Anzeige
Anzeige
Trendreport
Artikel merken

Angriff auf die Demokratie: Wie gut schützt die Bundesregierung die IT-Infrastruktur?

Seit die Regierungs-Server gehackt wurden, fragt sich die Öffentlichkeit nicht zu Unrecht: Wie gut schützt die Bundesregierung eigentlich ihre IT-Infrastruktur – und mit ihr die Demokratie?

Von Boris Hänßler
10 Min. Lesezeit
Anzeige
Anzeige

(Foto: Shutterstock / Shahid Khan, Mironov Konstantin)

Als hätten die Einbrecher ein Fenster zu dem vernachlässigten Kellerraum einer hochgesicherten Luxusvilla geöffnet, um sich einzunisten und zu warten, bis die Besitzer Fehler machen und die Tür in die Schatzkammer des Hauses offen stehen lassen. So lässt sich der Hack aufs Regierungsnetz vor einigen Monaten vereinfacht umschreiben.

Anzeige
Anzeige

Aber wie konnte der Angriff eigentlich gelingen? Um das zu beantworten, ist ein Blick auf die IT-Strukturen des Bundes notwendig. Am IT-Netz der Bundesregierung hängen die Bundesministerien und verschiedene Behörden, darunter Bildungseinrichtungen wie die Bundesakademie für öffentliche Verwaltung. Deren Kursteilnehmer – meist Mitarbeiter des Auswärtigen Amts – haben auch ­Onlinezugänge. Gerade solche Fernzugriffe sind für ein Netzwerk ein Risiko, eine mögliche Einfallstür für Hacker. Die lauern auf jede Sicherheitslücke: Ein falscher Klick eines Studierenden in einer E-Mail und eine Schadsoftware schleicht sich womöglich ein. Eine russische Hackergruppe kam vermutlich auf diese Weise in den vergangenen Monaten über die Akademie in das ansonsten geschützte Netz der Regierung. Die Daten, die auf dem Server dort zu finden sind, sind zwar nicht sonderlich ­brisant, aber da­rum ging es nicht.

Die Gruppe wollte an die Administratorenrechte für den ­Akademie-Server heran und damit dann tiefer ins Regierungsnetz eindringen. Daher verhielt sie sich monatelang so leise wie möglich – sie testete lediglich, wie sie Informationen herausholen und Befehle hineinschicken konnte. Die Hacker gingen perfide vor: Sie versteckten codierte Befehle in Mail-Anhängen, die von ­Microsoft Outlook heruntergeladen wurden, ohne dass der Nutzer dem zustimmen musste. In den Anhängen waren Instruktionen für die Schadsoftware versteckt, die dazu dienten, weitere Lücken aufzuspüren. Entdeckt wurde die Spionagesoftware schließlich auf den Rechnern von 17 Mitarbeitern des Auswärtigen Amtes. Ob die Hacker tatsächlich im Auftrag der russischen Regierung handelten, ist nicht nachweisbar – aber die Sicherheitsbehörden und einige Forscher gehen davon aus.

Anzeige
Anzeige

Dass der Hack in das Regierungsnetz gelingen konnte, wirft also ein paar unangenehme Fragen auf: Ist die Regierung eigentlich kompetent genug, die staatliche Infrastruktur in Deutschland zu schützen? Und falls nicht, was kann passieren?

Anzeige
Anzeige

Eine geopolitische Strategie

Angriffe auf IT-Infrastrukturen sind heute Alltag. Dahinter ­stecken sowohl staatliche als auch nichtstaatliche Akteure. Letztere haben meist finanzielle Interessen – sie infizieren Systeme und erpressen deren Betreiber. Für staatliche Hacker sind Cyber­angriffe Teil einer geopolitischen Strategie – eine moderne Erweiterung militärischer Angriffe, klassischer Spionage und ­Sabotage. Zu den bevorzugten Cyber-Strategien gehören laut einem EU-­Bericht Desinformationskampagnen, die Lancierung gezielter Falschmeldungen und Angriffe auf kritische Infrastrukturen wie zum Beispiel das Stromnetz. In der überwiegenden Mehrheit der Fälle gibt es keine Möglichkeit, die Täter ausfindig zu machen. Daher bleibt einem nichts anderes übrig, als sich so gut wie möglich zu verbarrikadieren. Je brisanter die Informationen sind, die man schützen  will, umso mehr Aufwand betreiben Eindringlinge und umso höher und dichter muss der Schutzwall sein.

