Cyber-Angriffe auf Regierungs- und Verwaltungswebseiten

Wirklich gefährlich sieht anders aus

| Autor / Redakteur: Werner Thalmeier / Susanne Ehneß

IT-Sicherheitsexperte Werner Thalmeier, Director Security Solutions für Europa, den Nahen Osten, Afrika und Lateinamerika bei Radware
IT-Sicherheitsexperte Werner Thalmeier, Director Security Solutions für Europa, den Nahen Osten, Afrika und Lateinamerika bei Radware (Bild: Radware)

Behörden und Unternehmen hinken IT-Security-Angreifern in vielen Punkten immer mehr hinterher. Wie konnte es zum Beispiel passieren, dass die Internetpräsenz der Bundeskanzlerin aufgrund eines gewöhnlichen DDoS-Angriffs für Stunden in die Knie ging? Ein Kommentar von Werner Thalmeier von Radware.

Am Ende hatte die prorussische Hackergruppe Berkut ihr Ziel erreicht. Nicht nur, dass die Webseiten von Bundeskanzlerin Merkel sowie des Bundestags zeitweise in die Knie gingen, als kürzlich der ukrainische Ministerpräsident Jazenjuk in Berlin zu Besuch war. Viel wichtiger dürfte den Hacktivisten gewesen sein, dass ihr Angriff Schlagzeilen bis nach Australien und in die USA machte.

Dass sie diese publizistische Welle lostreten konnten, war fast zwangsläufig. Schließlich fanden der Jazenjuk-Besuch und der Cyber-Angriff in einem politisch hoch aufgeladenen Umfeld statt.

Angriff auf Merkels Website war nichts Besonderes

Auf der anderen Seite gilt aber auch, dass außer ein wenig Imageschaden und zeitweise nicht erreichbaren Webseiten kaum etwas passiert ist. Die wirklich unangenehmen Fragen sind ganz andere: Die Attacke auf die Seiten von Merkel und des Bundestags war ein gewöhnlicher DDoS-(Distributed Denial of Service-)Überlastungsangriff, bei dem keine besonders ausgefeilten Techniken oder Werkzeuge eingesetzt wurden.

Wie kann es sein, dass Merkels Internetpräsenz trotz eines derart gewöhnlichen Angriffs für Stunden in die Knie ging? Und wie verhalten sich die Systeme der Bundesregierung erst, wenn sie sich einem wirklich gefährlichen Angriff gegenübersehen, der es auf Anwendungen und Daten eines Computernetzwerks abgesehen hat? Etwa in Form eines „Tarnkappen“-Angriffs, bei dem die Infiltration schleichend und unbemerkt stattfindet. Oder bei Attacken auf mehreren Ebenen, die sich über Tage oder Wochen hinziehen?

Jahresbericht zur IT-Sicherheit

Solche Szenarien sind keine Zukunftsmusik, sondern bereits Alltag. Dies dokumentierte zum Beispiel gerade Radwares neuer Jahresbericht zur IT-Sicherheit 2014/15. Der Bericht kommt außerdem zu dem Schluss, dass Regierungen, Verwaltungen und andere öffentliche Einrichtungen wie schon in den Vorjahren zu den gefährdetsten Branchen überhaupt gehören – neben Banken, Online-Games und Internet-Serviceanbietern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstreicht diesen Befund. Es zählte von Anfang bis Herbst vergangenen Jahres alleine in Deutschland über 32.000 DDoS-Angriffe. Außerdem fördern BSI-Studien immer wieder zutage, dass politische Ziele die häufigste Motivation für derartige Angriffe darstellen. Dies rückt öffentliche Institutionen automatisch ins Zentrum der Gefahrenlage.

Viele Angriffe bleiben unbemerkt

Zwei Fragen sind insbesondere bei DDoS-Angriffen entscheidend: Wie schnell kann die unter Beschuss befindliche Organisation die Attacke entdecken und entsprechende Abwehrmaßnahmen einleiten? Und wie lange kann sie einem Dauerfeuer standhalten?

Schon die Entdeckung ist in vielen Fällen nicht leicht, weil Angreifer immer weniger mit brachialer Gewalt durch die bekannten Eingangstüren stürmen. Und selbst wenn sie das tun, kann dies ein reines Ablenkungsmanöver sein. Immer häufiger dienen breitbandige Angriffe dazu, den eigentlichen Einbruch zu vertuschen, der dann unter Umständen über Wochen, Monate oder sogar Jahre unbemerkt bleibt.

Im Fall solcher „Advanced Persistent Threats“ (APTs) wiegen sich die betroffenen Behörden in der Überzeugung, einen DDoS-Angriff abgewehrt zu haben, während die Angreifer sich auf internen Systemen unerkannt einnisten und freien Zugang zu vertraulichen Dokumenten oder Daten haben.

So gab es Ende 2014 einen entsprechenden Angriff, wieder im Umfeld der Bundeskanzlerin. Bei ihm nistete sich der Trojaner „Regin“ auf einem Rechner des Bundeskanzleramtes ein. Regin gilt als fortschrittlicher Trojaner, aktiviert sich in mehreren Stufen und ist dabei besonders darauf bedacht, nicht entdeckt zu werden. Der Trojaner überwacht den Datenverkehr der befallenen Rechner, greift Daten ab und soll auch in der Lage sein, Rechner über lange Zeiträume hinweg auszuspähen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43185514 / System & Services)