Bundestag ist nicht allein: Hälfte der Behörden Opfer von Angriffen

Der massive Spionage-Angriff auf den Bundestag sorgte zuletzt zwar für die großen Schlagzeilen, doch sind Attacken auf staatliche Stellen keineswegs selten. Immerhin in knapp der Hälfte der deutschen Behörden waren Angreifer in den vergangenen zwei ... mehr... Hacker, Tastatur, Maus Bildquelle: Davide Restivo / Flickr Hacker, Tastatur, Maus Hacker, Tastatur, Maus Davide Restivo / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
In 99% der Fällen hilft die "beste" IT-Infrastruktur nichts, weil das Problem schlicht vor dem Bildschirm sitzt.

Erst vor 2 Wochen hat ein Kollege eine "Vodafone-Rechnung" bekommen (Warum sollte ER die bekommen bei einem Firmenhandy? Nachdenken?) und sich beklagt, dass die angehängte PDF Datei nicht aufgeht: invoice_23422.pdf.exe

Natürlich hat Outlook "hier" die Exe-File geblockt. Aber da sieht man einfach wie Gedankenlos die Leute auf sowas reinfallen. Es reicht ja ein entsprechender Angestellter unter 500 Mitarbeitern und das Firmennetzwerk ist infiltriert... Intern sind die Sicherheitsvorkehrungen dann meist sehr schmal. Das heißt auch ein infizierter Desktop-Rechner kommt an sensible Daten ran, man muss keinen Server im Netzwerk "kapern".
 
@dognose: in 26 Prozent der Fälle führte Social Engineering zum Erfolg. Also ist die 'organische Tastaturverlängerung' nicht das einzige Problem. Mit diesem Argument reden sich 'Experten' gerne ein, dass man sich vor allem schützen könne, wenn man nur das Wissen dazu hat. Sehr naiv, Kollege.
 
@Metropoli: Wenn ich dognoses Kommentar richtig verstehe hat er aber nicht gesagt, dass entsprechendes Wissen der Mitarbeiter vollständigen (oder auch nur sehr weitreichenden) Schutz böte. Sondern dass auch sehr gute technische Schutzmaßnahmen nicht unbedingt etwas gegen die von unwissenden Mitarbeitern ausgehenden Gefahren ausrichten könnten.

Seine Aussage lautet somit "Wenn die Mitarbeiter alle super geschult sind, dann ist eine Lücke verringert/geschlossen, die durch technische Maßnahmen schlecht abgedeckt werden kann".

Nicht wie von Dir offenbar interpretiert (vorausgesetzt ich lese Deinen Kommentar richtig) "Wenn die Mitarbeiter alle super geschult sind, dann ist das bereits ein Schutz vor allem".
 
@FenFire: So war das auch gemeint.

Okay, 99% sind natürlich "etwas" übertrieben, aber ich habe einfach schon die wildesten Dinge erlebt, wenn es um das Sicherheitsbewusstsein mancher Leute geht...

Angefangen bei Aufklebern mit Passwörter / Bitlocker key auf dem Notebook bis hin zur Email Weiterleitung zu gmx.de, weil der Exchange bewusst nur intern erreichbar ist und VPN via SmartPhone immer so lange dauert... "

Aber auch fernab von IT-Zeug denken die Leute nicht mit: Firmen-Aufkleber auf die ABSICHTLICH neutral weiße Schlüsselkarte, "weil man die sonst immer verwechselt" oder Fenster über Nacht offen lassen, "damit das mal ordentlich runter kühlt".

Teilweise machen die Leute Dinge - die würde man im Leben nie in einer Schulung ansprechen, weil eigentlich selbstverständlich...
 
Öhm...

"Es ist keineswegs so, dass die Behörden nach den gängigen Maßstäben nachlässig agieren. Technische Schutzmaßnahmen werden überall ergrifen und fast alle Ämter sind auch mit der organisatorischen IT-Sicherheit vertraut - das heißt, es gibt Verhaltensrichtlinien für Mitarbeiter und Notfallpläne."