Im Fall des Angriffs aufs Regierungsnetz hat der Schutz offensichtlich nicht ausgereicht. „Nicht nur haben es die Hacker geschafft, reinzukommen. Sie konnten Informationen heraus­schicken – was in diesem Fall vielleicht schwieriger ist –, und dann drang noch alles zu den Medien durch“, so Jörn Müller-­Quade, Professor für Kryptographie und Sicherheit am Karlsruher Institut für Technologie (KIT). Oder, um es deutlicher zu sagen: Die Regierung hat ihren Sicherheitsauftrag nicht erfüllt. Müller-Quade ist mit dieser Meinung nicht alleine: Sogar 61 Prozent der Politiker halten laut einer Umfrage von der Unternehmensberatung Deloitte die staatlichen Stellen für nicht kompetent, um Deutschland vor Cyber-Angriffen zu schützen – 72 Prozent der Wirtschaftsführer stimmen ihnen zu.

Anzeige
Anzeige

Peinlich war zum Beispiel, dass die deutschen Behörden den Eindringling nicht einmal selbst entdeckten, sondern laut ­Süddeutscher Zeitung erst im Dezember 2017 durch den Hinweis eines ausländischen Geheimdienstes auf die Hacker aufmerksam wurden. Besagter Geheimdienst – vermutlich der amerikanische – scannt routinemäßig in großen Datenströmen nach Mustern, die verdächtig sein könnten. Das Bundesamt für Verfassungsschutz, das in Deutschland für solche Maßnahmen zuständig wäre, darf ähnliches ohne Verdacht nicht tun. Der befreundete Dienst jedenfalls informierte die deutschen Kollegen, dass eine russische Hackergruppe mit IP-Adressen aus dem deutschen Regierungsnetz hantiere und man sich dies genauer anschauen sollte. Es dauerte noch etwa zwei bis drei Wochen, dann gelang es einer Spezialeinheit des Bundesamtes für Sicherheit in der ­Informationstechnik (BSI) den weiteren Weg der Hacker, die sich ins Auswärtige Amt mit sensibleren Daten vorarbeiten wollten, zu beobachten. Zunächst wollte man ihre Strategien analysieren und sie schließlich wieder hinauswerfen. Das Mobile Incident ­Response Team (MIRT) untersucht nun, ob es den Angreifern vorher gelungen war, einige Hintertürchen im Netzwerk zu platzieren, um später leichter zurückkehren zu können.

Hohe Dunkelziffer

Angesichts der heutigen Bedrohungslage ist der gelungene Hack ins Regierungsnetz beängstigend. Experten, darunter Arno Schönbohm, Chef des BSI, beschrieben vor einigen Monaten auf dem hessischen Cyber-Sicherheits-Gipfel das Ausmaß heutiger Cyber-Angriffe: Jedes dritte Unternehmen sei von Ransomware getroffen worden, also von Verschlüsselungstrojanern, die für die Entschlüsselung der betroffenen Daten Geld verlangen. Dabei melden viele Unternehmen nicht einmal die Angriffe, obwohl sie dazu verpflichtet sind. Es gibt also eine hohe Dunkelziffer. Laut eines weiteren Experten gibt es auf das Regierungsnetz vermutlich Tausende automatisierte Angriffe am Tag, darunter eine Handvoll gesteuerter, höherer Angriffe und jede Woche ein gezielter Angriff eines ausländischen Nachrichtendiensts. Erfolgreiche Spionageangriffe werden im Durchschnitt erst nach etwa acht Monaten entdeckt – solange können sich die Hacker in den Netzen unauffällig herumtreiben. Hinzu kommt, dass die Bundesregierung die Angriffe nur zugibt, wenn sie ohnehin durchsickern. Vermutlich gibt es also auch in der Politik eine Dunkelziffer. Was noch gravierender ist: Offenbar hat die Regierung aus vergangenen Angriffen nichts gelernt.

