In den letzten Monaten wurden drei IT-Dienstleister gehackt und es konnten große Mengen an persönlichen Daten wie E-Mails etc. abgegriffen werden. Das Problem: Diese Dienstleister haben einige Bundesbehörden als Kunden, so dass dort jetzt enorme Cyberrisiken drohen. Das Informationstechnikzentrum Bund (ITZ Bund) warnt, doch das Bundesinnenministerium (BMI) sowie das dem BMI untergeordnete BSI "beschwichtigen", wie der Bayrische Rundfunk (BR), dem die Warnung des ITZ Bund wohl zugespielt wurde, schreibt. Droht ein Cyber-Armageddon bei Bundesbehörden?
Anzeige
Die Hacks der IT-Dienstleister
Einige dieser Hacks hatte ich bereits zeitnah hier im Blog thematisiert, ohne dass mir die Kundenstruktur dieser Dienstleister im Detail bekannt war. Nun bin ich gestern über einen Tweet von Manuel Atug (alias HonkHase) auf diesen Bericht des Bayrischen Rundfunks (BR) aufmerksam geworden.
Der Sachverhalt ist in wenigen Sätzen zusammen gefasst: Das Informationstechnikzentrum Bund (ITZ Bund), welches für die IT der Bundesbehörden und -Ministerien zuständig ist, hat Ende April 2023 ein Rundschreiben an Bundesbehörden verfasst, in der vor Cyberrisiken nach Hacks von IT-Dienstleistern gewarnt wird. Gehackt wurden folgende Firmen:
- Im Januar 2023 wurde der Angriff auf das Dortmunder IT-Unternehmen Adesso SE bekannt – ich hatte im Blog-Beitrag Cyberangriff auf Adesso – Daten abgeflossen, Details unbekannt (Jan. 2023) zeitnah berichtet. Das Unternehmen wiegelte damals ab und informierte auch die Behörden unter den Kunden nicht, wie ich im Beitrag Dienstleister Adesso verschwieg Bundesbehörden und Kunden Risiko durch Hack berichtete. In beiden Beiträgen finden sich ergänzende Hinweise, u.a., dass Krankenkassen (ich denke an die elektronische Patientenakte, ePA) und Behörden zu den Kunden gehören. Zu den Kunden zählen nach Unternehmensangaben das Bundesinnenministerium, das Bundesverkehrsministerium und das nordrhein-westfälische Wirtschaftsministerium. Inzwischen geht Adesso davon aus, dass die unbekannten Hacker bereits im Mai 2022 Zugriff auf die Unternehmensnetze hatten.
- Im März 2023 wurde der Hack des Dortmunder IT-Dienstleisters Materna bekannt – ich hatte im Blog-Beitrag Cyberangriff auf IT-Berater Materna berichtet. Kunden sind der Zoll, das Robert-Koch-Institut und die Autobahn GmbH. Seinerzeit schrieb ich: "Da Materna für viele Kunden (auch in der Verwaltung) beratend tätig ist, könnte das noch einiges an Folgen haben."
- Den Ende April 2023 bekannt gewordenen Angriff auf das Berliner Unternehmen Init ist an mir vorbei gegangen. Gegenüber dem BR wurde der Angriff aber bestätigt und das Unternehmen will Kunden informiert haben. Die Ermittlungen laufen noch. Zu den Init-gehören unter anderem die Bundesministerien des Innern und das Bundesministerium für Wirtschaft.
Der BR zitiert aus dem Warnschreiben des ITZ Bund, dass es Hinweise gebe, dass Attacken auf die Kunden der drei gehackten Dienstleister möglicherweise bereits begonnen haben. Es gebe jedenfalls ein "hohes Risiko", dass Beschäftigte versehentlich vertrauliche Dokumente weitergeben oder aber ermöglichen, dass Angreifer Daten und Code in die Systeme des ITZ Bund einspeisen.
Ministerien wiegeln ab – Experten warnen
Der BR hat dann das Bundesinnenministerium unter Frau Faser angefragt, von dort aber nur eine abwiegelnde Antwort der Art "eine unmittelbare Bedrohung für die IT-Sicherheit der Bundesverwaltung bestehe derzeit nicht" erhalten. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI beurteilt das so, schreibt der BR. Das ist aber im Grunde kein Wunder, untersteht das BSI dem Bundesinnenministerium und die Querelen um dessen Präsidenten Arne Schönbohm dürften Blog-Lesern und -Leserinnen noch erinnerlich sein (siehe Ex BSI-Präsident Arne Schönbohm tritt neue Stelle an zum Einstieg).
