{"id":295766,"date":"2024-06-02T02:36:00","date_gmt":"2024-06-02T00:36:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295766"},"modified":"2024-06-03T09:33:09","modified_gmt":"2024-06-03T07:33:09","slug":"cyberangriff-auf-das-cdu-netzwerk","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/02\/cyberangriff-auf-das-cdu-netzwerk\/","title":{"rendered":"Cyberangriff auf das CDU-Netzwerk"},"content":{"rendered":"

\"SicherheitNoch ein kleiner Nachtrag von Samstag, den 1. Juni 2024. Die CDU hat es wohl Cyber-m\u00e4\u00dfig erwischt – die sind Opfer eines Cyberangriffs geworden. Die Fachleute der Partei, wie z.B. deren Generalsekret\u00e4r, stufen diesen Angriff sogar als \"schwerwiegend\" ein. Staatsschutz und das BSI sind auch schon involviert und im \"Konrad-Adenauer-Haus\" wurden die Server vorsorglich heruntergefahren.<\/p>\n

<\/p>\n

Ich hatte das mit der CDU und diesem Cyberangriff schon mitbekommen – aber auch aus der Leserschaft habe ich mehrere Hinweise bekommen (danke daf\u00fcr, aber offen gestanden, hatte ich Samstag weder Lust noch Zeit – Gartenarbeit ging \"dem Sack Reis, der in China umgefallen ist\" vor).<\/p>\n

Oh Gott, was ist denn passiert?<\/h2>\n

Nun, wenn man dem Bundesamt f\u00fcr Sicherheit in der Informationsverarbeitung (BSI) und seinen beiden Tweets<\/a> auf X Glauben schenken darf, gab es einen Angriff aus dem Internet auf das Netzwerk der CDU (ich gehe mal davon aus, dass das Computer-Netzwerk gemeint war und nicht irgend ein anderes Netzwerk). Die wackeren Strategen des BSI haben sich sogar durchgerungen, die Attributierung \"schwerwiegenden Cyberangriff\" zu verwenden. So ganz spontan habe ich mich gefragt, was ich nun unter einem \"leichten Cyberangriff\" so vorstellen muss? Jemand klopft mal an und hinterl\u00e4sst ein Grinsem\u00e4nnchen auf der Webseite?<\/p>\n

\"Cyberangriff<\/p>\n

Was wir auch noch erfahren: \"Unsere Sicherheitsbeh\u00f6rden @BSI_Bund und das Bundesamt f\u00fcr Verfassungsschutz sind intensiv damit befasst, den Angriff abzuwehren, aufzukl\u00e4ren und weiteren Schaden abzuwenden.\" Ok, ok, gut ist, dass das BSI involviert ist und auch unsere Verfassungssch\u00fctzer. Hilarious\u00a0 sagt der Amerikaner zu folgender Aussage des BSI:<\/p>\n

Das BfV wird zum aktuellen Angriff noch eine Warnung an alle Parteien des Deutschen Bundestages herausgeben. Unsere Sicherheitsbeh\u00f6rden haben alle Schutzma\u00dfnahmen gegen digitale und hybride Bedrohungen hochgefahren und kl\u00e4ren zu Gefahren auf.<\/p><\/blockquote>\n

Das \"hochgefahren\" klingt martialisch und erinnert mich spontan ein wenig an Raumschiff Enterprise, wenn die Schutzschilder hochgefahren wurden. Mit solchen Angriffen wurde \u00fcbrigens im Vorfeld der Europawahl gerechnet – und die SPD hat es sogar schon vor einem Jahr erwischt (siehe meinen Blog-Beitrag R\u00fcckblick: Cybervorf\u00e4lle der letzten Tage (6. Mai 2024)<\/a>). Man h\u00e4tte also gewarnt sein k\u00f6nnen. Aber wie wusste schon Gorbi \"Wer zu sp\u00e4t kommt, den bestraft das Leben\".<\/p>\n

Die Bundeswehr-Gener\u00e4le, die sich mit WhatsApp zum offenen WebEx-Chat verabreden, wurden auch von dem omin\u00f6sen Cyberangreifer heimgesucht. Der hat einfach mitgeh\u00f6rt und emp\u00f6renderweise sogar einen Mitschnitt angefertigt (siehe Sicherheitsmeldungen 1. M\u00e4rz-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr<\/a>). Wurde dann \u00fcber die russische Regierung lanciert.<\/p>\n

Letzteres, also das lancieren \u00fcber Dritte, macht man mittlerweile in Deutschland so, denn wir haben einen strengen Hackerparagraphen, \u00a7 202<\/a>c, mit dem nicht zu spa\u00dfen ist.<\/p>\n

Ach so, ich hatte vergessen, zu erw\u00e4hnen, dass die Einladungen der Bundeswehr lange \u00f6ffentlich waren (siehe WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr<\/a>). Hat man aber jetzt aber wohl ge\u00e4ndert.<\/p><\/blockquote>\n

