Cyber-Angriffe auf Regierungs- und Verwaltungswebseiten Wirklich gefährlich sieht anders aus

Autor / Redakteur: Werner Thalmeier / Susanne Ehneß

Behörden und Unternehmen hinken IT-Security-Angreifern in vielen Punkten immer mehr hinterher. Wie konnte es zum Beispiel passieren, dass die Internetpräsenz der Bundeskanzlerin aufgrund eines gewöhnlichen DDoS-Angriffs für Stunden in die Knie ging? Ein Kommentar von Werner Thalmeier von Radware.

Firma zum Thema

IT-Sicherheitsexperte Werner Thalmeier, Director Security Solutions für Europa, den Nahen Osten, Afrika und Lateinamerika bei Radware
IT-Sicherheitsexperte Werner Thalmeier, Director Security Solutions für Europa, den Nahen Osten, Afrika und Lateinamerika bei Radware
(Bild: Radware)

Am Ende hatte die prorussische Hackergruppe Berkut ihr Ziel erreicht. Nicht nur, dass die Webseiten von Bundeskanzlerin Merkel sowie des Bundestags zeitweise in die Knie gingen, als kürzlich der ukrainische Ministerpräsident Jazenjuk in Berlin zu Besuch war. Viel wichtiger dürfte den Hacktivisten gewesen sein, dass ihr Angriff Schlagzeilen bis nach Australien und in die USA machte.

Dass sie diese publizistische Welle lostreten konnten, war fast zwangsläufig. Schließlich fanden der Jazenjuk-Besuch und der Cyber-Angriff in einem politisch hoch aufgeladenen Umfeld statt.

Angriff auf Merkels Website war nichts Besonderes

Auf der anderen Seite gilt aber auch, dass außer ein wenig Imageschaden und zeitweise nicht erreichbaren Webseiten kaum etwas passiert ist. Die wirklich unangenehmen Fragen sind ganz andere: Die Attacke auf die Seiten von Merkel und des Bundestags war ein gewöhnlicher DDoS-(Distributed Denial of Service-)Überlastungsangriff, bei dem keine besonders ausgefeilten Techniken oder Werkzeuge eingesetzt wurden.

Wie kann es sein, dass Merkels Internetpräsenz trotz eines derart gewöhnlichen Angriffs für Stunden in die Knie ging? Und wie verhalten sich die Systeme der Bundesregierung erst, wenn sie sich einem wirklich gefährlichen Angriff gegenübersehen, der es auf Anwendungen und Daten eines Computernetzwerks abgesehen hat? Etwa in Form eines „Tarnkappen“-Angriffs, bei dem die Infiltration schleichend und unbemerkt stattfindet. Oder bei Attacken auf mehreren Ebenen, die sich über Tage oder Wochen hinziehen?

Jahresbericht zur IT-Sicherheit

Solche Szenarien sind keine Zukunftsmusik, sondern bereits Alltag. Dies dokumentierte zum Beispiel gerade Radwares neuer Jahresbericht zur IT-Sicherheit 2014/15. Der Bericht kommt außerdem zu dem Schluss, dass Regierungen, Verwaltungen und andere öffentliche Einrichtungen wie schon in den Vorjahren zu den gefährdetsten Branchen überhaupt gehören – neben Banken, Online-Games und Internet-Serviceanbietern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstreicht diesen Befund. Es zählte von Anfang bis Herbst vergangenen Jahres alleine in Deutschland über 32.000 DDoS-Angriffe. Außerdem fördern BSI-Studien immer wieder zutage, dass politische Ziele die häufigste Motivation für derartige Angriffe darstellen. Dies rückt öffentliche Institutionen automatisch ins Zentrum der Gefahrenlage.

Viele Angriffe bleiben unbemerkt

Zwei Fragen sind insbesondere bei DDoS-Angriffen entscheidend: Wie schnell kann die unter Beschuss befindliche Organisation die Attacke entdecken und entsprechende Abwehrmaßnahmen einleiten? Und wie lange kann sie einem Dauerfeuer standhalten?

Schon die Entdeckung ist in vielen Fällen nicht leicht, weil Angreifer immer weniger mit brachialer Gewalt durch die bekannten Eingangstüren stürmen. Und selbst wenn sie das tun, kann dies ein reines Ablenkungsmanöver sein. Immer häufiger dienen breitbandige Angriffe dazu, den eigentlichen Einbruch zu vertuschen, der dann unter Umständen über Wochen, Monate oder sogar Jahre unbemerkt bleibt.