Anzeige
Dem steht das Warnschreiben des ITZ Bund, in dem ein "hohes Risiko" für weitere Cyberrisiken gesehen wird, gegenüber. Bundesfinanzministerium, dem das ITZ Bund untersteht, bestätigte dem BR, dass die Nachforschungen noch laufen, man aber unmittelbar nach dem Bekanntwerden der Cyberangriffe im Januar in Absprache mit dem ITZ Bund verschiedene Sicherheitsmaßnahmen initiiert habe, um eine Verbreitung von eventuellem Schadcode einzudämmen.
Der BR zitiert Andreas Rohr, IT-Sicherheitsexperte und Geschäftsführer der Deutschen Cyber-Sicherheitsorganisation (DCSO), der dazu rät, die vom ITZ Bund versandte Warnung ernst zu nehmen. Das ist eigentlich der einzig vernünftige Ratschlag, den man den betroffenen Behörden geben kann. Denn den Verantwortlichen im Bundesinnenministerium (samt BSI, dem in meinen Augen ein Maulkorb verpasst wurde) dürfte nicht bekannt sein, wer hinter den Angriffen steckt noch welche Daten den Angreifern in die Finger gefallen sind. Rohr erwähnt, dass man" mit hoher Wahrscheinlichkeit einen nachrichtendienstlichen Hintergrund unterstellen könne". Eine koordinierte Aktion der drei oben erwähnten Hacks ist auch nicht unwahrscheinlich.
Hier fällt mir der Begriff "Schlaftablette" im Zusammenhang mit dem von Nancy Faser geführten Bundesinnenministerium ein. Der BR erwähnt in seinem Bericht einen DDOS-Angriff auf die ITZ Bund am 16. Februar 2023, der intern als "Major Incident" (größerer IT-Vorfall) eingestuft wurde. Auch Kunden des ITZ Bund litten unter solchen DDOS-Angriffen.
Bleibt zu hoffen, dass die "Schlaftablette" wirkt und wir in den nächsten Monaten nichts von größeren Cybervorfällen bei Bundesbehörden zu lesen bekommen. Obwohl mich jetzt so ganz spontan ein ketzerischer Gedanke beschleicht: "Stelle dir vor, das Bundesinnenministerium und die restlichen Ministerien/Behörden sind längst gehackt – aber keiner hat es gemerkt". Falls wer aus der Leserschaft da was mit bekommt, immer her damit.
Ähnliche Artikel:
Cyberangriff auf Adesso – Daten abgeflossen, Details unbekannt (Jan. 2023)
Dienstleister Adesso verschwieg Bundesbehörden und Kunden Risiko durch Hack
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
Cyberangriff auf IT-Berater Materna
Ex BSI-Präsident Arne Schönbohm tritt neue Stelle an
Anzeige
Dazu fällt mir ein Aphorismus von Sir Peter Ustinov ein:
Die letzte Stimme, die man hört, bevor die Welt explodiert, wird die Stimme eines Experten sein, der sagt: "Das ist technisch unmöglich!"
Soviel zum Datenschutz :) – viel Papier und kein bisschen mehr an Sicherheit
DSGVO/BDSG muss ebenso wie Arbeits- und Betriebssicherheit täglich gelebt werden, es reicht keine jährlich aufgefrischte Häkchen-Liste für die ach so dolle "Compliance". Aber das sind so Don Quijote-sche Windühlen, die ich mir abgewöhnt habe gegen anzugehen. Es braucht anscheinend immer erst deftigen Schaden, bevor Konsequenzen gezogen werden. manchmal allerdings fliegen nicht die Autoren dieser Hächen-Listen, sondern nur diejenigen welche sie abgehakt haben, obwohl der Fehler viel weiter oben gemacht wurde.
Es muss dazu auch das nötige Sachverständnis und v.a. wenigstens eine grundlegende Fähigkeit zu Folgeabschätzungen vorhanden sein, daran fehlt es auch in der IT Fachkräfte Welt immer mehr an allen Ecken und Enden.
