Skip to main content

Wann haben Sie das letzte mal einen Tageslichtprojektor gesehen? Einen von diesen Kästen mit Schwanenhals, aus dem mit Filzstilft gemalte Folien spiegeln? Lange her? Dann arbeiten Sie wohl nicht beim Verfassungsschutz. Die Geschichte mit den chinesischen Trojanern kommt mir spanisch vor. Kurz zur Einführung: Der „Spiegel“ behauptet, der Verfassungsschutz habe PC in verschiedenen Ministerien und im Kanzleramt durchforstet und sei dabei auf Trojaner gestoßen. Das sind jene Progrämmchen, die man sich einfängt, öffnet man eine Datei, deren Absender einem an die Daten will.

Diese Trojaner öffnen dann die digitale Tür – und zack weg sind sie, die Aufzeichnungen. Wobei sie ja, so weit ich das verstehe, durchaus noch auf der Festplatte erhalten sind, nur werden sie eben kopiert. Sollte letztere Behauptung falsch sein, bitte ich die technikkundigeren Leser hier um Korrektur.

Diese Trojaner nun sollen aus China kommen, ausgesandt vom chinesischen Geheimdienst. Das wirft die Frage auf, wieso dieser schlau genug ist, Trojaner zu programmieren, die es durch die hohen Sicherheitshürden der deutschen Regierungsfirewalls schafft – aber nicht schlau genug, die eigenen Spuren zu verwischen. Mutmaßlich sollte zweites leichter sein als erstes.

Oder aber waren die Hürden gar nicht so hoch? Waren die Mitarbeiter etwa so dumm, wie es viele unkundige Nutzer sind und haben Dateien geöffnet, die Geld aus Nigeria, Penisverlängerungen, Viagra oder Postbank-Daten versprechen? Trotzdem hätte das interne Netz doch etwas merken müssen. Warum muss dann erst der Verfassungsschutz kommen? Der „Spiegel“-Artikel klingt wie aus der Zeit, da Geheimdienstler wirklich noch im Schlapphut in dunklen Hausfluren die Nacht verbrachten:
„In mehreren Ministerien filzten die Sicherheitsbehörden alle Rechner, sie klemmten sich in die Leitungen und beobachteten, welche Daten eingingen, vor allem: welche die Regierung verließen.“

Noch etwas erscheint mir merkwürdig: Das Wirtschafts- und Technologieministerium, der Ort also, bei dem Wirtschaftsspionage mutmaßlich am lukrativsten sein könnte – ausgerechnet das bleibt verschont. Auch das Außenministerium.

Das ist wohl auch den Spiegelanern bewusst. Im Artikel klingt das so:
„Dabei sind die Informationen au den gehackten Regierungsrechnern ,eigentlich nur für staatliche Stellen interessant‘, wie der Verfassungsschutz in seinem vertraulichen Bericht schreibt. ,Aus diesem Grund muss unterstellt werden, dass der chinesische Staat an den elektronischen Attacken beteiligt ist‘, heißt es dort.“

Obwohl es anscheinend zu Datenübertragungen gekommen ist, behauptet aber das Innenministerium, es sei kein Schaden entstanden. Wie Wissensgrundlage für diese Aussage könnte interessant sein. Schließlich müsste das Ministerium dann ja wissen, was an Daten vor Eingreifen des Verfassungsschutzes abgeflossen ist.

Der „Spiegel“ klammert sich fast schon manisch an seine Geschichte. Sie ist heute Titel, doch der Niederschlag in anderen Medien ist verhältnismäßig verhalten. Bei Spiegel Online findet sich gar schon merkwürdig diffuses. So schreiben die Kollegen:
„Bisher stritten die Chinesen alle Vorwürfe ab – nun sagte Ministerpräsident Wen Kanzlerin Merkel zu, man wolle die Hacker-Attacken auf Computer der Bundesregierung umgehend stoppen.“

Nanu, haben sie es zugegeben, die bösen Chinesen? Natürlich nicht. Und das würde auch Spiegel Online so schreiben, wäre es nicht eine Exklusivstory der Print-Kollegen:

„Die Regierung sei entschlossen, Maßnahmen einzuleiten, „um Hackangriffe auszuschließen“, sagte der chinesische Ministerpräsident Wen Jiabao gegenüber Angela Merkel (CDU) bei deren Besuch in Peking.“

Wen gibt die diplomatische Standardantwort. Übersetzt heißt das ungefähr: „Och, wir gucken mal. Wenn wir rausfinden, wer’s war… Aber das ist natürlich schwierig…“ Explizit will er damit den Verdacht ausschließen, der eigene Geheimdienst wäre tätig geworden.

