Hadmut Danisch

Ansichten eines Informatikers

IT-Angriff auf den Bundestag?

Hadmut
16.5.2015 10:21

Nur so ein Gedanke.

Seit einigen Tagen wird über einen besonders intensiven IT-Angriff auf den Bundestag berichtet, der viel wirkungsvoller als die sonst angeblich ca. 20 Angriffe pro Tag sein soll. (Dummerweise gibt es keine verbindliche Definition davon, was ein „Angriff” ist, ob da schon ein Portscan oder sowas darunter fällt.) Ich greif mal so – pars pro toto – WDR und Golem heraus.

Im Gegensatz zu manchen Presseartikeln maße ich mir (derzeit) keinerlei Urteil oder irgendwelche Belehrungen an. Mancherorten heißt es zwar, da gäbe es Versäumnisse, Unterpersonalisierung und so weiter, aber sowas behauptet sich immer gerne, vor allem, wenn man nichts weiß.

Solange man keine Informationen über Netzaufbau, Sicherheitsmaßnahmen, den Angriff selbst und den Angriffserfolg hat, kann man dazu eigentlich gar nichts sagen. Es wäre völlig vermessen, da irgendwem Fehler oder Versäumnisse vorzuwerfen. Da herrscht in der Öffentlichkeit immer noch das (auch von den Medien und Hollywood geprägte) Bild des IT-Nerds, der nochmal schlauer als der Angreifer ist und jeden Angriff abwehrt wie ein Tennisspieler. Deshalb sagt die Berichterstattung einfach mehr über die Medien als über den Angriff oder die Verteidiger. Allerdings muss man anerkennen, dass sie den Angriff erkannt haben, und das ist schon mal gar nicht so einfach. Wer vom Fach ist, weiß, dass dazu schon einiges an Können und Wissen erforderlich ist, zumal wenn es um Angreifer vom Schlage eines Geheimdienstes geht. Insofern konnte ich der Presse bisher gar nichts entnehmen, was man dem Bundestag und seiner IT-Abteilung direkt anlasten könnte. Gelegentlich klang aber an, dass es da wohl nicht sehr aufgeräumt zugeht und es auch keine so wirklich gehobenen Sicherheitskonzepte gäbe, aber auch das sei eher der Undiszipliniertheit von Abgeordneten als dem Bundestag selbst anzulasten.

Was mich eher umtreibt, ist die Frage:

Ist das überhaupt ein Angriff?

Oder ist es eine Warnung. So wie ne tote Katze vor der Haustür.

Denn seltsam finde ich schon, dass die Angriffe – angeblich – weitergehen, obwohl in der gesamten Presse und im Fernsehen darüber berichtet wurde. Für einen ernsthaften Angreifer – und ein solcher wird hier ja unterstellt, zumal der schon außergewöhnlich angegriffen habe – ist es eigentlich unsinnig, nach Entdeckung weiter anzugreifen, weil man damit eher die Gefahr schürt, enttarnt zu werden, als etwas zu erreichen.

Das ist der Punkt der für mich an der Story nicht rund ist: Dass die Angriffe angeblich voll weiterlaufen.

Gerade so, als ob die Entdeckung den Angreifer nicht nur nicht stört, sondern geradezu gewollt ist. Als ob es um eine Demonstration ginge.

Will da vielleicht jemand einfach mal so zeigen, mit wem man sich besser gerade nicht anlegen sollte?

19 Kommentare (RSS-Feed)

Emil
16.5.2015 10:53
Kommentarlink

> Für einen ernsthaften Angreifer – und ein solcher wird hier ja unterstellt,
> zumal der schon außergewöhnlich angegriffen habe – ist es eigentlich unsinnig,
> nach Entdeckung weiter anzugreifen …

Ich vermute mal wieder die übliche Begriffsverwirrung, das Wort “Angriff” ist halt ziemlich schwammig. Es wird nicht unterschieden zwischen DoS-Attacken, Website-Defacement und Einbrüchen zur Informationsbeschaffung, die ja ganz unterschiedlichen Zwecken dienen.


yasar
16.5.2015 12:02
Kommentarlink

Erinnert mich an die Gangtser in Kinofilmen die auf offener Straße rumballern, nach dem Motto: “Ist mir doch egal, wenn die Polizei das merkt. die kann mir eh nichts”.


michael
16.5.2015 12:59
Kommentarlink

Seit ich vor 15 Jahren mal Zonealarm installiert hatte, bin ich bei “zählbaren” Angriffen immer sehr skeptisch. Zonealarm hat sich immer gebrüstet, wieviele hundert Angriffe er doch immer abgewehrt hätte – und wenn man das Logfile mal genauer anschaute, hatte er lediglich heldenhaft irgendwelche verstreuten Pings nicht beantwortet.