Soll das ein verspäteter Aprilscherz sein, oder was? Alleine in Berliner Behörden laufen noch über 20.000 Rechner mit Windows XP:

http://www.heise.de/newsticker/meldung/Datenschuetzer-Dix-Behoerden-PCs-mit-Windows-XP-sofort-abschalten-2600693.html

Wie das bundesweit aussieht will ich gar nicht wissen, aber viel besser bestimmt nicht. Da kann man ja wohl kaum von technischen Schutzmaßnahmen sprechen, wenn das System offen wie ein Scheunentor ist!
 
@TmoWizard: Schlechtes Beispiel ist die Deutsche Rentenversicherung, die auch noch großflächig Windows XP einsetzt. Erschreckend wenn man bedenkt, was da für Daten liegen.
 
Klassischer Fall von PEBKAC... davon sind praktisch 100% aller existierenden IT-Systeme betroffen ;)

Wobei Social Enigeering wenig bringt, wenn bspw. die Passwortrichtlinien hart genug sind. Passwortlänge mind. 10 Zeichen, keine Wörter oder Teilwörter, mind. 2 Zahlen, die nicht aufeinander folgen und mind 2 Sonderzeichen, ebenfalls nicht aufeinander folgend, Mind 2 Buchstaben klein und 2 Buchstaben groß, wobei keine 3 Buchstaben aufeinanderfolgen dürfen und Anmeldung nur von freigegebenen Systemen aus. Das ist beim Standard-Sachbearbeiter genau eines, nämlich sein Arbeitsplatz-PC. Will er sich von einem anderen PC aus anmelden, muss er das beantragen.

Dazu noch Thin-Clients ohne freie USB-Ports oder sonstige Anschlüße oder Laufwerke.

Die Installation von Software wird gänzlich unterbunden und das Surfen im Web wird durch eine geeignete Surf-Protection geregelt, bspw. können keine Seiten außerhalb des Firmennetzwerks aufgerufen werden.
 
@Mitsch79: Das klingt alles prima und funktioniert (technisch) auch wunderbar, allerdings ist das in der vollen Härte kaum realistisch umzusetzen, zumindest möchte ich die Diskussion mit den ganzen Krankenschwestern und dem Betriebsrat bei mir im Job nicht wirklich führen müssen, mal ganz zu schweigen von den 500% mehr Anrufen in der IT-Hotline, weil die sich alle ihre "sicheren" Passwörter nicht merken können (die dann sowieso per Post-It an den Monitor geklebt werden)... So ganz ohne Kompromisse ist ein größerer Betrieb IT-technisch im echten Leben kaum vertretbar am Laufen zu halten.
 
@DON666: Das ist sicherlich richtig. Aber man kann den Menschen auch Tipps geben, wie man sich komplexe Passwörter erstellen kann. Ein gutes Beispiel, nimm einen langen Satz den du dir gut merken kannst, verwende jeweils immer den ersten Buchstabern jedes Wortes, mach alle 2 Buchstaben eine Zahl und ein Sonderzeichen, usw...

Das geht schon. Und ein Passwort auf einem Post-It ist ein Grund für eine fristlose Kündigung, mindestens aber eine Abmahnung... :/

Im Zweifelsfall helfen auch Tokengeneratoren, Fingerabdruckscanner,... alles Hardware die bezahlbar ist, auch in einer größeren Infrastruktur. Man bedenke nur allein die Hotlinekosten die dann entfallen :) Wenn die Firma dann dafür kein Geld hat, dann müssen die MA damit leben... und der Betriebsrat ;)
 
@Mitsch79: Hmm... klingt in der Theorie alles toll, aber in der Praxis stelle ich mir Probleme wie von DON666 geschildert ziemlich relevant vor.

