Hacker tippt auf Tastatur
Ob so wohl echte Hacker aussehen? / picture alliance

Hacker im Regierungsnetzwerk - Wie man Angriffe „isoliert“ und „beobachtet“

Nach dem Hacking-Angriff auf das Netzwerk der Bundesregierung bleiben viele Fragen unbeantwortet. Im Interview erklärt der Heidelberger Informatiker Vincent Heuveline, wie versucht wird, den Schaden von Hackern einzudämmen

Autoreninfo

Yves Bellinghausen ist freier Journalist, lebt und arbeitet in Berlin und schreibt für den Cicero.

So erreichen Sie Yves Bellinghausen:

Seit am Mittwoch bekannte wurde, dass Hackern ein Angriff auf deutsche Regierungsnetzwerke gelungen ist, wird spekuliert, wer hinter dem Angriff steckt. Angeblich soll die Hackergruppe „Snake“ hinter dem Angriff stecken, die mit der russischen Regierung assoziiert wird - mit Sicherheit lässt sich aber bislang nichts sagen. Im Interview erklärt der Heidelberger Informatik-Professor Vincent Heuveline, wie die Behörden den Angreifern auf die Spur gekommen sein könnten.

Wie viel Schaden können Hacker anrichten, wenn sie in ein System eindringen?
Viel. Am häufigsten wollen Hacker Daten stehlen – vor allem, wenn Geheimdienste dahinterstehen. Denn bedenken Sie: Daten sind nichts anderes als Wissen und das wiederum ist Macht. Ein zweites typisches Ziel ist das Kompromittieren von Daten. Davon sprechen wir in der Informationstechnologie, wenn ein Angreifer die Daten seines Opfer verändern will. Wenn Regierungsstellen angegriffen werden, dann können sensible Berichte einfach umgeschrieben werden. Das kann großen Schaden anrichten. 

Und trotzdem haben die Behörden nicht sofort versucht, den Angriff zu stoppen, und die Öffentlichkeit informiert. War das fahrlässig?
Die Behörden wollten den Angriff attribuieren. Das bedeutet: Sie wollten ihn beobachten und herausfinden, wer hinter dem Angriff steckt.

Wie kann man sich diese Beobachtung vorstellen – es läuft doch keiner mit Skimaske in ein Rechenzentrum.
Sie können den Angreifer tatsächlich in Echtzeit dabei beobachten, wie er versucht, in ein System einzudringen. Zwar ist das nicht so plastisch, wie einen Menschen zu beobachten, der in ein Gebäude einbricht, aber man kann ihn indirekt beobachten und zwar anhand der Spuren, die er hinterlässt.

Welche Spuren sind das?
Zum Beispiel können Sie sehen, welche Rechner und Server auf Ihr Netzwerk zugreifen. Wenn jetzt die Zahl der Zugriffe plötzlich ungewöhnlich hoch ist, dann können Sie sehen, das da was vorsichgeht. Oder wenn die Zugriffe von dubiosen Rechnern aus gestartet werden. 

heuveline
Vincent Heuveline ist
Professor für Informatik in
Heidelberg

Oder, dass die Angriffe von Russland aus gesteuert werden?
Nein, so plump gehen professionelle Angreifer in der Regel nicht vor. Meistens überfallen die Hacker zunächst andere Rechner und mit diesen Rechnern wiederum greifen sie dann ihre eigentlichen Opfer an. Das nennt man Kaskadierung. Aber so eine Kaskadierung hat natürlich auch ein gewisses Muster, das der Verteidiger erkennen kann. In der Regeln ist es sehr schwer, bei einem Kaskade-Angriff eindeutig auf den Urheber zu schließen. Aber es gibt immer Anhaltspunkte. Deshalb kann es unter Umständen klug sein, so einen Angriff zu beobachten, wenn man ihn unter Kontrolle hat.

Auch die deutschen Behörden haben gesagt, sie hätten den Angriff „isoliert“, also unter Kontrolle gehalten. Wie kann man sich das vorstellen?
Wie genau die Isolierung gelungen ist, darüber kann man nur spekulieren. Aber in der Regel wirft man einen Köder aus, einen sogenannten Honey Pot. Das ist ein Rechner oder ein Server, der Sicherheitslücken aufweist und die Angreifer sozusagen provozieren soll, diese auszunützen. Andere Rechner oder Server im System haben diese Sicherheitslücken dann nicht, sodass der Angriff eben isoliert auf den Honey Pots bleibt.

Im Internet kann man sehr viel verschleiern. Können die Angreifer nicht auch Scherzkekse aus Castrop-Rauxel gewesen sein.
Ja, im Prinzip schon. Solche Scherzkekse nennen wir Scriptkiddies, aber in diesem Fall lässt sich sagen, dass es sich um einen Angriff gehandelt hat, der nicht von Scriptkiddies ausgeübt wurde. Dafür war die Attacke zu komplex.

Immer mehr Hackerwerkzeuge kann man sich unkompliziert im Internet besorgen. Was macht Sie da so sicher, dass Profis hinter dem Angriff stecken?
Mit Sicherheit kann man natürlich nichts sagen. Aber die Angreifer hatten nicht einfach Knowhow aus dem Internet. Die mussten auch eine sehr große Rechenkapazität gehabt haben, um so einen Angriff zu fahren. Als Privatperson ist es nicht ganz einfach, so etwas unbemerkt zu organisieren. Aber Sie haben schon recht: Herauszufinden, wo ein Angriff herkommt, ist die schwerste Aufgabe in der Informationssicherheit. Wir nennen das die Attributionsproblem. 

Wieso hat es eigentlich immer den Anschein, dass Hacker aus Russland kommen? Machen andere Länder das etwa nicht?
Das ist eine politische Frage. Wobei ich mir sehr sicher bin, dass auch für deutsche Behörden das Hacken zum Grundrepertoire gehört. 

 

Lars Freudenberg | Di, 6. März 2018 - 10:46

Noch mal Warum,seit einer Woche entstehen Artigel in Zeitungen online wie Printe die auf reine Behauptungen und hören sagen.
Zum Beispiel: Die süddeutsche,Nach Informationen von NDR, WDR und SZ waren 17 Rechner in Deutschland betroffen
oder: der WDR, Bei dem Hackerangriff auf die Netzwerke der Bundesregierung sind nach Recherchen von WDR, NDR und "Süddeutscher Zeitung" insgesamt 17 Rechner infiziert worden.
Und zu guter -letzt: tagesschau.de, Der Angriff auf das deutsche Regierungsnetz war offenbar Teil einer weltweiten Hacker-Attacke, von der weitere Länder betroffen sind. Das haben NDR, WDR und "Süddeutsche Zeitung" erfahren.

Wen ich mir alles anschaue und anhöre . Könnten, eventuell, Möglicherweise, „ Experten“ (wehr den). Echt jetzt! Wieso legt man sich in so vielen belangen so fest wen man doch eigentlich nichts weiß! Keiner weiß was aber alle reden mit und am Ende weiß keiner wehr um was es eigentlich geht. Ach nein Stimmt nicht, Russland wahr es, eventuell?

Es ist deutsche Politik seit AM Bundeskanzlerin ist. Russland wurde von ihr zum Feindesland erklärt. Die Nordatlantiker, und dazu gehört der mediale Mainstream bläst in dasselbe Horn.

Nachdem unsere Kanzlerin "Neuland" sprach :Freunde abhören geht garnicht,
hat die NSA alle Angriffe auf Deutschland brav eingestellt.Oder die Kanzlerin hat ihr Handy freischalten lassen für die Amerikanischen Freunde:Unter dem Motto:bei mir gibt es eh nichts konkretes zu hören ...

etwas zu verbergen hat kann er es so einrichten, dass als Absender der Attacke ein Server auf den Fidschi-Inseln genannt wird, egal von wo aus er gestartet worden ist. Die hohe Rechnerkapazität lässt sich auch über ein Boot-Net herstellen. Die behauptete Urheberschaft der russischen Regierung muss man bis zum Vorliegen von Tatsachen, die das beweisen, dem Bereich des Russland- und Putin-Bashing zuordnen.

