Tag Archiv für Cyberangriff

Cyberangriffe

Diese Woche waren mal wieder Cyberangriffe auf Abgeordnete das Thema (Tagesschau, FAZ), diesmal angeblich erneut vom einem russischen Geheimdienst initiiert.

Wenige Wochen vor der Bundestagswahl sind Abgeordnete mindestens zum dritten Mal Ziel von Cyberangriffen geworden.

Erst zum dritten Mal? Bei mir entsteht bei solchen Meldungen meist der Eindruck, als hielte man derartige Angriffe übers Internet für etwas Besonderes. Man muss sich vergegenwärtigen, daß Angriffe permanent durchgeführt werden und sich nicht nur gegen Abgeordnete und leitende Entscheidungsträger richten. Plakativ formuliert: Jeder Rechner, der eine Zeitspanne t>0 mit dem Internet verbunden ist wird angegriffen werden. Das ist unschön, aber völlig normal. Tatsache ist aber auch, daß viele dieser Angriffe von russischen oder ukrainischen IP-Adressen stammen, was allein nicht zwingend heißt, das dort auch die Urheber sitzen.

Bereits in der vergangenen Woche informierten die Sicherheitsbehörden den Bundestag über Cyberangriffe ausländischer Nachrichtendienste auf Parlamentarier.

Die Abgeordneten des Bundestages waren in diesem Jahr bereits zweimal vor Cyberangriffen ausländischer Nachrichtendienste gewarnt worden. Zuletzt war von Attacken vor allem auf Abgeordnete von Union und SPD die Rede.

Das wird die Günen aber mächtig ärgern, sie machen zwar viel Lärm, sind aber einfach bedeutungslos. 😉

In zwei von drei Angriffen wurden sie gewarnt, den dritten Fall hat man also erst hinterher bemerkt. Fragt sich wie viele unentdeckt geblieben sind. Generell stellt sich die Frage, ab wann etwas von unseren Behörden als Angriff gewertet wird.

Aus meiner persönlichen Erfahrung im Privaten: Ich habe keine öffentliche Funktion inne und bin auch kein Geheimnisträger. Außerdem bin ich relativ unmodern organisiert und trenne sehr strikt zwischen persönlich, privat, geschäftlich und öffentlich (unterschiedliche e-Mailkonten, instant Messengerkonten, Hostingadressen, etc.) Das ist übrigens einer meiner wesentlichen Kritikpunkte an den meisten instant Messengern, daß sie nicht mehrkontenfähig sind und man unterschiedliche Lebensbereiche unter derselben Kennung durchführen muss. Selbst bei dem recht gut durchdachten Threema hat man nur eine Kennung zur Verfügung, die man jedem mitteilen müsste.

Nun betreibe ich mehrere Webseiten, bei denen in inzwischen weite Teile des ukrainischen Netzes anhand der IP-Adressen rigoros gesperrt sind, weil von dort ständig Angriffe kamen. Die Maßnahme ist schadlos wirksam, weil es keinen Grund gibt von dort meine Webseiten abrufen zu wolllen, da sie einerseits alle auf Deutsch sind andererseits inhaltlich keinen Bezug zu den „ostischen“ Ländern bieten. Dieser Artikel bildet gerade die Ausnahme von der Regel.

Ein privater Rechner von mir ohne jegliche öffentlich gehosteten Webseiten hängt permanent passiv am Internet, damit ich allein von außen auf ihn zugreifen kann. Irgendwann vor Jahren wurde er entdeckt, wahrscheinlich durch einen der üblichen IP- und Portscans. Seitdem gibt es täglich kleinere Einbruchversuche, in größeren Abständen Anggriffswellen, die sich im Minutentakt über Tage hinziehen. Dabei wird mittels Wörterbuchangriffen eine passende Kombination aus Nutzname und Passwort versucht zu ermittteln. Eine Vorgehensweise, die bei meinem Rechner fehlschlagen muss.

Hinzu kommen Phishingmails, diverse Erpressungsmails (hier & hier) und sonstiger gefährlicher Spam an alle öffentlich bekannten e-Mailadressen. Die Spameingänge über instant Messenger, die praktisch immer e-Mailadressen zum Spammen, Kreditkartennummern, Exploits u.ä. anbieten, sind auch in russisch oder ukrainisch verfasst.