Die Informationslage über den angeblichen Hack-Angriff aus China ist also verworren. Der Rest des „Spiegel“-Titels dagegen ordentlich, wenn auch zu sehr mit Anekdoten gefüllt, die schon bekannt sind.

Ich will mal nicht annehmen, dass etwas ganz, ganz Dummes passiert ist. Dass nämlich Mitarbeiter des Kanzleramtes und Innenministeriums so Web 0.0 sind, dass sie auf Phishing-Mails hereingefallen sind. Und dass die IT-Sicherheit so mies ist, dass somit ein Einfallstor für Hacker entstand, die eigentlich auf der Suche nach Kontodaten oder ähnlichem waren.

Der Verfassungsschutz zumindest geht ganz auf Nummer sicher. Der „Spiegel“ berichtet über die Präsentation des geheimen Berichts:
„Hans-Elmar Remberg, Vizepräsident des für Spionageabwehr zuständigen Bundesamts für Verfassungsschutz, legte einen Satz Folien auf den Projektor…“

Die können definitiv nicht gehackt werden. Nur gestohlen. Oder an Journalisten weitergespielt.

Nachtrag: Kollege Gehrs hat auch so seine Probleme mit dem Titel:


Kommentare


Matthias Schrade 27. August 2007 um 17:02

*rotfl*

Antworten

PS 27. August 2007 um 17:19

SpOn schreibt unter
http://www.spiegel.de/netzwelt/tech/0,1518,502008,00.html
folgendes:

\“Die Schadprogramme kamen getarnt als Word- oder Powerpoint-Datei. Wer die Dateien öffnete, infizierte seinen Rechner mit einem Trojaner – und öffnete seinen Computer so für die Späher.\“

Also war da jemand wohl so intelligent, SELBST Dateien zu öffnen, deren Herkunft zumindet \“suspekt\“ war.
Also doch 0-Datensicherheit und 0-Mitarbeiterschulung.

Antworten

XiongShui 27. August 2007 um 17:23

Zur Technik:

Zur Zeit laufen massive Viren- und Trojaner- Attaken aus Asien. Das deutet darauf hin, daß eine größere Aktion geplant ist. Solche Angriffswellen gibt es immer mal wieder (Im letzten Herbst eine, im Winter und im Frühjahr). In der Regel daran erkennbar, daß die Sicherheitssoftware häufiger als üblich updated.

Bei solchen Angriffswellen gelingt es immer mal wieder, daß einzelne Würmer, Viren oder eben Trojaner ans Ziel kommen, weil sie noch nicht erkannt sind. Daher ist es wichtig, daß die jeweiligen Admins den Netzverkehr überwachen und bei Unregelmäßigkeiten reagieren. Wichtig ist zum Beispiel alle ausgehenden Ports, die nicht benötigt werden strikt geschlossen zu halten. Dann versucht die Malware zwar \“nach Hause zu telefonieren\“, das gelingt wegen der geschlossenen Ports aber nicht. Doch genau dadurch kann der Admin die Schadware erkennen.

Es scheint also, was die Frankfurter in weniger aufgeregter Version der Geschichte schrieb, zuzutreffen: Malware drang ein, wurde aber von den Sicherheitseinstellungen gehindert, wesentliche Datenmengen zu übertragen.

Man muss sich eben immer vor Augen halten, daß es 100%igen Schutz vor Eindringlingen nicht gibt (aber ein guter Wachhund läßt die Einbrecher nicht mehr aus dem Haus). Das ist wie ein Krieg, ständiger Wettlauf zwischen Angriffs- und Verteidigungstechnik.

Antworten

cdv! 27. August 2007 um 18:35

Kann mich gerade nicht entscheiden, worüber ich mich ärgern soll: Über die Medien, dass sie so einen Mist verzapfen, oder über die Politik, die auch gar keinen (digitalen) Strohhalm ausläßt, um aus dem Sommerloch zu gucken… (Ob meine Vorkommentiererin auch aus China ist?)

Antworten

SvenR 27. August 2007 um 18:37

***Hier stand ein Artikel, der sich auf einen gelöschten Spam-Eintrag bezog.***

Antworten

Bücherwurm 27. August 2007 um 21:23

Noch etwas erscheint mir merkwürdig: Das Wirtschafts- und Technologieministerium, der Ort also, bei dem Wirtschaftsspionage mutmaßlich am lukrativsten sein könnte – ausgerechnet das bleibt verschont. Auch das Außenministerium.

