Hackerangriff auf deutsche Regierung dauert offenbar an

Die Attacke könnte Teil eines grossangelegten Angriffs auf EU-Regierungen sein. Wer ist betroffen? Wie kam der Schadcode ins System?
 
Gestern wurde noch gemutmasst, ob Hacker die deutsche Bundesregierung erfolgreich angegriffen haben. Heute lautet die Frage nur noch: Dauert der Angriff noch an?
 
Offenbar tut er das: Der Vorsitzende des Parlamentarischen Kontrollgremiums des Bundestages (PKGr), Armin Schuster (CDU), sagte nach einer Sitzung des Gremiums, es gehe um einen "noch laufenden Angriff". Es handle sich um "einen veritablen Cyberangriff auf Teile des Regierungsnetzes".
 
"Der Geheimnisverrat an sich ist ein beträchtlicher Schaden", fügte Schuster nach der knapp zweistündigen Unterrichtung des PKGr hinzu. Nach heutigem Stand versuche die Bundesregierung, "den Vorgang unter Kontrolle zu halten". Für eine komplette Schadensbeurteilung sei es noch zu früh. Welche Regierungsstellen von dem Hackerangriff betroffen waren oder sind, sagte Schuster nicht. Öffentliche Diskussionen über Details wären "schlicht eine Warnung an die Angreifer, die wir nicht geben wollen".
 
Innenminister Thomas de Maizière erklärte in einer Mitteilung, dass der Angriff isoliert und unter Kontrolle gebracht werden konnte. Die Massnahmen seien indes noch nicht abgeschlossen. Konkreter wurde das Innenministerium in der knappen Mitteilung nicht.
 
Abschliessend festzustellen, ob der Angriff unter Kontrolle ist, dürfte sich auch als schwierig herausstellen. Eine Infektion mit Malware, insbesondere wenn es sich um einen Advanced Persistent Threat (APT) handelt, könne sich systemübergreifend replizieren und vor der Aktivierung einige Zeit verborgen bleiben, so Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security. Während die primäre Quelle entdeckt und entschärft werde, könne es sekundäre Infektionen geben, die sich innerhalb des Netzwerks verstecken.
 
Wer und was ist betroffen?
Das deutsche Innenministerium hatte am Mittwoch in Berlin von einem "IT-Sicherheitsvorfall" gesprochen, der die "Informationstechnik und Netze des Bundes betrifft".
 
Betroffen ist laut dem Deutschen Security-Unternehmen G Data der Informationsverbund Berlin-Bonn (IVBB), der nicht nur von der Regierung, sondern auch von Parlament, Ministerien, sowie Bundes- und Sicherheitsbehörden genutzt wird. De Maizière erklärte, Deutschland verfüge mit dem IVBB über eines der sichersten Regierungsnetzwerke der Welt.
 
Laut Experten von G Data wurde die Schadsoftware schon vor längerer Zeit eingeschleust und seither sei es den Angreifern möglich gewesen, Daten zu stehlen – darunter auch geheime Informationen. Im Schnitt dauert es 99 Tage bis versteckte Angreifer in einem Netz aufgespürt werden können, so der M-Trends-Report des kalifornischen Cyber-Security-Konzerns FireEye.
 
Laut dem deutschen Innenministerium wurde der Hack bereits im Dezember entdeckt und seither untersucht. Unter anderem wird analysiert, wie tief die Hacker ins Regierungsnetz eindringen konnten, berichtet 'Spiegel Online'.
 
Wie gelangte die Schadsoftware ins System?
Über das "Wie" kann bislang nur spekuliert werden. Die Security-Spezialisten von Bitdefender haben eine nach ihrer Ansicht wahrscheinliche Variante des Advanced Persisting Threats parat: Es sei sehr wahrscheinlich, dass der Angriff mindestens drei Komponenten enthielt, schreibt das rumänische Unternehmen: Erstens genau ausgesuchte Ziele in den Regierungsbehörden, zweitens massgeschneiderte Hintertüren und drittens Spear Phishing, also aufwendig individuell erstellte E-Mail mit Schadcode.
 
Diese Einschätzung stützt auch Palo Alto. Der US-amerikanische Security-Konzern hat Anfang Februar solche Angriffe auf zwei Regierungsinstitutionen in den USA und Europa beobachtet.
 
Auf das Vorgehen könnten auch Beobachtungen von FireEye hindeuten: Die US-Sicherheitsfirma hat Spear-Phishing-Mails analysiert, die sie in den letzten Monaten bei diversen EU-Regierungen entdeckt hat.
 
FireEye erklärt beruhend auf dieser Analyse, dass die Cyberattacke auf die deutschen Regierungsstellen Teil eines grösseren organisierten Spionageangriffs auf EU-Staaten sein könnte.
 
Wer steckt dahinter?
Verdächtigt wird von vielen Experten die vermutlich russische Hackergruppe APT28. "Wir beobachten seit einigen Monaten, dass APT28 gezielt Aussen- und Verteidigungsministerien in der europäischen Union angreift und versucht, sich Zugang zu geschützten Systemen zu verschaffen", sagte der Leiter des Cyberspionage-Analyseteams bei FireEye, Benjamin Read, der Zeitung 'Welt'. Die Gruppe, die auch unter den Namen Sofacy-Gruppe, Fancy Bear, Strontium, Sednit, Zarenteam und Pawn Storm bekannt ist, scheint nicht an finanziellen Zielen interessiert und sich darum von gewöhnlichen kriminellen Hackern zu unterscheiden.
 
"Welcher Geheimdienst genau hinter APT28 steckt, ist noch nicht aufgeklärt - doch die Beteiligung russischer Behörden gilt uns als sicher", so Read im Hinblick auf den aktuellen Angriff. Das ist eine sehr konkrete Aussage zur Urheberschaft, die von verschiedenen Security-Firmen gestützt wird: Die Hackergruppe APT28 wird in Russland lokalisiert und sie wird dem russischen Staat zugeordnet. Aber weder gibt es belastbare Informationen, dass APT28 hinter den Angriffen steckt, noch dass die russische Regierung die Hackertruppe unterstützt.
 
Indizien gibt es derweil: Laut Security-Forschern wurden die Schadsoftware mit russischer Spracheinstellung entwickelt, die Angriffe spielten sich zu geeigneten Zeiten für Moskau ab ausserdem würden die benutzten Server auf APT28 hinweisen. All dies ist allerdings manipulierbar. Dass die Angriffsziele aber den Interessen Russlands entsprechen, kann man hingegen nicht so leicht von der Hand weisen.
 
Berichte, dass APT28 hinter dem Angriff steckt, bestätigte das deutsche Innenministerium nicht. Auch die deutsche G Data schreibt: "Spekulationen über mögliche Täter sind derzeit nicht seriös möglich." Und auch FireEye selber gibt zu bedenken, dass es noch Monate dauern könnte, bis die Vorgänge restlos aufgeklärt seien – falls dies überhaupt möglich sei.
 
Viel politische Spekulation
Die Lage an der Cyberfront ist ziemlich angespannt: Erinnert sei nur an die Vorwürfe gegen Kaspersky und Huawei, die Diskussionen um Wahlmanipulation in den USA sowie die grossangelegten Ransomware-Angriffe vom letzten Jahr. Vor diesem Hintergrund und angesichts der politischen Grosswetterlage dürften viele Spekulationen vor allem politisch motiviert sein. Auch darum dürfte es mehr als fraglich sein, ob man die Täterschaft in absehbarer Zukunft klar identifizieren kann. (ts/sda)