Das sieht jedenfalls Konstantin von Notz so. Der stellvertretende Fraktionsvorsitzende der Grünen saß im NSA-Untersuchungsausschuss und ist einer der schärfsten Kritiker der Regierung in Sachen Cyber-Security. „Es gibt im Regierungsnetz nach wie vor zahlreiche Schwachpunkte“, sagt er. „Ein Problem ist, dass beim Bund wahnsinnig viele Rechner am Netz hängen – darunter alle Ministerien. Wenn Angreifer da einmal richtig drin sind, ist das ein attraktives Umfeld.“ Es lohne sich, viel Geld in die Hand zu nehmen, um in das System kommen, weil der Preis so hoch sei – ein tiefer Einblick in die Strategien der Regierung bis hin zu den individuellen, teils privaten Informationen der Mitarbeiter. Wer den Zugang dazu finde, habe sozusagen gleich den Hauptgewinn.

Anzeige
Anzeige

Technisch höhere Hürden würden die Zahl der Angriffe reduzieren. Es bräuchte zum Beispiel kleinteilige Strukturen, ­damit die Beute der Hacker kleiner ausfiele, sagt Stefan Katzenbeisser, der die Security Engineering Group an der Technischen Universität Darmstadt leitet. Dann müssten die Angreifer die Verhältnismäßigkeit einer monatelangen Aktion in Frage stellen. Je mehr Aufwand Hacker betreiben müssen, desto seltener greifen sie naturgemäß an. Falls Hacker Jahre für nur einen Hack brauchen, sind ihre Ressourcen für parallele Angriffe begrenzt. „Natürlich gibt es keine hundertprozentig sicheren Systeme, aber gegenwärtig gibt es auch noch in den meisten Netzen überflüssige Schwachstellen“, so Katzenbeisser. Ein Grund sei eine gewisse Bequemlichkeit. „Auf vielen Anwendungen ist noch Windows XP im Einsatz – da finden Sie genügend Software-Fehler.“ In einem komplexen System mit vielen unterschiedlichen Software-­Lösungen könne sich zudem jemand leicht verstecken, weil so viele Prozesse gleichzeitig laufen. Es sei schwer, schädliche Software darin zu finden. „Im Grunde müssten die Netze laufend auf Anomalien geprüft werden – aber ein solches Monitoring ist äußerst aufwändig, weil es sehr viele Falschmeldungen produziert.“ Es gibt zudem im Internet Tools, die die aktuellen Schwachstellen von größeren Infrastrukturen aufzeigen. Sie helfen, Angriffe leichter zu planen. „Wenn man die Netzwerke also nicht kleiner halten will, so müsste man sie wenigstens so konzipieren, dass man bei einem Angriff Teile davon isolieren und jederzeit schnelle Updates einspielen kann.“ Ein solches System baue derzeit die Deutsche Bahn auf, um die Stellwerke zentral steuern zu können – dort sei man inzwischen sensibilisiert für die Security bei solchen Infrastrukturen.

„Auf vielen Rechnern ist noch Windows XP im Einsatz – da finden Sie genügend Software-Fehler.“

Gerade in diesem letzten Punkt scheint es in der Regierung Nachholbedarf zu geben. „Der größte Schwachpunkt ist das leider immer noch gering ausgeprägte Bewusstsein, dass die politische Infrastruktur überhaupt massiv angegriffen wird“, sagt ­Konstantin von Notz. Hinzu komme, dass die Bundesregierung einen ­widersprüchlichen Kurs fahre. Zum einen wolle sie Sicherheitslücken in der IT-Infrastruktur schließen, zum anderen würden die deutschen Nachrichtendienste auf dem Schwarzmarkt Informationen zu Sicherheitslücken in standardisierter Software einkaufen – aber nicht, um sie zu schließen, sondern um sie für eigene Zwecke auszunutzen. Dies schade der IT-Sicherheit insgesamt. Von Notz sagt: „Dass Unternehmen Hackerangriffe nicht gerne melden, mag also auch daran liegen, dass sie sie jenen Behörden melden müssen, die vielleicht selbst Interesse an den Lücken haben.“ Aber: Je weniger Angriffe bekannt werden, desto schlechter können andere sich auch auf sie vorbereiten.