Versteh ich nicht. In dem Spiegel-Artikel heißt es doch ein paar Zeilen später:

Sie (die Abwehr) fand die chinesischen Spionageprogramme im Kanzleramt und im Auswärtigen Amt, im Wirtschaftsministerium und im Forschungsministerium.

Antworten

Bücherwurm 27. August 2007 um 21:25

Da das Blog-System die Kursiv-Tags nicht beachtet – noch mal mit Anführungszeichen:

\“Noch etwas erscheint mir merkwürdig: Das Wirtschafts- und Technologieministerium, der Ort also, bei dem Wirtschaftsspionage mutmaßlich am lukrativsten sein könnte – ausgerechnet das bleibt verschont. Auch das Außenministerium.\“

Versteh ich nicht. In dem Spiegel-Artikel heißt es doch ein paar Zeilen später:

\“Sie (die Abwehr) fand die chinesischen Spionageprogramme im Kanzleramt und im Auswärtigen Amt, im Wirtschaftsministerium und im Forschungsministerium.\“

Antworten

Thomas Knüwer 27. August 2007 um 21:30

@Bücherwurm: Ups, das ist interessant. Am Wochenende hat das Wirtschaftsministerium dementiert, etwas davon zu wissen.

Antworten

Spiegelleser 27. August 2007 um 23:24

@Thomas Knüwer

das Innenministerium hat etwas dementiert !!! Es hat dementiert dass keine Schäden entstanden seien….

Antworten

SvenR 28. August 2007 um 9:24

Ihr Artikel ist Balsam auf meine geschundene Seele. Ich habe gestern Abend den gedruckten Spiegel gelesen und habe jetzt noch Nackenschmerzen vom vielen Kopfschütteln.

Antworten

Wolf 28. August 2007 um 9:42

\“Ich will mal nicht annehmen, dass etwas ganz, ganz Dummes passiert ist. Dass nämlich Mitarbeiter des Kanzleramtes und Innenministeriums so Web 0.0 sind, dass sie auf Phishing-Mails hereingefallen sind.\“

Wieso denn nicht? In Ministerien und Behörden arbeiten Leute wie Du und ich. Deren Lebensinhalt besteht nicht darin, sich auf den neuesten Web-Wissens-Standard zu bringen. Warum also sollten sie weniger oft auf Phishing hereinfallen als andere?

Antworten

Der Werber 28. August 2007 um 12:22

Ich habe vor ein paar Jahren mal für ein Wirtschaftsministerium eines deutschen Bundeslandes Werbung gemacht und seinerzeit viel Aufwand mit der Firewall desselben gehabt. Als Dateianhang wurden ausschließlich jpg-Dateien zugelassen. PDFs, powerpoint, word, was immer wir an die Damen und Herren schicken wollten, musste per Silberling reisen oder als Text in der Mail, bzw. jpg-Bild aufbereitet werden.

Insofern wundert mich schon, dass das Leute in den Ämtern auf lustige Powerpoint-Dateien geklickt haben sollen…

aber vielleicht sind die Sicherheitsvorkehrungen ja auch wieder heruntergeschraubt worden…

Antworten

peter 28. August 2007 um 12:30

\“
Diese Trojaner öffnen dann die digitale Tür – und zack weg sind sie, die Aufzeichnungen. Wobei sie ja, so weit ich das verstehe, durchaus noch auf der Festplatte erhalten sind, nur werden sie eben kopiert. Sollte letztere Behauptung falsch sein, bitte ich die technikkundigeren Leser hier um Korrektur.\“

Ob die Daten kopiert oder gelöscht werden, liegt natürlich im Ermessen desjenigen, der den Trojaner programmiert.

Das ist nicht anderes, als wenn jemand in ein Haus einbricht (und nicht, wie hier, in einen Computer). Da hängt es ja auch vom Einzelfall ab, ob der Einbrecher was stehlen, irgendwelche geheimen Dokumente lediglich kopieren, oder sonstwas anstellen möchte.

Antworten

Kaishakunin 28. August 2007 um 16:22

Einen Trojaner zu verstecken ist nicht wirklich trivial. Es erfordert schon tiefe Eingriffe in das Betriebssystem. Es müssen diverse Systembibliotheken und Systemprogramme ausgetausch werden, bspw. alle Programme die Dateien und Verzeichnisse oder Prozesse anzeigen. Wenn man das schafft, ist der Trojaner auf dem infizierten System vom _infizierten_ nicht mehr zu erkennen.

