Tag Archiv für BSI

Cyberangriffe

Diese Woche waren mal wieder Cyberangriffe auf Abgeordnete das Thema (Tagesschau, FAZ), diesmal angeblich erneut vom einem russischen Geheimdienst initiiert.

Wenige Wochen vor der Bundestagswahl sind Abgeordnete mindestens zum dritten Mal Ziel von Cyberangriffen geworden.

Erst zum dritten Mal? Bei mir entsteht bei solchen Meldungen meist der Eindruck, als hielte man derartige Angriffe übers Internet für etwas Besonderes. Man muss sich vergegenwärtigen, daß Angriffe permanent durchgeführt werden und sich nicht nur gegen Abgeordnete und leitende Entscheidungsträger richten. Plakativ formuliert: Jeder Rechner, der eine Zeitspanne t>0 mit dem Internet verbunden ist wird angegriffen werden. Das ist unschön, aber völlig normal. Tatsache ist aber auch, daß viele dieser Angriffe von russischen oder ukrainischen IP-Adressen stammen, was allein nicht zwingend heißt, das dort auch die Urheber sitzen.

Bereits in der vergangenen Woche informierten die Sicherheitsbehörden den Bundestag über Cyberangriffe ausländischer Nachrichtendienste auf Parlamentarier.

Die Abgeordneten des Bundestages waren in diesem Jahr bereits zweimal vor Cyberangriffen ausländischer Nachrichtendienste gewarnt worden. Zuletzt war von Attacken vor allem auf Abgeordnete von Union und SPD die Rede.

Das wird die Günen aber mächtig ärgern, sie machen zwar viel Lärm, sind aber einfach bedeutungslos. 😉

In zwei von drei Angriffen wurden sie gewarnt, den dritten Fall hat man also erst hinterher bemerkt. Fragt sich wie viele unentdeckt geblieben sind. Generell stellt sich die Frage, ab wann etwas von unseren Behörden als Angriff gewertet wird.

Aus meiner persönlichen Erfahrung im Privaten: Ich habe keine öffentliche Funktion inne und bin auch kein Geheimnisträger. Außerdem bin ich relativ unmodern organisiert und trenne sehr strikt zwischen persönlich, privat, geschäftlich und öffentlich (unterschiedliche e-Mailkonten, instant Messengerkonten, Hostingadressen, etc.) Das ist übrigens einer meiner wesentlichen Kritikpunkte an den meisten instant Messengern, daß sie nicht mehrkontenfähig sind und man unterschiedliche Lebensbereiche unter derselben Kennung durchführen muss. Selbst bei dem recht gut durchdachten Threema hat man nur eine Kennung zur Verfügung, die man jedem mitteilen müsste.

Nun betreibe ich mehrere Webseiten, bei denen in inzwischen weite Teile des ukrainischen Netzes anhand der IP-Adressen rigoros gesperrt sind, weil von dort ständig Angriffe kamen. Die Maßnahme ist schadlos wirksam, weil es keinen Grund gibt von dort meine Webseiten abrufen zu wolllen, da sie einerseits alle auf Deutsch sind andererseits inhaltlich keinen Bezug zu den „ostischen“ Ländern bieten. Dieser Artikel bildet gerade die Ausnahme von der Regel.

Ein privater Rechner von mir ohne jegliche öffentlich gehosteten Webseiten hängt permanent passiv am Internet, damit ich allein von außen auf ihn zugreifen kann. Irgendwann vor Jahren wurde er entdeckt, wahrscheinlich durch einen der üblichen IP- und Portscans. Seitdem gibt es täglich kleinere Einbruchversuche, in größeren Abständen Anggriffswellen, die sich im Minutentakt über Tage hinziehen. Dabei wird mittels Wörterbuchangriffen eine passende Kombination aus Nutzname und Passwort versucht zu ermittteln. Eine Vorgehensweise, die bei meinem Rechner fehlschlagen muss.

Hinzu kommen Phishingmails, diverse Erpressungsmails (hier & hier) und sonstiger gefährlicher Spam an alle öffentlich bekannten e-Mailadressen. Die Spameingänge über instant Messenger, die praktisch immer e-Mailadressen zum Spammen, Kreditkartennummern, Exploits u.ä. anbieten, sind auch in russisch oder ukrainisch verfasst.

