Nach dem totalen Informationschaos der letzten Woche, den (offenbar entweder teilweise unzutreffenden oder aber missverstandenen…) Durchsteck-Portiönchen nicht genannter “Sicherheitsexperten” und den eifrigen, aber wenig hilfreichen Einlassungen aus den Reihen der Politik gibt es nun wieder einmal eine neue Version, was sich eigentlich abgespielt haben könnte. Und weil in dieser neuen Version der FAS doch recht viele und auch ziemlich unspektakuläre Details genannt werden, die auch zu vorhergegangenen Statements passen (wie dem von T-Systems, der IVBB sei eigentlich “nicht direkt betroffen” gewesen…), würde ich einmal sagen: das klingt jetzt für mich ziemlich plausibel.

Malware-verseuchte Schulungsunterlagen aus der Bundesakademie für öffentliche Verwaltung, die dann von Behördenmitarbeitern heruntergeladen und auf ihrem Arbeitsplatzrechner geöffnet werden, das wäre ein ganz alltägliches Szenario. Natürlich bleiben noch allerhand Fragen offen. Wenn die Infektion in der Brühler Akademie schon vor zwei jahren passiert sein soll – warum ist das damals oder seit damals nicht aufgefallen? Steckt da Schlampigkeit, Fahrlässigkeit oder – im allerschlimmsten, aber doch sehr unwahrscheinlichen Fall – bewusste Sabotage dahinter? Da ist im Grunde alles denkbar; es wäre z.B. auch nicht das erste Mal, dass Schulungsrechner an einem kritischen Netz hängen, ein Schulungsteilnehmer seinen USB-Stick anschließt und “drin” ist.

Der nach bisherigem Ermittlungsstand ganz gezielte Zugriff auf einige wenige Dokumente lässt die Dimension des Vorfalls zunächst einmal viel weniger dramatisch erscheinen, als zunächst angenommen. Nur wer sagt, dass es nicht weitere, bislang unentdeckt verseuchte Dokumente, Rechner oder Netzwerkkomponenten gibt? Schon letzte Woche hatte man ja gehört, das BSI habe praktisch alle Kräfte im Dauereinsatz (und aus anderen Projekten abgezogen…), um hier etwas Licht ins Dunkel zu bekommen. Angesichts der offenbar knappen personellen Ressourcen ist man da ja schon fast froh, dass nicht alle laufenden Infiltrationsbemühungen der internationalen Cyber-Bösewichter gleichzeitig auffliegen – oder von “Sicherheitsexperten” durchgesteckt werden… 🙂

Deutschlandfunk Nova – Hielscher oder Haase vom 05.03.2018 (Moderation: Diane Hielscher)

Nachklapp 06.03.: Und wieder mal eine neue Version, diesmal wieder von der Süddeutschen (die ja auch schon letzte Woche zu den Erstmeldern gehörte, leider aber mit zum Teil falschen Informationen…). Der Artikel ist allerdings in weiten Passagen fürchterlich verschwurbelt und in den Details nebulös, vielleicht war der tippgebende Experte ja maskiert und hat nur undeutlich in das Whistleblower-Telefon der SZ hineingeflüstert.  🙂 Die Outlook-Geschichte (natürlich würde das auch mit einem anderen Mail-Client gehen…) würde aber immerhin erklären, wie eine Malware in einem ansonsten abgeschotteten Netzwerk mit ihren “Auftraggebern” “kommunizieren” kann. Wobei das eigentlich nur für den Input-Kanal (also Steuerungsbefehle…) richtig plausibel ist, da gab es übrigens auch schon ähnlich kreative Lösungen über Twitter-Messages. Eine rausgehende Mail hingegegen muss ja an jemand gerichtet sein, und da wird die Malware die abgegriffenen Infos eher nicht an turla@kreml.ru 🙂 geschickt haben können. Theoretisch könnten die Angreifer natürlich auch Zugriff auf den Mailaccount oder das System eines aus der Sicht des Behörden-Netzwerkes legitimen Mail-Empfängers haben und sich die Infos dann von dort aus weiterleiten. Ganz schön kompliziert. Wir bitten um weitere Aufklärung!

Als wir heute morgen nach dem zu diesem Zeitpunkt verfügbaren Informationsstand über den Cyberangriff auf das Regierungsnetz “Informationsverbund Berlin-Bonn” (IVBB) berichtet haben, da sah ja alles nach einem recht deftigen erneuten Desaster aus – wieder einmal die russischen Freunde von der Gruppe APT28 alias “Fancy Bear” mitten in einem Top-heiklen Honigtopf deutscher Daten. Am Mittag dann die wundersame Wende – die Attacke liefe sogar noch, hieß es nun; aber deutsche Sicherheitsdienste hätten sie frühzeitig und umfassend erkannt und “den Angreifer” erstmal weiter am Honeypot naschen lassen, um seine Methoden und auch seine Herkunft niet- und nagelfest zu durchleuchten.