Brauche ich keinen Experten für um zu wissen, dass das ein Thema wird.
Und bei den kommunalen Anbietern geht das Thema gleich weiter. Bspw. Dataport.
Alles eine Frage der Zeit bis die ebenfalls Zielscheibe werden.
Da bevorzuge ich lieber einen großen US Dienstleister, dort habe ich zumindest das Gefühlt, dass man sich mit dem Thema Cybersecurtiy ernsthaft auseinander setzt.
Tja da sag ich mal nur Solarwinds Hack da hat man doch ganz gut gesehen wie es um die Ernsthaftigkeit der Cybersecurity bei den IT Riesen der USA steht :) Das ist hüben wie drüben nicht wirklich anders.
Init und Adesso waren beides Confluence Zero Days (CVE-2022-26134)
Dann also schwere Konfigurationsfehler was erst mal beruhigt.
Software von aussen erreichbar für Dritte (auch per VPN) kann vermeiden bzw. durch konsequentes Segmentieren sicher einkapseln.
Was mich umtreibt sind immer die victim-blaming Nummern im Mailumfeld. Die guten Angriffe sind kaum erkennbar. Die Technik dahinter ist einfach komplett kaputt.
Gruß
Ich mache mir da erstmal keine große Sorgen. Ich habe bis vor ein paar Jahren auch für einen großen IT-Dienstleister gearbeitet, und ich war von dort aus auch bei einigen Bundesbehörden eingesetzt, aber auch bei Banken und Industrie, Onsite Operations an unterschiedlichen Produkten und Umgebungen und auch projektbezogen z.B. bei Migrationen verschiedenster Art. Zumindestens bei diesem Dienstleister wurde (und wird, meine aktuelle Firma ist dort zufälligerweise auch Kunde, aber darüber bin ich nicht dort hin gekommen, das spielte wahrscheinlich nur am Rande eine Rolle). Aber ich habe so Einblick in beide Seiten gewonnen, die IT-Verbindungen, über die man sich vom Dienstleister weiter in Kundennetze einhacken kann, sind da sehr stark reduziert, der Kunde hat da immer die Kontrolle darüber, in dem z.B. das Monitoring im SOC/NOC entweder über Citrix-Gateways oder vom Rest des Dienstleisters komplett (air-gap) separierte VPN-Netze realisiert wird. Auch wenn man beim Kunden vor Ort ist, ist der eigene Notebook in einem separaten Gäste-Netz und per VPN mit dem Dienstleister verbunden, direkte Verbindungen in die Kundenifrastruktur hinein gibt es nicht. Und genau so kommen auch meine ehemaligen Kollegen, die beim Dienstleister sind, bei uns rein, per Citrix-Anmeldung mit 2FA, die Zugänge sind entsprechend gehärtet.
Viel gefährlicher ist immer noch der Bereich Phishing per Mail und im Bereich Softwareentwicklung die Möglichkeiten von Supply-Chain-Attacken per extern nachgeladener Bibliotheken z.B. über NPN usw. Und da rollen sich mir auch die Fußnägel auf, wenn ich sehe was für Prüfsoftware in dahin gerotzten Python- oder Javascripten unsere Mitarbeiter teilweise von Bundesbehörden für bestimmte Projekte nutzen müssen, die dann solche externen Bibliotheken von irgendwo nachladen müssen…
"Zumindestens bei diesem Dienstleister wurde (und wird, meine aktuelle Firma ist dort zufälligerweise auch Kunde, aber darüber bin ich nicht dort hin gekommen, das spielte wahrscheinlich nur am Rande eine Rolle). "
Dieser Satz kein Verb. Aber schön zu hören, dass bei diesem Dienstleister wurde.
Pro-Tipp: Das ganze Office 365 besteht aus extern nachgeladenen Bibliotheken.
Da brauche ich nur bei mir ins Firmenpostfach zu sehen. Es kommen seit ca. 4 – 6 Wochen täglich Fake Emails, vornehmlich von "Banken" rein, wo dann irgendwelcher Crap drin steht.
Wer da nicht so ITaffin ist, der nimmt das für echt war und dann nimmt das Unglück seinen Lauf. Der ganze Murks ist eben so richtig auf die breite Masse der unwissenden Nutzer aufgebaut.
Grüße