Hast Du praktische Erfahrung mit Firmen, die durchgängig komplexe Passwörter (bei allen! keine Ausnahmen für Manager o.ä.), restriktive Anmeldebeschränkungen (jeder nur an seinem eigenen Arbeitsplatzrechner, andere nur auf Antrag mit Genehmigung durch entsprechend autorisierte Stelle) etc. durchsetzen? Wie groß sind diese Firmen, in welcher Branche tätig? Wie reibungslos läuft das, etc.? Vielleicht klappt das ja alles nach einiger Eingewöhnungszeit der Mitarbeiter gut, aber naiv stelle ich mir vor, dass das nur unter bestimmten Bedingungen (Firmengröße, Branche, ...) praktikabel funktionieren kann.
 
@FenFire: Ja hab ich mit einer MA-Zahl >> 20.000 :)
 
@Mitsch79: Super :) Damit meine Neugier mich nicht so quält: in welcher Branche ist dieses Unternehmen tätig?
 
@FenFire: Im Bereich Informations- und Telekommunikationsdienstleistungen :)
Aber ich bin zugegebenermaßen gespannt, wie sich die Geräte-PIN-Strategie von M$ nutzen lässt. 4 bis 6 Zahlen kann sich jeder merken. Also die meisten ;)
 
@Mitsch79: Wenn du allein 500 Zeichen brauchst um die Passwort-Regeln zu erklären, dann führt das nur zu einem...

Vergessenen Passwörtern oder dem "Austricksen" der Regeln um "merkbare" Passwörter hinzubekommen.
z.B. wird dann EIN Passwort erstellt, für alles und wenn sich das noch monatlich geändert werden soll, wird nur ein Zeichen geändert.

Ich drücke z.B. IMMER Win-L, wenn ich meinen Arbeitsplatz verlasse, wenn ich dann jedesmal 2 Minuten Tasten suchen muss, weil das Passwort nichts ist was sich gut tippen lässt, werde ich mir das Win-L vermutlich eher abgewöhnen und den Rechner ungesperrt lassen.

Für alles bei dem dann KeePass funktioniert setze ich natürlich auch lieber auf das "Maximum" was geht an Passwortkomplexität, aber die PWs muss ich mir auch nicht merken...

Meiner Meinung nach gibt es bessere Methoden um sichere Systeme zu erzeugen ohne 32 stellige Passwörter, die sich keine Sau merken kann, geschweige denn andauernd eintippen will. Die hohe Anzahl Stellen soll ja vor einem Brute Force schützen...dagegen lässt sich aber auch schützen indem nur ein Login-Versuch z.B. alle 10 Sekunden stattfinden kann, oder nach 3-10 Logins der Account einfach gesperrt wird.

Bei Bank-PINs funktioniert das doch genauso. Und die sind sicher mind. genauso sicherheitsrelevant wie der Arbeitsplatzrechner. 4 Stellen und nach 3 Versuchen ist der Account dicht. Punkt. Für einen Arbeitsplatzrechner kann man die Stellen etwas erhöhen und dafür auch die Anzahl der Versuche. ABER die Komplexität des Passworts macht keinen Unterschied.
Brute Force oder Dictionary Attack ist in beiden Fällen nutzlos, wenn nach 10 Versuchen der Account dicht ist.
 
@Draco2007: Microsoft bringt die PIN-Funktion übrigens mit Windows 10 mit :) Dann wird eine geräteabhängige PIN vergeben und die funktioniert nur auf dem Rechner. Im Hintergrund wird aus den Geräteidentifikatoren und der PIN ein Hashwert gebildet der wiederum als Zugangspassort dient. So zumindest stelle ich es mir vor. Wenn dann noch eine Verschlüsselung des Systems dazukommt, ist man auch vor dem Verlust des Notebooks sicher bzw. aus dem daraus entstehenden Risiko.