Im Fall solcher „Advanced Persistent Threats“ (APTs) wiegen sich die betroffenen Behörden in der Überzeugung, einen DDoS-Angriff abgewehrt zu haben, während die Angreifer sich auf internen Systemen unerkannt einnisten und freien Zugang zu vertraulichen Dokumenten oder Daten haben.

So gab es Ende 2014 einen entsprechenden Angriff, wieder im Umfeld der Bundeskanzlerin. Bei ihm nistete sich der Trojaner „Regin“ auf einem Rechner des Bundeskanzleramtes ein. Regin gilt als fortschrittlicher Trojaner, aktiviert sich in mehreren Stufen und ist dabei besonders darauf bedacht, nicht entdeckt zu werden. Der Trojaner überwacht den Datenverkehr der befallenen Rechner, greift Daten ab und soll auch in der Lage sein, Rechner über lange Zeiträume hinweg auszuspähen.

Insellösungen

Die heutigen mehrdimensionalen Angriffe können von den üblichen Sicherheitswerkzeugen wie IPS (Intrusion Prevention System), Firewall oder DDoS-Abwehrlösungen, die auf der Messung des Datenvolumens basieren, nicht entdeckt werden. Hinzu kommt, dass diese Abwehrwerkzeuge heute zumeist noch Insellösungen sind. Sie werden mit einzelnen Angriffsarten fertig, nicht jedoch mit den Attacken, die sich mehrerer Methoden auf verschiedenen Ebenen gleichzeitig bedienen.

Hacker-Angriffe auf Behörden und Ministerien
Bildergalerie mit 141 Bildern

Werkzeugseitig sollte deshalb sichergestellt sein: Sind die Tools in der Lage, auch mehrdimensionale Angriffe zu entdecken? Und sind die einzelnen Lösungsbausteine so miteinander verzahnt, dass alle relevanten Netzwerkbereiche – eigenes Rechenzentrum, Umgebungssysteme und Cloud – abgedeckt sind und in Echtzeit miteinander kommunizieren? Nicht zuletzt: Sind die eigenen Abwehrteams ausreichend besetzt und immer auf dem neuesten Stand, um auch mit neuen Gefahren und Angriffsmethoden klarzukommen? Oder rechnet sich die dauerhafte Kooperation mit einem externen Notfallteam, das rund um die Uhr nichts anderes macht, als Angriffe aufzuspüren und zu bekämpfen?

Die Beantwortung solcher Fragen ist gerade deshalb wichtig, weil Behörden und Unternehmen den Angreifern in vielen Punkten immer mehr hinterherhinken. Ein Beispiel: Der aktuelle Sicherheits-Lagebericht von Radware stellt fest, dass die Dauer von Cyber-Attacken im vergangenen Jahr signifikant gestiegen ist. 32 Prozent der befragten Organisationen gaben an, dass sie mindestens einem Angriff ausgesetzt waren, der sich über eine Woche oder länger hinzog. Zugleich gab die Hälfte zu Protokoll, dass sie einem Angriff maximal einen Tag lang oder sogar noch kürzer standhalten können.

Wer trägt die Verantwortung?

Die Fähigkeit, auch gegen komplexe und lang andauernde Angriffe gewappnet zu sein, setzt natürlich nicht nur aktuelle Abwehrlösungen voraus. Zunächst einmal müssen entsprechende Sicherheitsziele und -richtlinien existieren und auch fortlaufend aktualisiert werden. War dies beim Berkut-Angriff auf die Merkel- und Bundestagsseiten zum Beispiel der Fall?

Oder gab der Bund mit Erstellen und Betreiben der Website an eine Web-Agentur auch die Verantwortung für die Sicherheit an dieses Unternehmen ab? Ein nicht unerheblicher Punkt, zumal das Web-Hosting des vergleichsweise kleinen Dienstleisters zwar BSI-zertifiziert, aber nicht das Hauptgeschäft der Agentur ist.

Behörden und andere öffentliche Institutionen sind gut beraten, sich solchen Fragen zu stellen – vor allem bei IT-Systemen, die nicht nur der Außendarstellung politischer Organe dienen. Denn schon der nächste Angriff könnte mehr Schaden anrichten als nur eine kollabierte Website, die für ein paar Stunden nicht erreichbar ist.

Wenn vertrauliche Bürgerdaten verschwinden oder kritische Anwendungen etwa bei Finanzämtern nicht mehr funktionieren, wird es beim Imageschaden nicht bleiben. Vielmehr droht dann der Ruf nach politischen Konsequenzen. Vom möglichen Schaden für die Bürger ganz zu schweigen.

Weitere Informationen:

BSI-Infoseite zu DDoS-Angriffen

Aktueller Radware-Lagebericht zur IT-Sicherheit 2014/15

(ID:43185514)