Beim \"weiteren Schaden abzuwenden\" musste ich schmunzeln, weil mir gar unchristliche Gedanken durch den Kopf gingen. K\u00f6stlich fand ich auch die Antworten von X-Nutzern auf die BSI-Meldung, die was von Passwort 123 murmelten und fragten, ob eine spezielle Seite besucht worden sei.<\/p>\n

Nebelkerzen und Nullaussagen<\/h2>\n

Der von einem Leser verlinkten Meldung von rbb24.de<\/a> entnahm ich, dass die CDU als Vorsichtsma\u00dfnahme Teile ihrer IT-Infrastruktur vom Netz genommen und isoliert habe – finde ich klug.<\/p>\n

Das Lustige sind die Stilbl\u00fcten der journalistischen Kollegen vom RBB (und da diese Textaussagen fast w\u00f6rtlich durch alle Medien gestern, tippe ich auf eine Pressemitteilung, verteilt \u00fcber dpa), die sich in Regierungskreisen informierten und erfahren haben, dass Bundesinnenministerin Nancy Faeser bereits mit CDU-Chef Friedrich Merz dar\u00fcber gesprochen habe. Halte ich f\u00fcr selbstverst\u00e4ndlich, dass die Ministerin des BMI den Vorsitzenden einer Partei anruft, die einem Cyberangriff zum Opfer gefallen ist. Ob man das den Medien kommunizieren muss? Wenn der Sack Reis, der umgefallen ist, wichtig erscheint, ja. Ich w\u00fcrde eher als Antwort Nein bevorzugen und das Ganze als politische Nebelkerze f\u00fcr die Presse verorten.<\/p>\n

Und Generalsekret\u00e4r Carsten Linnemann wird vom RBB zitiert, dass dieser den Angriff als eklatant eingestuft habe. Mir fiel nat\u00fcrlich die \"kriminelle Energie\" ein, die Herr Linnemann bei der dilettantisch umgesetzten CDU-Umfrage zum Verbrenner-Aus konstatierte (siehe diesen Golem-Beitrag)<\/a>. Halte ich ebenfalls f\u00fcr eine Nebelkerze, da nicht mal klar gesagt wird, was genau passiert ist.<\/p>\n

Als Binsen empfand ich die folgenden Information \"Das Bundesinnenministerium wolle f\u00fcr alle Parteien des Deutschen Bundestages eine Warnung herausgeben\". Die Sicherheitsbeh\u00f6rden h\u00e4tten \"alle Schutzma\u00dfnahmen gegen digitale und hybride Bedrohungen hochgefahren und kl\u00e4ren zu Gefahren auf\", hie\u00df es von einem Sprecher des Ministeriums. \"Wir sehen erneut, wie notwendig dies gerade vor Wahlen ist\", wird ein BMI-Sprecher zitiert.<\/p>\n

Sind die im Innenministerium wirklich solche Blindfische, dass die so was herausgeben? Die Warnung vor Cyberangriffen im Vorfeld der Europawahlen wurden doch vor Wochen ausgiebig in der Presse thematisiert. Und seit 2022 ist klar, dass Deutschland auf Grund des Ukraine-Konflikts ein Ziel von Cyberangriffen ist.<\/p>\n

Und wo wir gerade beim Thema \"und kl\u00e4ren zu Gefahren auf\" sind: Ich habe in allen Presseberichten keine einzige Aufkl\u00e4rung finden k\u00f6nnen. Kann ja sein, dass man nur die Spitzen der Parteien aufkl\u00e4rt, und die Bev\u00f6lkerung dumm h\u00e4lt. Oder es kommt noch was. So richtig schlau wird man aus dem Geschwurbel nicht.<\/p>\n

Wer den Schaden hat …<\/h2>\n

Wer in obigem Text Ironie zu erkennt glaubt, darf diese behalten. Nat\u00fcrlich ist es doof, wenn es einen Cyberangriff auf die CDU gegeben hat – passiert im \u00dcbrigen t\u00e4glich bei Firmen und Organisationen. Warum dann so ein Aufriss in der Presse gemacht wird, bleibt irgendwie schleierhaft.<\/p>\n

Dass der Staatsschutz bei einem Cyberangriff auf eine politische Partei aktiv wird, halte ich f\u00fcr eine Selbstverst\u00e4ndlichkeit – alles andere w\u00e4re fahrl\u00e4ssig. F\u00fcr mich ist da kein gro\u00dfer Nachrichtenwert im Sinne \"was ist passiert\" erkennbar.<\/p>\n

Was passiert sein k\u00f6nnte …<\/h2>\n

Au\u00dfer Binsen wurde von BSI und BMI nichts konkretes verlauten lassen. Haben die Angreifer eine Ransomware installiert, oder wurden Office-E-Mail-Postf\u00e4cher gehackt, oder gab es einen Angreifer, der durch das CDU-Netzwerk spaziert ist? Scheint Staatsgeheimnis zu sein, oder wird aus ermittlungstaktischen Gr\u00fcnden nicht verraten.<\/p>\n