Optional bietet Windows schon seit Ewigkeiten die Möglichkeit Fingerabdruckscanner zu verwenden. Die kosten kein großes Geld und ersparen ebenfalls Passwörter. Aber solange das nicht umgesetzt ist, muss ein Passwort komplex sein und je nach öffentlicher Erreichbarkeit bzw. Sicherheitsrelevanz auch in kurzen Abständen geändert werden. Wobei sich ebenfalls festlegen lässt, dass ein einfaches hochzählen oder ändern nur eines Zeichens nicht drin ist. Und man kann auch eine Passworthistorie führen, damit die letzten 10 Passwörter nicht erneut genutzt werden können.
 
@Mitsch79: Nochmal, durch komplexe Passwortregeln und sehr kurze Änderungszyklen erreichst du nicht das was du haben willst.

Die Leute werden genervt und versuchen das System auszutricksen, was es überflüssig macht. Wie zum Beispiel nur eine Stelle des Passworts ändern. Bei monatlicher Änderung des Passworts nehme ich beispielweise immer genau ein Sonderzeichen in das Passwort, an der gleichen Stelle und immer das, welches unter dem "Monat" auf der Tastatur ist. (Februar -> 2 -> ")
Dass das nicht sicher ist weiß ich auch, aber ich bin genervt davon mir jeden Monat ein neues 10 stelliges Passwört ausdenken und merken zu müssen.

In meiner KeePass-DB befinden sich weit über 100 Passwörter. Wenn ich mir die alle merken müsste, käme ich bald nirgendwo mehr rein, weil ich alles durcheinander bringen würde.

Also nochmal: bei einer Windows Anmeldung mit Active Directory muss das Passwort nicht unglaublich komplex sein, wenn das System nach wenigen Versuchen den Account sperrt und/oder nur einen Login-Versuch pro Minute zulässt. Wenn ich mich mal vertippe kann ich den Moment kurz warten, ein Brute-Force hat aber keine Chance.

Und das häufige Wechseln ist auch nur Augenwischerei. WENN ein Passwort in die falschen Hände gerät wird es in den allermeisten Fällen direkt benutzt. Und dieser Zugriff sollte sowieso erkannt werden (es sollte auffallen, wenn ein Benutzer auf einmal massenweise Daten aus dem System zieht) und DANN sollte das Passwort geändert werden. Nicht andauernd, das führt nur zur Frusttration.

Schau mal da rein unter die FAQs weiter unten:
https://crackstation.net/hashing-security.htm

(Oben ist nur technischer Kram zum Hash+Salt)
 
Hört sich eher an, wie mache ich die Neuanschaffung der gesammten IT dem Bürger schackhaft! Neue Software reicht denen wohl nicht, denn Win8.x oder Win10 reicht wohl nicht und würden tadellos auf den alten Systemen laufen können.
 
@Roger_Tuff: Meinst du, die wollen sich jetzt (nachdem sie http://winfuture.de/news,88016.html gelesen haben) ihre gesamten Büros mit Applekisten dichtstellen, damit das bei einem eventuellen Fernsehinterview "schicker" aussieht? ^^
 
@DON666: Nee, so meinte ich das nicht. Für mich sieht es eher so aus, als wollten die sich ne komplet neue IT (Hersteller egal) gönnen (XP-Computer ausmisten). Jetzt hat man wohl einen fadenscheinigen Grund um die Ausgaben dem Fußvolk plausibel zu machen gefunden. Neue Windowslizenzen müssen nicht sein, die Runderneuerung der gesammten IT war wohl ihr erster Gedanke und dieser, so sagt der Volksmund, ist meistens der beste.
 
Wer jetzt seit 20 Jahren nicht in der Lage ist zu erkennen, dass man keine Computernetze mit sensiblen Daten an das malwareverseuchte Internet anschliessen sollte, dem ist echt nicht mehr zu helfen.