Sobald jemand von “20 Angriffen” redet, redet er höchstwahrscheinlich Blödsinn – oder meint Pings. Ein tatsächlicher Angriff besteht heute stets aus mehreren Angriffsvektoren, mit mehreren Zielen und unzähligen Quellen (da ohnehin nur Relais) – und um da mehrere Angriffe (also mehrere Angreifer) zu unterscheiden, müßte man die Angreifer wohl erst gefasst haben und dann forensisch untersuchen, wer da wann welche Welle verursacht hat. Wenn man Angriffe tatsächlich quantifizieren möchte, kann man den Zeitraum angeben.

Oder man zählt abgewehrte Pings…


Hadmut
16.5.2015 13:09
Kommentarlink

@michael:

Ja. Zustimmung.

Abgewehrte „Angriffe” zu zählen ist ohnehin schwierig, weil es schwer ist etwas zu zählen, was nicht stattgefunden hat. So wie das Zählen von nicht-erfolgten Flugzeugabstürzen.

Erfolgreiche „Angriffe” zu zählen ist auch schwierig, denn wenn sie erfolgreich waren, wurden sie ja meist nicht bemerkt. Das ist so, wie perfekte Morde zu zählen.


Alt Kölner
16.5.2015 13:53
Kommentarlink

Ein ping zu zählen ist Blödsinn.

Auch der Portscan (egal ob stealth oder nicht) ist nach meiner Meinung kein Angriff, das sollte die Firewall abkönnen. Nur werden da gerne Firewall auf den Desktops nervös.

Was mir langsam auf dem Senkel geht, sind die ganzen Scriptkiddies. Da gibt es zuhauf Videoanleitungen wie ein bekanntes Tool benutzt wird. Früher suchte man sich mühsam die Doku zusammen, heute bekommt es jeder auf dem Silbertablett. Denken braucht man dabei nicht mehr.


Unerster
16.5.2015 16:27
Kommentarlink

Ich habe fail2ban auf meine Server installiert und manchmal sperren sie IP Adressen. Ob das nun wirklich ein Angriff ist weiß ich nicht weil man sich auch in der Eingabe einer IP Adresse vertippen kann.

Im Bundestag besteht der Abgriff aus missglückten Anmelden der Abgeordneten und ihrer Mitarbeiter.


Pjotr
16.5.2015 18:36
Kommentarlink

Wahrscheinlich wertet Geeesche Joost (oder wie hiess die da mit ihren Glitzerhandys?) jedes Ping als sexuelle Belästigung.


michael
16.5.2015 22:28
Kommentarlink

Wahrscheinlich hat da einer/eine wieder Kinderpornos geladen und dann noch die sex.exe gestartet. Warum die bei externem DDoS interne Netzwerklaufwerke abschalten leuchtet mir nicht ein. Klingt schon eher auch nach einem internen Angriff oder einem aktiven Trojaner der von Extern gesteuert wird. Es gibt schon die üblichen Angriffsmuster die sich mit Intrusion Detection als solche feststellen lassen.
Ich wette es kommt heraus, daß es der Putin war oder iranische Hacker.


Emil
16.5.2015 23:06
Kommentarlink

Neues von Heise:

Bei dem Cyber-Angriff gegen den Bundestag handelt es sich laut Petra pau um eine DoS-Attacke. Unklarheit herrscht weiter über Verursacher und Motivation.

Die Aussage, dass es sich um einen Überlastungsangriff, also eine DoS-Attacke handelt, wirft Zweifel an der Einbruchstheorie auf, da DoS-Angriffe eher selten für gezielte Einbrüche benutzt werden. Das Überlasten von Diensten hat meistens zum Ziel, den Betrieb zu stören und Sites lahmzulegen.

http://www.heise.de/newsticker/meldung/Cyber-Angriff-auf-den-Bundestag-bisher-keine-Informationen-abgeflossen-2651507.html

Sag ich doch, Begriffsverwirrung.


Hadmut
16.5.2015 23:20
Kommentarlink

Ach, jetzt ist es doch eine DoS-Attacke?

Diese Woche hieß es noch, das sei es gerade nicht, und man habe Malware in das Netzwerk einbringen können, die es auf Server abgesehen habe, weswegen man die runtergefahren hätte.


Emil
17.5.2015 9:45
Kommentarlink

Die “Vorsitzende der IT-Kommission” weiß schlicht und einfach nicht, wovon sie redet:

Gegenüber der “Mitteldeutschen Zeitung” gab Pau an, dass sie bislang keinen Angriff auf den NSA-Untersuchungsausschuss bestätigen könne. Es handele sich eher um einen Angriff, der eine Überlastung erzeugen sollte, um so in das Netz eindringen zu können. Die Angreifer seien dabei aber gescheitert, so Pau.

http://www.huffingtonpost.de/2015/05/16/cyber-angriff-bundestag-kriminell_n_7297038.html

Was für eine gequirlte Scheiße. Wenn ich den Zugang zu einem System so überlaste, dass es innerhalb angemessener Zeit nicht mehr antworten kann, komme ich selbst auch nicht mehr rein.


Hadmut
17.5.2015 13:38
Kommentarlink

> Wenn ich den Zugang zu einem System so überlaste, dass es innerhalb angemessener Zeit nicht mehr antworten kann, komme ich selbst auch nicht mehr rein.