Und deswegen habe man auch den zuständigen Parlamentariern nichts sagen können; klar, sonst wär der Bär ja gewarnt worden (von den Linken bestimmt 🙂 …) Das ist eine Geschichte, die man jetzt mal so glauben kann oder auch nicht. Ich glaube zwar gern, dass man die Infektion eines oder einiger weniger Computer mitbekommen kann und diese dann eben auch “kontrolliert” oder “isoliert” weiterbetreibt. Wie die “Sicherheitskreise” aber sicher sein wollen, dass die APT28-Rasselbande nicht doch vielleicht unbemerkt auch noch in anderen Segmenten des Netzwerkes ihr Unwesen treibt, das ist mir einstweilen ein Rätsel.

Embed from Getty Images

Das bleibt auf jeden Fall noch eine spannende Fortsetzungs-Geschichte. Und welche Seite hier einen großartigen Erfolg zu verzeichnen hat, da würde ich mich noch nicht ganz festlegen.

Cyberkriminalität: Hackerangriff auf deutsches Regierungsnetz · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 01.03.2018 (Moderation: Till Haase)

P.S. – Jetzt soll plötzlich auch der IVBB gar nicht “direkt” betroffen gewesen sein – das ist ja dann echt eine schöne Ente, die uns Presseheinis und nebenbei auch den deutschen Bundestagsabgeordneten da gebraten worden ist. Zwischenfazit: Wir wissen gerade überhaupt nichts mehr gewisses, alles ist top-secret. Ich biete hier vorsichtshalber schon mal ein paar Alternativen an: Es waren die Chinesen. Die Nordkoreaner. Die Türken. Die Israelis. Eine Hobby-Hackerinnen-Truppe aus Winsen an der Luhe. Es war Anonymous.

P.S.2 – Ach nee, es “soll” Snake, nicht Fancy Bear gewesen sein. Jetzt passen meine schönen Wortspielereien mit der Bärenfalle und dem Honigtopf nicht mehr. Macht irgendwie heute alles keinen Spaß.

P.S.3 – Ich kann mich nicht erinnern, einen solch grausamen Desinformations- und Fake-News-Tag schon mal erlebt zu haben. Jetzt war auch noch ein Geheimnisverrat mit im Spiel (nämlich von dem Informanten, der den Käse der dpa bzw. der Süddeutschen gesteckt hat…). Und ganz offenbar haben halt die ganzen Politiker im Innenministerium bzw. den Kontrollgremien technisch keinen Schimmer und sondern irgendwelche Bullshit-Bruchstücke ab, die zur weiteren Verwirrung beitragen.

Nachklapp 02.03.2018 – Wir haben heute früh noch einmal ein Update gebracht – als kleine Momentaufnahme im andauernden Info-Nebel.

Hackerangriff: Informationschaos rund um den #Bundeshack · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 02.03.2018 (Moderation: Till Haase)

P.S.4 – hier kommt mal wieder ein neuer Erkenntnisstand; das hört sich jetzt schon etwas konkreter und plausibler an. Von dem “den Angriff hatten unsere Sicherheitsbehörden die ganze Zeit unter Kontrolle” kann ja wohl absolut nicht die Rede sein. Eine Formulierung wie “die Hacker griffen weltweit an” bei der Darstellung der derzeitigen 🙂 “exklusiven” Informationen von NDR, WDR und Süddeutscher Zeitung “aus Kreisen, die mit den Vorgängen vertraut sind” (die Informationen der dpa und der Süddeutschen am Mittwoch waren ja auch aus solchen “Kreisen”…) ist  (mit Verlaub, liebe Kollegen) auch Bullshit. “Weltweiter Angriff” klingt ja schon wieder nach Cyber-Armageddon. Bei angeblich nur 17 betroffenen Rechnern in Deutschland und einer Handvoll abgegriffener Dokumente würde ich stattdessen einfach (wie schon gestern in der ersten Sendung…) sagen: Da machen einfach ein paar Leute ihren täglichen Routine-Job und versuchen gezielt für sie interessante Informationen abzugreifen. Ganz normales Aufklärungs-Business 🙂 … Ach so; offenbar besteht ja auch noch Begriffs-Verwirrung zwischen dem mutmaßlich verwendeten Angriffs-Tool bzw. Trojaner (Snake/Uroburos/Turla) und der danach benannten Hackergruppe – theoretisch könnten natürlich auch APT28 oder die Hackergirls aus Winsen aus der Luhe oder Anonymous den Trojaner Snake/Uroburos/Turla verwendet haben. Aber das wird ganz bestimmt noch aufgeklärt, da bin ich völlig zuversichtlich.