Bundeshack: Bundespolizei stellt Strafanzeige, tausende Logindaten könnten betroffen sein
Beim Hackerangriff auf die Bundesregierung könnten deutlich mehr sensible Daten abgeflossen sein als bislang bekannt. Die Bundespolizei vermutet offenbar, dass Zugangsdetails ihrer Ermittler zu einer Lernplattform abgegriffen wurden.
(Bild: dpa, Oliver Berg/Symbol)
Der Kreis der möglichen Betroffenen des sogenannten Bundeshacks hat sich erneut deutlich ausgeweitet. Die Bundespolizei hat im Zusammenhang mit der Cyberattacke auf Stellen der Bundesregierung wegen des Verdachts einer möglichen Straftat Strafanzeige gegen unbekannt gestellt, wie die Strafverfolgungsbehörde gegenüber der Welt bestätigte. Laut der Zeitung geht die dem Bundesinnenministerium unterstellte Polizeieinheit davon aus, dass die Angreifer mit Phishing-Mails rund 3000 Zugangsdaten von Bundespolizisten für ein Portal der zunächst betroffenen Hochschule des Bundes (HS Bund) beziehungsweise der am gleichen Ort sitzenden Bundesakademie für öffentliche Verwaltung (BAköV) in Brühl erbeutet haben.
"Vorsorglich vom Netz genommen"
Der Vorgang ist mit der Strafanzeige aktenkundig und das Landeskriminalamt (LKA) Nordrhein-Westfalen ermittelt dem Bericht zufolge nun im Auftrag der Staatsanwaltschaft Köln. Die Logindaten sollen für eine von der HS Bund/BAköV eingesetzte Lernplattform auf Basis des Open-Source-Systems Ilias gegolten haben, die mittlerweile nicht mehr übers Internet erreichbar ist und "vorsorglich vom Netz genommen" wurde. Über die Zugänge könnten die Hacker über die zugehörigen Konten für die Plattform über einen längeren Zeitraum hinweg aber die dortigen Aktivitäten der Bundespolizisten verfolgt und umfangreiche Informationen abgezogen haben. Spuren erster Aktivitäten der Eindringlinge sollen rückwirkend bereits auf spätestens Januar 2017 datiert worden sein.
Das Computer Emergency Response Team (CERT) des Deutschen Forschungsnetzes (DFN) gab am 9. März eine Warnung zu einer Schwachstelle der E-Learning-Software heraus, die einen Cross-Site-Scripting-Angriff ermögliche. Der Hersteller habe die Verwundbarkeit bestätigt und die Versionen 5.1.24, 5.2.13 und 5.3.1 als Sicherheitsupdate zur Verfügung gestellt. Anwender der Software sollten dem CERT zufolge alte Installationen "umgehend auf Aktualität" prüfen, hieß es, da angesichts der "medialen Aufmerksamkeit" über den Hack auch viele unerfahrene Script-Kiddies nach einfach angreifbaren Opfern suchen dürften. Bei den Hochschulen des Bundes war zuletzt Version 5.1.16 vom März 2017 im Einsatz.
Bekannte Zugangsdaten für "root"
Zusätzlich verwies das DFN-Cert darauf, dass in Standardinstallationen von Ilias bekannte Zugangsdaten für den Benutzer "root" verwendet und Administratoren der Software "zu keiner Zeit im Installationsvorgang zu einer Änderung des Passworts aufgefordert werden". Es sollte daher sichergestellt werden, dass das Standardpasswort für dieses weitreichende Konto nicht verwendet werde.
Anfang März war zunächst bekannt geworden, dass die Angreifer über einen Webserver der HS Bund/BAköV mithilfe eines Trojaners 17 Rechner im Auswärtigen Amt kapern konnten. Beide Bildungseinrichtungen sind an das Regierungsnetz Informationsverbund Berlin-Bonn (IVBB) angeschlossen. Nach offiziellen Angaben sollen sie im Außenministerium nur sechs Dokumente erbeutet haben. Bei der Schadsoftware handelte es sich vermutlich um die Spionagesoftware Uroburos, die angeblich ihre Wurzeln bei russischen Geheimdiensten hat.
Anfang Januar soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den Hochschulen fündig geworden sein und den weiteren Weg der Spione Mitte Januar verfolgt haben, nachdem deutsche Sicherheitsbehörden im Dezember Hinweise auf die laufende Attacke von einem ausländischen Geheimdienst erhielten. Inzwischen ermittelt auch der Generalbundesanwalt wegen geheimdienstlicher Agententätigkeit. Vor Kurzem war davon die Rede, dass von dem Angriff auch das Fluggastdatensystem des Bundes in Mitleidenschaft gezogen worden sei, was das Innenressort aber dementierte. (vbr)