Stimmt so auch nicht.

In der Frühzeit der Internet-Switche mit VPNs und so haben die immer dann, wenn die mit der CPU-List nicht nachkamen, auf Durchzug geschaltet. Die konnte man mit Zuballern dazu bringen, ihre Regeln nicht mehr zu befolgen.


magiccap
17.5.2015 22:29
Kommentarlink

Waere interessant zu erfahren, welcher Teil der Infrastruktur geDoSt wird. Das Ziel koennte ja durchaus sein, bestimmte sichere Dienste zu stoeren, um die Nutzer auf weniger sichere Dienste zu zwingen.


Widerstand
18.5.2015 10:02
Kommentarlink

http://pit-hinterdenkulissen.blogspot.de/2015/05/was-ist-bei-den-banken-los.html
1. Absturz German Wings 9525 24.3.2015
2. Stromausfall Holland 27.3.2015
3. Stromausfall Türkei 31.3.2015
4. Stromausfall Italien 1.4.2015
5. Stromausfall Washington 7.4.2015
6. Hackerangriff TV 5 Monde 8.4.2015
7. Totalausfall Bloomberg 17.4.2015
8. Totalausfall Agentur für Arbeit 20.4.2015
9. Enthüllung der Zusammenarbeit von BND und NSA 23.4.2015
10. Anleihencrash bei europäischen Staatsanleihen und besonders deutschen Bunds 2.5.2015
11. Massive Probleme und Ausfälle bei deutschen Banken im Kartenzahlungsbereich 8.5.2015

Der Cyberkrieg ist voll entbrannt, das ist klar zu erkennen und die Gegner scheinen andere zu sein, als man glaubt. Eventuell hatte Minsk II auch wirklich jemanden ziemlich verärgert.
Tatsache ist, dass wir seit März in eine erstaunliche Dynamik eingetreten sind, die ihresgleichen sucht, auch wenn der große Crash nach wie vor ausgeblieben ist. Der Economist hatte das in seinem Sonderheft zu 2015 auf dem Titelbild ja mehr oder weniger angekündigt.


jannndh
18.5.2015 19:33
Kommentarlink

bei Fefe les ich ja auch gern mit, und da liest man gar nichts zum Thema Angriffe auf die IT des Bundestages.

Liegt es daran das es entweder nur A: Zonalarm typische Angriffe sind?

Oder b: daran das Fefe einen nichtunbedeutenden Anteil an der Bundestag IT hat?


jannndh
18.5.2015 19:34
Kommentarlink

Andy
20.5.2015 1:41
Kommentarlink

Wenn b) tatsächlich wahr ist, dann müsste die Optionenliste noch um eine Variante erweitert werden…:

Man liest bei ihm nix davon weil er eine daumendicke Vertraulichkeitserklärung mit übler Strafandrohung unterzeichnet hat, die ihn selbst fürs Plaudern über die Farbe der Racks in den Knast bringen könnte…


Claus Thaler
20.5.2015 18:27
Kommentarlink

Jetzt war’s plötzlich doch ein mittels Trojaner erfolgter Spionage-Angriff:

Angriff auf Datennetz des Bundestags wohl heftiger als angenommen
http://www.heise.de/newsticker/meldung/Angriff-auf-Datennetz-des-Bundestags-wohl-heftiger-als-angenommen-2657344.html

Demnach seien offenbar zuerst Rechner einer Bundestagsfraktion mit einem Trojaner infiziert worden, später hätten sich die Angreifer problemlos im Netz des Parlaments bewegen können. Am Wochenende war noch von einer DoS-Attacke (Denial of Service) die Rede gewesen, was eher darauf hingedeutet hatte, dass Angreifer lediglich den Betrieb stören wollten.

Seinen Ausgang hat der Angriff dem Bericht zufolge auf Rechnern bei den Fraktionen der Grünen und Linken genommen. Später seien Angreifer an Administratoren-Passwörter gelangt und weiter vorgedrungen.


michael
21.5.2015 19:47
Kommentarlink

Schrieb ich doch doch am 16.5.

“Ich wette es kommt heraus, daß es der Putin war oder iranische Hacker.”

So einfach funktioniert Politik 🙂
Gut es war wohl ein maßgeschneiderter Trojaner – degegen hilft wenig. Per 0Day, in Java oder Flash, Windows, Android, xyz OS, Acrobat Reader ist so was dann halt gut aktiv.
Daß der linke Felix L. seine Genossen da nicht besser geschützt hat – früher wäre der ins Arbeitslager gekommen. Stellt man sich die Trottel im Bundestag vor – wundert einem nichts mehr. Da steht wie üblich Opportunismus vor jeder (was man in Verbindung mit dem Bundestag auch nie denken sollte:) Rationalität.
So als Unterhaltung ist Politik gar nicht so schlecht – man darf nur nie daran denken, daß Solche wirklich ein Land zu regieren versuchen.