Die Bundesregierung hat zwar ein IT-Sicherheitsgesetz mit verpflichtenden Standards sowie der genannten Meldepflicht bei Angriffen verabschiedet, aber dies ist laut Notz unzureichend und widersprüchlich, da die Regierung sich selbst von der Melde­pflicht ausnehme. Das Regierungsnetz sei im Gegensatz beispielsweise zum Stromnetz nicht einmal Teil der sogenannten kritischen Infrastruktur, die bestimmten Mindestsicherheitsstandards unterliege.

Anzeige
Anzeige

Manipulation ohne Öffentlichkeit

Aber was kann überhaupt passieren, wenn die Hacker ins Regierungsnetz gelangen? Von Notz sieht zum Beispiel die nicht unrealistische Gefahr, dass Hacker mit den Informationen, die sie abgreifen, Social Engineering betreiben: Sie könnten Entscheidungsträgern gezielt auf ihre individuellen Profile hin zugeschnittene Informationen zukommen lassen und sie somit beeinflussen – ohne dass die Öffentlichkeit davon etwas mitbekommen würde. „Zur Einhegung des Machtinstruments des öffentlichen Rundfunks betreiben wir in Deutschland einen unglaublichen Aufwand, damit es keinen Missbrauch gibt“, sagt von Notz. „Im digitalen Bereich gibt es da überhaupt nichts Vergleichbares. Niemand will etwas regeln.“ Schon allein eine Meldepflicht würde für Transparenz sorgen.

Es kann auch sein, dass Hacker gar nicht direkt Informationen manipulieren müssen, um ihren Hack als Erfolg zu betrachten – es reicht ihnen mitunter, so zu tun als ob. „Man darf die psychologische Komponente von Cyber-Angriffen nicht ignorieren“, sagt Matthias Schulze, wissenschaftlicher Mitarbeiter im Bereich Cyber-Sicherheitspolitik der Stiftung Wissenschaft und Politik. „Es signalisiert Verwundbarkeit und Unsicherheit. Russland etabliert sich damit als potente Cyber-Macht und allein der Verdacht, die Hacker würden zurückkehren, sorgt dafür, dass viele Prozess in der Regierung aus Sicherheitsgründen langsamer ablaufen können.“

Jörn Müller-Quade vom KIT sagt, die Regierung müsse aus diesen Gründen noch viel radikalere Sicherheitskonzepte erstellen – und nicht nur nach Angriffen Lücken stopfen. Sie müsse darüber nachdenken, im Hochsicherheitsbereich im Grunde wieder völlig neu anzufangen. „Um zu verhindern, dass man alleine durch einen unvorsichtigen Klick einen Trojaner installiert, muss man die Funktionalität des ganzen Systems reduzieren.“ Die Komplexität sei der Feind der Sicherheit und wenn ein Tool wie Outlook so kompliziert sei, dass man nicht kontrollieren könne, welche Daten damit raus geschickt würden, sei es für das Regierungsnetz „schlicht das falsche Werkzeug“.

Anzeige
Anzeige

„Aber hier geht es ja nicht um Bequemlichkeit, sondern um Souveränität“

Aber selbst Versuche, stattdessen einfachere Open-­Source-Tools zu verwenden, wurden im Regierungsapparat nicht ­akzeptiert. Dies würde nämlich zur Folge haben, dass mitunter Daten nicht einfach von einer Applikation zur anderen übertragen werden könnten – wie es Windows-Nutzer gewohnt sind. Es gab Modellprojekte im Auswärtigen Amt, bei denen sich zeigte, dass die Mitarbeiter nicht gerne auf solche bequeme Standardsoftware wie die von Microsoft verzichten wollen. „Aber hier geht es ja nicht um Bequemlichkeit, sondern um Souveränität“, sagt Müller-Quade. „Wir sollten als Staat die Software kennen, die wir verwenden – der Quellcode etwa, sollte gegenüber dem Staat offen­gelegt sein. Dass Software nach Bequemlichkeit ausgewählt wird, zeigt, dass der IT-Security nicht der angemessene Stellenwert zugeschrieben wird.“

