Zum Inhalt

Trendthemen

Mutmaßlich russische Hacker sind in das Datennetzwerk des Bundes eingedrungen, zwischen einem Jahr und mehrere Monate waren sie aktiv. Sie konnten an Daten aus dem Auswärtigen Amt, dem Verteidigungsministerium und möglicherweise andere Behörden kommen – allein das ist schon problematisch genug. Dennoch wirft das Vorgehen Fragen auf:

Woher kommen die Hacker?

Sind es wirklich „die Russen“? Tom Van de Wiele, Principal Security Consultant bei F-Secure und Mitglied unseres Red-Teams, ist sich nicht so sicher: „Die Zuordnung von Cyberangriffen ist enorm schwierig. Es ist trivial, eine Attacke einer anderen Gruppe oder einem bestimmten Staat zuzuschreiben, einfach, indem man die Tools dieser Experten verwendet. Außerdem ist es schwierig herauszufinden, wer die Angriffe finanziert. Vereinfacht gesagt: Wenn eine Attacke von einer spanischen IP erfolgt, dann muss dahinter nicht zwingend die spanische Regierung stecken.“

Wer ist APT28?

Schnell waren Experten sicher: Hinter dem Angriff steckt APT28 aka Sofacy aka FancyBear. Dabei handelt es sich um eine Gruppe oder besser eine Abteilung von Hackern, die wahrscheinlich dem russischen Geheimdienst GRU zuzuordnen sind. Der Gruppe wird eine Reihe von Angriffen zugeordnet, unter anderem soll sie hinter Hacks auf niederländische Ministerien stecken, Angriffe auf urkainische Artillerieeinheiten durchgeführt oder die Welt Anti-Doping Agentur im Visier haben. Ob alle diese Attacken auf das Konto der gleichen Hacker gingen oder ob sie wirklich im staatlichen Auftrag handelt – bislang ungeklärt.

Wie schwer sind die Auswirkungen?

Noch ist es zu früh, um über die Auswirkungen für betroffene Systeme zu spekulieren oder gar das komplette Ausmaß zu kennen. Was aber inzwischen klar wird: Seit Ende 2017 waren die Angriffe den deutschen Behörden bekannt, die Hacker wurden aktiv beobachtet um Hintermänner aufzuspüren und das Ausmaß abzuschätzen.

Warum ist das Netz des Bundes nicht sicher?

Staaten haben es nochmal schwerer als Unternehmen: Nicht nur sind sie ständig im Visier diverser Geheimdienste, die IT ist nochmal komplexer und schwerer abzusichern. Das betrifft nicht nur Deutschland, sondern auch die Leaks aus den US-Netzen oder aus der Türkei machen klar, wie schwer IT-Sicherheit für Staaten ist. Eigentlich hätte der Bundestag aus dem massiven Hack vom letzten Januar lernen können, scheinbar gingen Lektionen aber nicht auf oder wurden schlicht ignoriert.

Wie kann sich mein Unternehmen gegen solche Angriffe schützen?

Wahrscheinlich fragen Sie sich jetzt: Wenn es schon der Staat nicht schafft, wie kann ich mein Unternehmen dann sichern? Die wichtigste Maßnahme ist, dass IT-Sicherheit als Prozess und nicht als Produkt gesehen wird. Unternehmen können dabei ihre Stärken voll ausspielen. Nicht nur sind sie deutlich agiler als Behörden, sie können auch genau definieren, welche Techniken wann, wo und wie lange eingesetzt werden.

Tom Van de Wiele sieht allerdings mehrere große Sicherheitshindernisse:

Alte Systeme: Es gibt immer noch Mainframes, alte Software oder Systeme, die zwar längst abgeschrieben sind, aber wichtige Funktionen erfüllen. Diese Infrastruktur kann meist gegen aktuelle Bedrohungen nicht mehr bestehen und liefert Angreifern Hintertüren und Sprungbretter ins Unternehmensnetzwerk.

Kein Verteidigung in der Tiefe: Die Grenze zwischen dem Firmennetz und dem Internet ist zwar stark geschützt, wenn ein Angreifer aber erst einmal über diese Hürde gekommen ist, kann er oft ungestört im Netzwerk herumgeistern. Weitere Informationen zum Aufspüren von Aktivitäten hinter der Verteidigungslinie

Fehlendes Wissen und Erfahrung: IT-Sicherheit ist ein Feld, dass sich enorm schnell bewegt. Experten sind knapp und entsprechend teuer. Gerade kleiner Unternehmen können die notwendigen Talente oft nicht aufbauen – aber sollten genau deswegen zu externen Experten und Partner greifen.

Untrainierte Mitarbeiter: Eine Spezialität von APT28 ist sogenanntes Spear Phishing. Dabei werden extrem gut gefälschte E-Mails an speziell ausgewählte und ausspionierte Empfänger im Unternehmen geschickt. Ein Beispiel ist der Lebenslauf, der auf eine Stellenausschreibung geschickt wird. Für eine HR-Person ist das ein normaler Vorgang, die Datei wird wahrscheinlich geöffnet. Das kann schon reichen, reichen, um ein System zu infizeren – gerade wenn die Verteidigung in der Tiefe fehlt.

Keine zuverlässige Erkennung: Ein anderes Problem ist, dass Firmen oft nicht sicher sagen können, ob sie überhaupt gehackt wurden. 80 Prozent aller Untersuchungen beginnen erst, wenn ein Angreifer bereits die Sicherheitsmaßnahmen einer Firma umgehen konnte. Weitere Informationen dazu haben wir in diesem Beitrag zusammengestellt.

Ist das jetzt wirklich News?

Die Entdeckung des Angriffs ist sicher eine oder mehrere Nachrichten wert. Die Tatsache, dass solche Attacken stattfinden dagegen weniger. Cyber-Attacken sind gang und gäbe, sowohl gegen Nationen wie auch gegen Firmen und Einzelpersonen. Die Einstiegshürden für Angreifer sind niedrig – aber der Großteil der Attacken läuft auch ins Leere.

F-Secure Deutschland

01.03.18 4 Minuten Lesezeit

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

Hervorgehobener Artikel

Zugehörige Beiträge

Newsletter modal

Herzlichen Glückwunsch – Sie können nun auf den Inhalt zugreifen, indem Sie auf die Schaltfläche unten klicken.

Gated Content modal

Vielen Dank für Ihr Interesse am F-Secure Newsletter. Sie erhalten in Kürze eine E-Mail zur Bestätigung des Abonnements.