Lange Rede, kurzer Sinn: Betroffen ist jeder und es ist bei Weitem nicht nur der russische Geheimdienst der sich da rumtreibt. Beförder wird diese Situation durch den hohen Verbreitugsgrad von Microsoft-Software (gemäß seiner Inzidenz hätte es schon lange in den Lockdownt gehört). Werden also Abgeordnete tatsächlich signifikant häufiger angegriffen als Andere? Das ist zwar der Erwartungswert, aber entspricht das auch der Realität?

„Für Sicherheit braucht man nur Mitarbeiterschulungen“

Ein Artikel mit eben diesem unsinnigen Titel „Für Sicherheit braucht man nur Mitarbeiterschulungen“ kam gestern auf Zeit-Online. Sicherheit ist niemals eine intrinsische Eigenschaft einer Entität, sondern es kann sie immer nur in Bezug auf etwas Anderes geben (sicher vor Diebstahl, Feuer, Asteroideneinschlägen etc.). Somit ist Sicherheit immer ein System von Maßnahmen im Hinblick auf bestimmte Angriffsvektoren. Daher ist allein unter diesem allgemeinen Gesichtspunkt die Aussage grob falsch, aber auch im engeren Sinne nur bezogen auf Datensicherheit reichen Mitarbeiterschulungen allein bei weitem nicht aus. Bestes Beispiel sind die Einbrüche in EDV-Anlagen über Softwarelücken. Selbst beste Schulungen können diese nicht verhindern. Mitarbeiterschulungen verbessern zwar das allgemeine Sicherheitsniveau, aber ohne jegliche technische Maßnahmen wird es nicht gehen. … Weiterlesen

Internetseitensperren im Bundestag

Die IT im Bundestag weiß sich nicht mehr anders zu helfen, als mit Zugangssperren für Angehörige des Bundestages (Spiegel):

Als Reaktion auf die jüngste Cyberattacke hat der Bundestag den Zugang zu mehr als 100.000 Websites sperren lassen. So soll verhindert werden, dass sich weitere Parlamentscomputer mit sogenannten Trojanern infizieren.

Wer hätte das gedacht, Zensursulas Traum von Zugangspserren wird zuerst bei den Abgeordneten und ihren Mitarbeitern eingeführt. Mal abgesehen von dem Umstand, daß ich gerne mal einen Blick auch auf diese Liste werfen würde, frage ich mich unwilkürlich wie das weitergehen soll. Wer soll diese Liste warten? Das Internet besteht inzwischen aus Millionen von Servern und Milliarden von Webseiten. Es müssten praktisch permanent neue Einträge hinzukommen und alte gelöscht werden. Dies lässt sich nur bedingt automatisieren und für die manuelle Kontrolle dürfte aber wohl nicht genügend (vertrauenswürdiges) Personal vorhanden sein. Vermutlich läuft es daher darauf hinaus, daß die Liste immer weiter anwächst. Erfahrungsgemäß funktionieren schwarze Listen nur ganz am Anfang, weil ihre Wartung zu zeitintensiv und die Fehlerquote hoch ist. Das Ganze erinnert stark an die Zensurlisten der BPjM, mit ihren fehlerhaften und nicht regelmäßig geprüften Einträgen, wie der BPjM-Leak gezeigt hat. Weiterlesen

Bedenkenträger am DE-CIX

Gestern ist mal wieder NSA-Untersuchungsausschuss zusammengetroffen, wobei nun auch offiziell bestätigt wurde, daß der BND umfangreich Daten, auch inländische, am Austauschknoten abgreift (Golem, heise, Netzpolitik). Wer zwischen den Zeilen lesen kann, konnte dies bereits 2013 einer gewundenen Presseerklärung des DE-CIX entnehmen:

… weder die NSA noch andere angelsächsische Dienste Zugang zum Knoten haben.