Gefahr droht ja nicht nur von russischer Seite. US-amerikanische Geheimdienste haben in der Vergangenheit Sicherheits­lücken bewusst verschwiegen, um sie selbst für Spionagezwecke auszunutzen – so auch die Lücke, die im vergangenen Jahr letztlich den Wannacry-Angriff möglich machte. Auch mit US-amerikanischen Herstellern von Geräten und Software soll die NSA laut Experten zusammengearbeitet haben, um Lücken in den Systemen zu integrieren. Als Nutzer etwa kann man ein Update erhalten, das so aussieht, als käme es von den Herstellern – das aber in Wirklichkeit eine Tür in das System enthält. In den Unternehmen, die da mitmachen, wird die Zusammenarbeit nicht herumerzählt, sodass nur wenige Mitarbeiter davon wissen. ­Müller-Quade sagt: „Aber allein die Möglichkeit, dass ein Geheimdienst dies kann, erlaubt vor diesem keinen Schutz mehr, weil wir uns nicht einmal auf die grundlegenden Sicherheitsmechanismen der Geräte verlassen können.“

Ein zu großes Netz, Bequemlichkeit, ein verwässerter Umgang mit Sicherheitslücken, wenig Transparenz, keine klaren Standards und das alles bei der rasanten Zunahme neuer Technologien – das hinterlässt kein gutes Gefühl. Die Gefahr ist groß, dass der nächste Hack noch viel weitreichendere Folgen hat, wenn die Regierung der Sicherheit nicht eine so hohe Priorität einräumt, wie es einige Unternehmen längst tun. Die Firmen gehen von vorneherein davon aus, dass sie bereits gehackt sind. Unter dieser Prämisse verändert sich der Umgang mit Daten grundlegend. Die Firmen isolieren ihre Daten auf Rechnern, die nicht ans Netz angeschlossen sind, oder hantieren mitunter nur noch auf Papier.

Anzeige
Anzeige

Der allgemeine Trend geht aber noch mehr in die andere Richtung, sagt Jörn Müller-Quade. „Immer mehr Menschen wollen ein Smart Home, in dem Geräte per Zuruf etwas machen. Wir stellen uns Sprachassistenten auf, die wir wie Freunde ansehen und denen wir unser Alltagsleben anvertrauen sowie unsere Gewohnheiten.“ Das alles führe zu ganz neuen Sicherheitslücken und Möglichkeiten, Daten abzugreifen – nicht nur in Regierungskreisen, sondern im Alltag aller Menschen. „Ich habe den Eindruck, selbst wenn wir es schaffen, dass wir Regierungsnetze sicher hinbekommen und die unbequemeren Lösungen akzeptieren, geht der Trend dahin, dass wir eine Überwachungsstruktur aufbauen und uns nicht wundern dürfen, wenn Daten anders als bisher gewonnen werden“, sagt KIT-Professor Müller-Quade. Niemand muss sich dann mehr um das Regierungsnetz sorgen. Wenn man die Mitarbeiter der Regierung privat ausspionieren kann – das ist dann der noch größere Hauptgewinn für Hacker jeglicher Nationalität.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Thomas Schulze

Im bürgerlichen Recht gilt die Unschuldsvermutung, solange keine Beweise vorliegen.

„Ob die Hacker tatsächlich im Auftrag der russischen Regierung handelten, ist nicht nachweisbar – aber die Sicherheitsbehörden und einige Forscher gehen davon aus.“ – Ist t3n jetzt auch schon auf die antirussische Propaganda gleichgeschaltet?

Im Übrigen: Wer im Glashaus sitz, sollte nicht mit Steinen werfen. – Siehe https://www.tagesschau.de/ausland/bespitzelung-wien-101.html

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige