Deutsche Patriot Abwehrstellung gehackt

Viren und Trojaner sind nicht mehr nur ein Problem von PCs und Smartphones sondern mittlerweile ist technisches Gerät aller Art anfällig für Angriffe dieser Art. Diese Erfahrung musste auch die Bundeswehr machen. Die in der Türkei stationierten Flugabwehrsysteme des Typs Patriot hätten „unerklärliche“ Befehle ausgeführt. Das bedeutet wohl, dass man die Kontrolle über die Systeme zeitweilig verloren hatte. Das Kriegsgerät ist dabei an der Grenze zu Syrien auf türkischem Boden stationiert und soll die Türkei vor Raketenangriffen aus Syrien schützen.

Die Fachzeitschrift behörden-spiegel.de schreibt zu dem Angriffsszenario:

Eine mögliche Angriffsfläche für Attacken aus dem digitalen Raum bietet in diesem Zusammenhang die sogenannte „Sensor-Shooter-Interoperabilität“ (SSI). Dabei handelt es sich um den standardisierten Datenaustausch unter Echtzeitbedingungen zwischen Führungs- und Waffensystemen. Ein weiteres Einfallstor für Cyberangriffe sind die Chips der Waffensysteme, die schlussendlich für deren gesamte Steuerung verantwortlich sind. Diese kommen bereits seit Längerem aus den USA, ihre Rohlinge werden jedoch in Asien produziert. Dies ermöglicht militärisch relevante Einflussnahme.

Das deutsche Waffensystem mit möglicherweise manipulierter Hardware aus Fernost arbeiten, ist bedenklich genug. Bereits die NSA hatte mit manipulierten Festplatten und Bauteilen versucht, Zugriff auf geschützte Systeme zu bekommen, durchaus denkbar, dass dies auch von anderen Geheimdiensten so ausgenutzt wird. Dazu bedeuten die Möglichkeiten zur Fernsteuerung und zur Zusammenarbeit bzw. Abstimmung natürlich immer auch, dass Zugriff von extern möglich sein muss. Dabei dürften die Befehle zwar verschlüsselt übermittelt werden, mittlerweile sind Verschlüsselungen aber durchaus auch nicht mehr so unangreifbar wie man vor Jahren noch gedacht hatte. Vor allem menschliche Fehler (verlorene Laptops mit Keys) sind hier ein Problem.

Beim Patriot System handelt es sich in erster Linie um ein Defensiv-System, ein Hack hätte zwar schwerwiegende Folgen im Falle eines Angriffs, selbst angreifen ist damit aber kaum möglich. Nicht auszumalen, was passieren würden, wenn es erfolgreiche Hacks auf offensive Waffensysteme geben würde.

Das Bundesverteidigungsministerium dementiert den Vorfall allerdings und führt die unerklärlichen Aktionen der Raketenstationen nicht auf Hackerangriffe zurück.

Geheimprotokoll des Bundestages zum Cyberangriff veröffentlicht

Die Nachrichten rund um den schweren Angriff auf die Rechner des Bundestages reißen nicht ab und jeden Tag kommen neue Meldungen dazu. Mittlerweile ist das erste – bisher geheime –  Protokoll der Sitzung mit der Information der Abgeordneten öffentlich und es wird es macht deutlich wie gravierend der Angriff war und dass auch einen Monat später noch keine Entwarnung gegeben werden kann. Das Protokoll kann hier nachgelesen und auch ausgedruckt werden.

Die ersten Unregelmäßigkeiten waren dabei bereits am 8. Mai aufgefallen, man hatte aber erst am 12. Mai diese als Angriff eingestuft – die Analyse dazu hätte dann erst ab 16.Mai begonnen.  Insgesamt ist ein Angriff auch keine wirkliche Besonderheit. Im Protokoll ist von 3.000 Angriffen die Rede wobei diese qualitativ sehr unterschiedlich wären. Von so hoher Qualität wie der aktuelle Angriff waren bisher nur 5 bis 10 Fälle.

Ein interessanter Punkt beim dem geheimen Protokoll sind die Aussagen zu den abgeflossenen Daten. Bundestagspräsident Lammert hatte davon gesprochen, dass in den letzten 14 Tagen keine Daten mehr abgeflossen sein. Im Protokoll wird aber bestätigt, dass es Anfang Mai aber zumindest noch Datenabflüsse gab und man in einem ersten Schritt nur die Kommunikation mit bekannten Schadcode Server unterbunden hätte. Welche Daten weitergeleitet wurden ist also noch absolut unklar und es sind in jedem Fall auch Daten aus dem Bundestag abgeflossen.

Die Übernahme des Netzes soll im Übrigen per APT Angriff gelaufen sein. Das BSI geht davon aus, dass es bis zu 70 Tage gedauert hätte bis das Netz komplett übernommen wurde. Das deutet auf professionelle Täter mit „tiefgreifenden Kenntnissen der Software-Systeme“ hin. Auf Seiten des Bundestages hat man sich mit dem Bundeamt für Sicherheit (BSI) kurzgeschlossen um den Angriff zu analysieren und Gegenmaßnahmen zu ergreifen. Allerdings gibt es beim BSI nur etwa 15 Fachleute in diesem Bereich die zur Verfügung stünden. Zum 21.Mai war das Bundestagsnetz bereits so weit übernommen, dass sich die Angreifer sogar recht frei bewegen konnten, da selbst bei einer Entdeckung keine Gefahr mehr Bestand, aus dem Netz geworfen zu werden. Das heißt nichts anderes als dass die IT des Bundestages nicht mehr in der Hand der Behörden war (und wohl ist).

Das Protokoll zeigt damit sehr deutlich den Umfang der Attacke auf die Infrastruktur des Bundestages und auch die Schwierigkeiten, diesem Angriff zu begegnen.