Wenn ich mit Wahrscheinlichkeiten arbeite, l\u00e4sst sich folgendes konstatieren: Ein Ransomware-Angriff w\u00e4re vermutlich ein Kollateralschaden, aber kein gezielter Angriff. Ich gehe von einem Angriff auf E-Mail-Konten der CDU aus, was schon eher R\u00fcckschl\u00fcsse auf einen Angreifer zul\u00e4sst.<\/p>\n

Beim Cyberangriff auf E-Mail-Konten der SPD vor einem Jahr war es mutma\u00dflich eine Schwachstelle in Outlook, die f\u00fcr eine Kompromittierung ausgenutzt wurde. Wenn sich das bei der CDU best\u00e4tigt, hatte das m\u00f6glicherweise eine \"Vorgeschichte\", die ich nachfolgend skizziere.<\/p>\n

CDU: Bei Sicherheitsforschern \"verbrannt\"<\/h2>\n

So abseits der medialen Aufmerksamkeit: Die CDU ist in Kreisen von Cyber-Security-Spezialisten schlicht verbrannt, seit die Partei eine Anzeige gegen Lilith Widmann gestellt hat, als diese eine Schwachstelle in der CDU-App fand, an die Partei meldete und den Fall dann offen legte (siehe CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein<\/a>). Schwachstellen wird aus diesen Kreisen keiner mehr an die CDU melden. Der CCC hat dies 2021 in diesem Beitrag<\/a> kundgetan und viele Sicherheitsspezialisten folgen diesem Schritt.<\/p>\n

Dazu tr\u00e4gt neben dem Wittmann-Fall auch der sogenannte Hackerparagraph \u00a7 202<\/a>c bei, seinerzeit auf CDU-Gehei\u00df zusammen mit der SPD eingef\u00fchrt wurde. So ein paar Hintergr\u00fcnde finden sich in diesem Urteil<\/a> des Bundesverfassungsgerichts \u00fcber eine abgewiesene Verfassungsbeschwerde gegen \u00a7 202c.<\/p>\n

Die Wirtschaftswoche bringt es im\u00a0 Artikel Connect-App: Dank der CDU haben Hacker leichtes Spiel<\/a> herrlich auf den Punkt. Ins Schwarze getroffen haben auch die folgenden S\u00e4tze aus dem Beitrag:<\/p>\n

Der Schaden aber bleibt. F\u00fcr die CDU ist es vor allem ein Imageproblem, das die ohnehin nicht als \u00fcberaus technologiekompetent beleumundete Partei weiter ins digitale Abseits man\u00f6vriert.<\/p><\/blockquote>\n

Die ranzige\u00a0CDU-IT<\/h2>\n

Bei mir blieb bei der Medienberichterstellung schnell der Eindruck h\u00e4ngen, dass da viele Nebelkerzen geworfen und Buzzwords aneinander gereiht wurden. Aber wo Rauch ist ist auch Feuer.<\/p>\n

Bei obigem Cyberangriff ging mir nat\u00fcrlich sofort mein Artikel Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Gr\u00fcnen<\/a> durch den Hinterkopf. Und damit kommen wir zu etwas, was ich als \"ranzige IT-Infrastruktur\" bezeichne.<\/p>\n

Der verlinkte Artikel befasst sich damit, dass die CDU noch vor kurzem einen total veralteten NextCloud-Server betrieb. Dort fanden sich erhebliche Sicherheitsl\u00fccken, weil der Server ewig nicht mehr aktualisiert worden war. Nachdem Leser mich darauf hingewiesen hatte, schickte ich der CDU-Presseabteilung einen Hinweis mit Link auf den obigen Beitrag. Wenige Stunden sp\u00e4ter war die NextCloud-Instanz vom Netz und ist nun in aktualisierter Form zur\u00fcck (siehe CDU erneut gerettet \u2013 deren NextCloud-Server ist wieder online und gepatcht<\/a>). Eine R\u00fcckmeldung der CDU-Pressestelle habe ich bis heute nicht.<\/p>\n

Erg\u00e4nzung:<\/strong> Es gab zum oben verlinkten Beitrag noch einen Hinweis<\/a> von Tomas Jakobs, dass die CDU einen OWA-Zugang f\u00fcr den Exchange 2010 betreibt. Hatte ich (wegen der fehlenden R\u00fcckmeldung der CDU-Pressestelle) nicht mehr thematisiert, lernen durch Schmerzen. Zudem ergab ein Tage sp\u00e4ter durchgef\u00fchrter Qualys SSlabs Scan keine wirklichen Auff\u00e4lligkeiten (zumindest auf den ersten Blick).<\/p>\n

Fand das Thema dann nicht mehr so spannend, vor allem gab es wichtigeres. Und die OWA-Instanz ist inzwischen nicht mehr per Internet erreichbar. Fakt aus dieser Entdeckung ist:<\/p>\n