Wenn man aber die betroffene Festplatte in ein anderes System steckt oder eine Live-CD bottet und sie damit analyisert, findet man den Trojaner tlw. sogar sehr schnell und einfach. Außerdem muss der Trojaner auch ausgeführt werden, d.h. Teile der Schadsoftware befinden sich im Arbeitsspeicher.

Wer noch tiefer in die Details einseigen will, sollte sich Wietse Venema und Dan Farmers Buch \“Computer Forensic Analysis\“ zu Gemüte führen. Und natürlich die Grundlagen der Trojaner und Rootkits, z.B. in Willis Folien: http://www.guug.de/veranstaltungen/ffg2003/papers/ffg2003-dolle.pdf

Sie sehen also, in einen Rechner einzubrechen und einen Trojaner zu installieren, ist einfacher als ihn wirklich gut zu verstecken.

Wenn man allerdings MS Windows einsetzt, muss man sich nicht wundern das der Rechner a) gekapert wird b) nicht wirklich abzusichern und c) vorallem erstmal gar nicht wieder zu bereinigen ist.

Ernsthafte Betriebssysteme (lies: Unix) verfügen schon seit längerem über Mechanismen um Rootkits, Trojaner und sonstiges Gewürm effektiv auszuschließen, z.B. Verified Executables (proaktiv) und Mtree, Aide oder Tripwire (reaktiv).

Das ganze Thema wird übrigens noch spannender, wenn die Visualisierungstechniken um XEN und Co. weiter verbreitet werden. Dann kann man ein OS komplett übernehmen 😉

Antworten

Ralf 28. August 2007 um 18:00

Die einfachste, effektivste und am häufigsten in der Wirtschaftsspionage angewandte Methode um Trojaner in ein gut abgesichertes System einzuschleusen ist, einen Mitarbeiter zu bestechen.
In der Wirtschaft ist es oft recht einfach, da es dort oft Angestellte gibt die sich chronisch unterbezahlt fühlen, zu teure Hobbys haben oder schlichtweg sauer auf den Chef sind.

Bei der Bundesregierung dürfte es nicht wesentlich schwerer sein jemanden zu finden der Geldprobleme hat. Nehmen wir zum Beispiel eine Schreibkraft die gewisse Dokumente überarbeitet und ins System einspeist. Das wäre die ideale Person. Sie kommt ohne Aufsehen an die Dateien ran, kann sie infizieren und relativ unbemerkt verteilen. Schließlich erstellt sie offizielle Dokumente, welcher Regierungsangestellte würde die nicht \“arglos\“ öffnen?

Das könnte dann auch erklären warum dieses oder jenes Ministerium nicht betroffen war, obwohl es doch ein durchaus lukratives Ziel gewesen wäre.
Es wäre auch eine Erklärung woher der Staatsschutz weiß das es ausgerechnet die Chinesen waren. Man hat halt jemanden erwischt, will es aber nicht so offen zugeben das man bestechliche Mitarbeiter hat. Ergo sagt man nur \“Ätsch, wir haben sie erwischt.\“. Den peinlichen Rest verschweigt man dann.

Wer meint so etwas sei unwahrscheinlich oder aus den schnellen Tippfingern gesaugt, schlägt einfach mal Günther Guillaume bei Wikipedia nach.

Antworten

void 29. August 2007 um 8:11

Naja, nachdem unsere planlose Bundesjustizministerin ja lauthals Ihre Ahnungslosigkeit dokumentieren liess – \’Was ist noch einmal ein Browser\‘ – es zwangsläufig auch zu dem vollkommen dümmlichen \’Hackerparagrafen\‘ gekommen ist, darf dieser Staat nun zunehmend zusehen wie er mit seinen IT-Problemen selbst fertig wird.

Die Hacker – ich nenne Sie lieber bei Ihrem korrekten Namen nämlich Programmierer – fühlen sich in diesem Staate kriminalisiert.

Seit August ist es nämlich so, dass bereits der Besitz von Werkzeugen die dazu geeignet sind Netzwerke zu überwachen zu einer Freiheitsstrafe von bis zu einem Jahr führen können.

Was die aktuelle Politikerriege an digitaler Ignoranz demonstriert erinnert mich irgendwie an eine Person die mit heruntergelassenen Hosen da steht. Es fehlt nur noch das Schild \’Hier hinein bitte\‘.

Antworten

Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*
*