes privates Telefonat schriftlich am Vortag anmelden muss?

    (*1) das Wort „Firewall“ wird von noch weniger Menschen verstanden als das Wort „Frauenlogik“. Jede echte Firewall besteht aus simpler und kostengünstiger Technik und teueren hochqualifizierten Mitarbeitern. Alles andere sind keine Firewalls sondern Schlangenöl.

    @califax „Panzer … zur Umrüstung wegen Barrierefreiheit“ – Daumen hoch!