Lars Freudenberg | Di, 6. März 2018 - 11:33

Svea Eckert, NDR, mit Informationen zu dem Hackerangriff auf die Bundesregierung
Tagesschau 17:00 Uhr, 02.03.2018
https://www.tagesschau.de/inland/hacker-angriff-101.html
Video
Keine Quellen, nicht Handfestes, reine Mutmaßung. Wen ich bedenke das zu Beispiel die
Tagesschau dinge nicht bringt oder später weil man erst die quellen prüfen muss, Mann ist ja
schließlich Profi , wie erklärt man dann bitte so was!
Also warum über was Spekulieren, wo man nicht mal weis ob es überhaupt stattgefunden hat, den
aus den zugrunde liegenden Informationen ist theoretisch nicht mal das sicher.

Fritz Gessler | Di, 6. März 2018 - 11:58

... von der NSA abgehört oder 'geht das unter freunden gar nicht' oder doch schon wieder?
DAZU herrscht doch seit das damals (langlangher:) peinlicherweise ans tageslicht kam, ebenso peinliches schweigen :))
und die jüngste hackerei, bei der BND & zig sonstige dienste einfach 'zuguckten', wer das sein könnte (putin oder die chinesen oder der mossad:))?... vielleicht war's doch die NSA/CIA oder der britische M15 (jetzt bei brexit-verhandlungen immer gut zu wissen, wo deutsche GroKos ihre schwachstellen haben)? oder wirklich die russen: bei den aktuellen kriegsvorbereitungen der NATO gegen russland eigentlich verständlich, dass die wissen möchten, wieviel winterunterhosen und kampfbereite panzer die deutsche bundeswehrmacht wirklich hat :))

Marcel Arndt | Di, 6. März 2018 - 13:15

Mir leuchtet nicht ein, weshalb angeblich "die Russen" das sein sollen, wo doch Buntistans Eliten den Ausverkauf des Staates schon in eigener Regie betreiben. Es gibt hier also nicht wirklich was zu holen. Lohnt sich nicht, wenn Russland Kapazitäten dafür verschwendet...

Guido Schilling | Di, 6. März 2018 - 19:54

Interessant ist doch, dass ausländische "befreundete" Dienste die deutschen Schlafmützen im Amt auf den Hackerangriff aufmerksam machten. (Sind die Experten aus der DDR alle schon pensioniert??)

Bernd Wollmann | Di, 6. März 2018 - 20:47

Aus welchem Grund sollte z.B. der KGB Regierungsstellen ausspionieren? Von der Leyen hat es fertig gebracht, daß die Bundeswehr nur noch zu ca. 30% einsatzfähig ist. Mutti hat Deutschland durch ihre verheerende Migrationspolitik in Europa isoliert und wird bei uns ein totales Chaos hinterlassen. Putin braucht für diese Erkenntnisse keinen Hackerangriff.

Ihr Kommentar zu diesem Artikel

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt.

Liebe Leserinnen und Leser,
wir freuen uns über jeden Kommentar und wünschen uns eine konstruktive Debatte. Beleidigende, unsachliche oder obszöne Beiträge werden deshalb gelöscht. Ebenfalls gelöscht werden ad-hominem-Kommentare, die lediglich zum Ziel haben, andere Foristen zu diskreditieren. Auch anonyme Kommentare werden bei uns nicht veröffentlicht. Wir bitten deshalb um Angabe des vollen Namens. Darüber hinaus behalten wir uns eine Auswahl der Kommentare auf unserer Seite vor. Generell gilt: Pro Artikel ist pro Nutzer ein Kommentar und eine Replik auf einen anderen Leserkommentar erlaubt. Kommentare, die Links zu zweifelhaften Webseiten enthalten, werden nicht veröffentlicht. Um die Freischaltung kümmert sich die Onlineredaktion von Montag bis Freitag von 9 bis 18 Uhr. Am Wochenende werden Forumsbeiträge nur eingeschränkt veröffentlicht. Nach zwei Tagen wird die Debatte geschlossen. Wir danken für Ihr Verständnis.