Doch diesmal wurde vom Untersuchungsausschuss ein schwergewichtiger Zeuge aus der deutschen Internetwirtschaft befragt: Klaus Landefeld. Weiterlesen

Datenweitergabe durch den BND

Jetzt ist es also auch endlich offiziell, daß Telekommunikationsdaten am Frankfurter Knoten ausgeleitet wurden bzw. werden. Allerdings erfolgte die Ausleitung durch den BND, der sie an die NSA weitergab und nicht direkt durch die NSA. Offiziell soll das Austauschprogramm 2007 beendet worden sein, aber wie glaubwürdig ist dies tatsächlich? Damit kann es jetzt auch als sicher gelten, daß man am DE-CIX davon wusste, denn vor knapp einem Jahr hat man noch eine gewundene Presseerklärung herausgegeben, in der man versicherte, daß die „NSA und andere angelsächsische Dienste“ keinen Zugriff auf die Daten im Austauschknoten haben. Tja, der BND ist eben kein angelsächsicher Geheimdienst. Jetzt fehlt noch die Aufdeckung der Beteiligung des BSI an der Ausspähung, denn auch dessen Presseerklärung vor einem Jahr war derart überspezifisch, daß man gar nichts anders kann, als davon auszugehen, daß es eigentlich — allein schon wegen seiner Herkunft — in irgendeiner Form beteiligt sein muss. Vielleicht leistet das BSI auch nur indirekte Unterstützung, in dem es dafür sorgt, daß das Nationale Cyber-Abwehrzentrum (NCAZ) gerade nicht funktioniert.

Gewiss sollte man jetzt aber nicht davon ausgehen, daß die NSA nicht doch einen Zugriff auf die Daten am DE-CIX hatte und immer noch hat. Einerseits widerspräche es dem mißtrauischen, ja paranoiden Wesen eines jeden Geheimdienstes, sich allein auf fremde Zuträger — in diesem Falle den BND — zu verlassen und auf Eigenbeschaffung zu verzichten wenn sie denn möglich ist. Außerdem kann man so auch die Zuverlässigkeit des „befreundeten“ Dienstes besser einschätzen, da die Daten aus zwei Quellen fließen. Andererseites bleibt das Hardwareproblem an den Knoten bestehen. Praktisch die gesamte relevante Hardware kommt von Herstellern aus den USA. Da zwischenzeitlich auch bekannt geworden war, daß die NSA Frachtsendungen von Herstellern abfängt, den Inhalt manipuliert und dann wieder in die Lieferkette einführt, kann es somit als sicher gelten, daß auch am DE-CIX Hardware mit Hintertüren eingesetzt wird, wenn auch vielleicht unwissentlich und unwillentlich.

Lesekompetenz von Internetnutzern

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen laut Presseerklärung 16 Millionen e-Mail-Passwort-Kombinationen übergeben worden sein. Von wem bleibt allerdings unklar. Die kompromittierten Daten sollen nach Angaben des BSI aus der Analyse von Botnetzten stammen. Daraufhin hat das BSI als Bürgerservice extra die eigene Webseite „https://www.sicherheitstest.bsi.de/“ eingerichtet, bei der jeder seine e-Mailadresse daraufhin überprüfen kann, ob sie sich unter den 16 Millionen befindet. Soweit so gut.

Nun hat gestern das Blog Netzpolitik über diesen Sachverhalt und über den Zusammenbruch der Webseite des BSI auf Grund des Besucheransturmes einen eher kurzen, aber meines Erachtens klaren Blogeintrag unter sicherheitstest.bsi.de – Wenn die DoS-Attacke aus der eigenen Bevölkerung kommt… veröffentlicht. Soweit auch noch ein vollkommen normaler Vorgang.

Was einem bei dieser Angelegenheit jetzt auf der Stirn Kaventsmänner schlagen lässt sind die vielen, knappen, durchweg höflichen, aber offenbar ernstgemeinten Kommentare zu dem Blogeintrag auf Netzpolitik: Weiterlesen

BSI dementiert Beteiligung an Prism und Tempora

Das Bundesamt für Sicherheitstechnik in der der Informationsverarbeitung (BSI) hat heute in einer Presseerklärung eine Zusammenarbeit mit ausländischen Nachrichtendiensten geschwurbelt dementiert: Weiterlesen