Lange Rede, kurzer Sinn: Betroffen ist jeder und es ist bei Weitem nicht nur der russische Geheimdienst der sich da rumtreibt. Beförder wird diese Situation durch den hohen Verbreitugsgrad von Microsoft-Software (gemäß seiner Inzidenz hätte es schon lange in den Lockdownt gehört). Werden also Abgeordnete tatsächlich signifikant häufiger angegriffen als Andere? Das ist zwar der Erwartungswert, aber entspricht das auch der Realität?

Gegenschlag nach Cyberattacke

Wieder einmal beklagt jemand, daß Deutschland nach einem Cyberangriff nicht zurückschlagen kann. Diesmal ist es der Generalsekretär des Cyber-Sicherheitsrats von Deutschland, Hans-Wilhelm Dünn. Wenn inzwischen jemand mit dem Begriff cyber anfängt, kann man davon ausgehen, daß hinterher viel Unfug kommt. Weiterlesen

Internetseitensperren im Bundestag

Die IT im Bundestag weiß sich nicht mehr anders zu helfen, als mit Zugangssperren für Angehörige des Bundestages (Spiegel):

Als Reaktion auf die jüngste Cyberattacke hat der Bundestag den Zugang zu mehr als 100.000 Websites sperren lassen. So soll verhindert werden, dass sich weitere Parlamentscomputer mit sogenannten Trojanern infizieren.

Wer hätte das gedacht, Zensursulas Traum von Zugangspserren wird zuerst bei den Abgeordneten und ihren Mitarbeitern eingeführt. Mal abgesehen von dem Umstand, daß ich gerne mal einen Blick auch auf diese Liste werfen würde, frage ich mich unwilkürlich wie das weitergehen soll. Wer soll diese Liste warten? Das Internet besteht inzwischen aus Millionen von Servern und Milliarden von Webseiten. Es müssten praktisch permanent neue Einträge hinzukommen und alte gelöscht werden. Dies lässt sich nur bedingt automatisieren und für die manuelle Kontrolle dürfte aber wohl nicht genügend (vertrauenswürdiges) Personal vorhanden sein. Vermutlich läuft es daher darauf hinaus, daß die Liste immer weiter anwächst. Erfahrungsgemäß funktionieren schwarze Listen nur ganz am Anfang, weil ihre Wartung zu zeitintensiv und die Fehlerquote hoch ist. Das Ganze erinnert stark an die Zensurlisten der BPjM, mit ihren fehlerhaften und nicht regelmäßig geprüften Einträgen, wie der BPjM-Leak gezeigt hat. Weiterlesen

NSA legt Internetanbindung lahm

Die Nachricht der letzten Tage aus dem Snowden-Fundus, daß die Abkopplung vom Internet von Syrien im November 2012 kein bloßes technisches Versagen syrischer Router oder sogar eine vom Assad-Regime gewollte Kappung des Informationsflusses war, sondern eine Panne der NSA beim Eindringen in fremde Systeme, wurde nur wenig beachtet. Die NSA versuchte wohl noch den Router wieder per Fernzugriff zu reparieren, aber der Versuch schlug fehl. Die syrischen Techniker haben zwar vor Ort das Problem recht schnell in den Griff bekommen, aber sie sind der Ursache des Ausfalls nicht weiter auf den Grund gegangen, weil sie das System möglichst schnell wieder zum Laufen bringen wollten, wie aus einem Interview mit Edward Snowden mit Wired hervorgeht. Dieser Vorfall sollte nicht nur Technikern sondern auch Politikern und Journalisten zu denken geben, denn er hat einige bedeutsame Implikationen für die Interpretation zukünftiger Ereignisse. Weiterlesen

Nationales Cyber-Abwehrzentrum ist sinnlos

Die Tagesschau berichtet aus einem vertraulichen Bericht des Rechnungshofes zum 2011 eröffnetenNationalen Cyber-Abwehrzentrum” (NCAZ). Darin kommt man zu einem vernichtenden Urteil:

Das Zentrum sei aktuell „nicht geeignet, die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln“.
[…]
Außerdem sei nicht klar, was das NCAZ überhaupt für Aufgaben übernehme, weil es offenbar an einer klaren Aufteilung der Zuständigkeiten mangelt.
[…]
Dem Bundesrechnungshof sei völlig unklar, „welche Produkte das Cyberabwehrzentrum regelmäßig erstellt“ – also was es überhaupt in einem Angriffsfall tut.

Weiterlesen