Ich habe deshalb schon vor einigen Jahren die deutsche Staatsbürgerschaft abgelegt, nachdem ich eine offensichtlich deutsche Behördendatenbank auf einem chinesischen Untergrundserver gefunden hatte, welcher diese Datenbank Interessenten zum Kauf anbot. Ich konnte damals in dem Evaluationsauszug zu dieser Datenbank meinen Namen und dazugehörige Daten von mir finden und nicht nur meine damalige Anschrift in Deutschland, sondern unter anderem auch Geburtsdatum, Steuernummer, Sozialversicherungsnummer und die Bankverbindungsdaten aller meiner deutschen Konten. Dasselbe war natürlich bei allen anderen in dem Evaluationsauszug stehenden deutschen Bürgern der Fall und die gesamte angebotene Datenbank umfasste wohl einige Millionen solcher Datensätze.

Danach war mir klar, dass, wenn so etwas passieren kann, deutsche Behörden absolut unfähig sein müssen meine Daten vor Kriminellen zu schützen und das ich aus dem Land raus musste, damit die keine aktuellen Daten von mir mehr veruntreuen können.

Als Herr Edward Snowden dann einige Jahre später auf den Plan trat, dachte ich noch: "Jetzt müssten sie es aber endlich kapieren." Aber nichts da. Wie die meisten Leute weltweit, die völlig gedankenlos die persönlichen Daten von sich und ihren engsten Freunden und Verwandten mit ihrem SmartPhone jedem Kriminellen zum Geschenk machen, der sich dafür interessiert, sind scheinbar auch die deutschen Behörden komplett lernresistent bis zur Selbstaufgabe. Datenschutz? Quo vadis? Es ist offenbar viel wichtiger, dass Behördenmitarbeiter von ihrem Arbeitplatz aus virenverseuchte eMails empfangen und zwielichtige Seiten (woher ja wohl beim Bundestag die Reinfektionen des Netzes kamen, denn sonst hätte der Webseitenfilter dagegen nicht geholfen) besuchen können, so nach dem Motto: "Wen interessiert schon die Sicherheit der Daten der Bürger, solange ich mir im Internet Katzenvideos und lustige Powerpoint-Präsentationen ansehen und herunterladen kann."

Heute tröstet man sich laut Artikel in deutschen Behörden nun damit, dass andere genauso gedankenlos und naiv gehandelt haben wie man selbst und man nun mit anderen Behörden im gemeinsamen Versagen vereint ist. Ja, herzlichen Glückwunsch. Feiert doch am besten alle gemeinsam eine Party. Alle kriminellen Datenhändler der Welt halten dort Dankesreden und schmeissen sicher auch gerne eine Runde.

Dieses ganze Szenario war derart vorhersehbar, dass ich schon als dummer Praktikant, kurz vor dem Studium am Ende der 90er Jahre, mein spärlich vorhandenes Geld in einen zweiten Rechner investiert habe, nur damit ich einen PC ohne persönliche Daten darauf für das damals schon virenverseuchte Internet hatte und dazu einen zweiten, verlässlichen Rechner mit persönlichen Daten darauf ohne Internetzugang für meine Arbeit. Wenn ich, noch ohne Ausbildung im IT-Bereich, am Ende des letzten Jahrtausends schon erkennen konnte, wohin die Reise geht, wie kann es dann sein, dass dieses Problem deutschen Behörden erst im Jahre 2015 bewusst wird, nachdem schon so ziemlich alles, vom Pentagon über Microsoft bis hin zu ausgewiesenen IT-Security-Unternehmen wie Kaspersky, gehackt wurde, was an vermeintlich schwer zu hackenden Zielen existiert? Wie ignorant und lernresistent kann man sein um das alles zu "übersehen" und weiterzumachen wie bisher? Und scheinbar unternimmt man auch heute wieder nichts um sensible Datensammlungen vom Internet zu trennen. Muss schön sein, sich in Handlungsunfähigkeit vereint fühlen zu können.

Aber einmal ehrlich: Irgendwie kann das alles doch nicht mehr wahr sein, oder? Gibt es in Deutschland eigentlich noch Kabarettisten oder sind die angesichts der nicht mehr zu überbietenden Realsatire des Regierungs- und Verwaltungsapparates in IT-Belangen inzwischen alle verhungert?

