Angriff auf Regierungsnetz: Hacker nutzten offenbar Lücke in MS Outlook

Beim Hacker-Angriff auf das Regierungsnetz der Bundesregierung sollen die Angreifer eine Lücke in Outlook ausgenutzt haben. Das meldet die Süddeutsche Zeitung (SZ) unter Berufung auf einen namentlich nicht genannten Sicherheitsforscher, der mit dem Fall vertraut ist.

Den Umweg über Outlook nutzten die Angreifer demnach, um mit Rechnern zu kommunizieren, auf denen die Schadsoftware bereits eingeschleust war. Die verschlüsselten Befehle wurden mittels einer Datei im Mail-Anhang verschickt. Einfach einen direkten Kontakt mit der Schadsoftware konnten die Hacker demnach nicht herstellen, weil entsprechende Verbindungen im Netz des Auswärtigen Amtes blockiert werden. Die Sicherheitsforscher beschreiben das Vorgehen in dem SZ-Bericht daher als ausgeklügelt und „elegant, weil es unauffällig ist“.

Infiziert wurden die Rechner derweil über eine E-Learning-Plattform, die Mitarbeiter des Auswärtigen Amtes nutzen können, um Fortbildungskurse zu buchen. Konkret handele es sich um eine Plattform der Bundesakademie für öffentliche Verwaltung, die manipuliert wurde, berichtete die Frankfurter Allgemeine Sonntagszeitung (FAS) am Wochenende.

Gezielter Angriff als Teil einer internationalen Spionage-Operation

Laut den Informationen der Zeitung soll es sich bei dem Angriff auch um einen gezielten Versuch gehandelt haben, um Dokumente aus dem Auswärtigen Amt zu entwenden. Insgesamt waren demnach rund 17 Rechner in der Behörde infiziert. Laut SZ-Informationen war der Angriff zugleich aber noch Teil einer internationalen Spionage-Operation, betroffen sein sollen auch Regierungen anderer Länder. Und die Hinweise auf den Angriff hatte die Bundesregierung auch erst im Dezember von einem ausländischen Geheimdienst erhalten.

Verantwortlich für den Angriff soll nun die Snake-Gruppe sein, die auch unter dem Namen Turla bekannt ist. Laut dem SZ-Bericht war es ein komplexer und in dieser Form ungewöhnlicher Angriff. Die Hacker-Gruppe selbst soll der russischen Regierung nahe stehen, Beweise für die Aussagen wurden aber nicht vorgelegt. Das ist in der Regel auch nicht möglich, die Attribution von Hacker-Angriffen erfolgt in der Regel über die Indizien, die sich aber auch manipulieren lassen, um digitale Forensiker auf eine falsche Spur zu führen.

Das Bundesinnenministerium selbst hält sich bei der Frage nach den Hintermännern noch bedeckt. Der Kreml dementierte am Wochenende, in irgendeiner Form in die Angriffe auf das deutsche Regierungsnetz involviert zu sein.

Erneute Diskussion über Hack-back-Angriffe

Was politisch nun erneut diskutiert wird, sind die sogenannten Hackback-Angriffe – also ein Gegenschlag als Reaktion auf einen Hacker-Angriff. Das Ziel ist dabei, etwa die Server zu übernehmen, über die ein Angriff läuft. Oder Daten zu löschen, die Angreifer zuvor erbeutet haben. Das Konzept ist aber äußerst umstritten, sowohl rechtlich als auch technisch. Denn es ist eben nicht ohne Weiteres möglich, die Herkunft eines Angriffs präzise zu bestimmen. Und vor allem, wenn die entsprechenden Server im Ausland stehen, wird es auch juristisch problematisch.

Dennoch kokettiert die Bundesregierung seit längerem mit den Plänen. Angesichts der jüngsten Angriffe erklärte nun der SPD-Innenpolitiker Burkhard Lischka in der FAS: „Wenn Daten abfließen, dürfen wir sie dann auf dem angreifenden Server löschen? Darf im Notfall sogar der fremde Server zerstört werden? Dafür brauchen wir eine klare gesetzliche Grundlage.“ Im Koalitionsvertrag für die neue Große Koalition wurde das Thema allerdings ausgespart.