Aber gut, dann löffelt die Suppe mal schön aus, die Ihr Euch selber eingebrockt habt. Vielleicht lernt ihr dabei endlich, dass man im Datenschutz nur eine einzige Chance hat seine Daten zu schützen. Versagt man einmal, liegen nämlich Kopien der Daten in den Händen Unbefugter und diese Daten bekommt man nie wieder unter Kontrolle. Auch das hätte man schon aus der Edward Snowden Geschichte lernen können, bei der ja von öffentlicher Seite ziemlich lächerliche Versuche, wie das Zertrümmern von Computerhardware durch offizielle Stellen beim Guardian, unternommen wurden, um die Daten zu vernichten, wo jeder längst wusste, dass das Erste was ein Journalist mit derart brisanten Informationen macht, das Verschlüsseln und möglichst weltweite Verteilen der verschlüsselten Dokumente ist, so das auch die amerikanische Regierung dieser nicht mehr habhaft werden kann.

Ich bin mal gespannt, wann die ersten Hacker in Deutschland anfangen die Regierung zu erpressen, ganze Versorgungsinfrastrukturen lahmzulegen oder etwa Kernreaktoren in den SuperGAU zu fahren (Privatleute, die sich über das Entertainmentsystem in die Steuerungselektronik von Flugzeugen hacken und bei diesen dann die Fluglagensteuerung lahmlegen und die Piloten zu Beifahrern degradieren haben wir ja heute schon.) Heisst es in dem Fall dann auch: "Jaaa, das mit der tödlichen Strahlung tut uns leid, aber hätten wird den Mitarbeitern im Kraftwerk verbieten sollen auf ihren Dienstrechnern im Internet zu surfen?" Nein, selbstverständlich nicht. Man muss schon Prioritäten setzen. So wie der deutsche Bundestag, der die offenbar wirksamen, vom BSI installierten Webfilter als "nicht vereinbar mit dem freien Mandat der Abgeordneten" ansieht und so schnell wie möglich wieder abschaffen möchte, damit die Abgeordneten durch ihr Surfverhalten das Intranet wieder mit Malware infizieren können. Da muss sich doch jeder Bürger freuen von solchen Leuten regiert zu werden.

Zum guten Schluss halte ich es dann mal mit den Amerikanern: Have a nice day. ;-)
 
@resilience: Bleibt noch der ergänzende Hinweis, dass es in anderen Ländern nicht besser aussieht, in 99% sogar noch wesentlich schlechter. Im Übrigen ist das Erpressungsszenario längst Realität, das betrifft Behörden und Regierungen weltweit genauso wie Supermärkte und Firmen aller Branchen. Verständlicherweise steht das nicht (zumindest aktuellen Fälle) im Spiegel. Man muß heutzutage schon froh sein, wenn die Erpresser keine Mitarbeiter oder die Familie im Ausland entführen. Ich bin schon gespannt wie die Welt in 20 Jahren aussieht, wenn die Smartphone Kiddies von heute die Welt regieren.
 
@resilience: Vergiss es. Du bist so oder so enttarnt. Wer sich ins Ausland absetzt, seine Identität mit allen Mitteln zu verschleiern versucht, vertrauliche Datenbanken von windigen Chinamännern angeboten bekommt, alles über alle Computersysteme weiß und so ultraschlau ist, dass er einfach auch noch auf ALLE anderen Fragen des Lebens die richtigen Antworten kennt, kann an sich nur einer von beiden sein: James Bond oder Ethan Hunt.

Du hast ja mittlerweile schon einige deiner Romane hier verfasst; glaubst du das eigentlich alles selbst? Wer ein dermaßen abenteuerlich-ausgefülltes Leben führt, dürfte doch wohl "in Echt" kaum die Zeit finden, nebenbei auch noch Internet-Autor zu sein.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.