© jovannig, 123RF.com

Im Netzwerk des Deutschen Bundestags, einst ein Linux-Vorzeigeprojekt, bewegten sich spätestens seit April 2015 Cracker ungehindert. Als sei das nicht schon Skandal genug, halten die mit der Aufklärung Betrauten alle Informationen unter der Decke. Das Linux-Magazin begab sich monatelange auf Recherche.

Im Mai 2015 sickert durch, Cracker haben die IT des Deutschen Bundestages massiv kompromittiert. Wer bis dahin meinte, das angezapfte Smartphone von Bundeskanzlerin Merkel sei der GAU in Sachen Cyberangriffe auf Verfassungsorgane der Bundesrepublik Deutschland, sah sich eines Besseren belehrt. Im Mai flossen die offiziell bestätigten Informationen äußerst spärlich – was insoweit verständlich ist, als dass einerseits die Forensiker vor Ort hofften, die Angreifer auf frischer Tat beobachten zu können, und andererseits keine Nachahmungstäter und Trittbrettfahrer zu ermutigen. Was damals nicht abzusehen war: Auch knapp ein Jahr später sind offizielle Auskünfte über den Hack praktisch nicht zu bekommen. Entsprechend mühsam gestalteten sich die Recherchen zu diesem Magazin-Artikel (siehe Kasten “Schweigekartell”).

Recht auf IT-Autonomie

Der Bundestag, die Abgeordneten und die Fraktionen unterhalten jeweils eigene IT-Infrastrukturen und sind so auch für deren IT-Sicherheit selbst verantwortlich. Der SPD-Politiker und Experte für IT-Sicherheit und Geheimdienste Gerhard Schmid (Abbildung 1) erklärt es so: “Der Bundestag hat bestimmte Privilegien, um das Parlament vor einem Zugriff der Staatsgewalt zu schützen. Beispielsweise verfügt er über eine eigene Polizei [2]; die normale Polizei darf nicht in die Gebäude des Bundestags, sie sind wie Botschaften exterritorial. Vergleichbar verhält es sich mit der Immunität: Ein Abgeordneter darf, außer wenn er auf frischer Tat erwischt wird, nur mit Zustimmung des Parlaments verhaftet oder einer Strafverfolgung unterzogen werden.

Die Indemnität (Anmerkung: lat. ,indemnitas’, die Schadlosigkeit) verleiht Abgeordneten das Recht auf freie Rede im Parlament und schützt sie vor dienstlicher oder gerichtlicher Verfolgung wegen Äußerungen im Plenum oder im Ausschuss. Dann gibt es noch das Zeugnisverweigerungsrecht und – vor allem hier relevant – das Recht, seine Arbeiten selbst zu organisieren und dafür eigene Verwaltungsstrukturen zu unterhalten, die von der sonstigen staatlichen Verwaltung getrennt sind.”

Aufgrund dieser Sonderstellung hatte Schmid zu seiner Zeit als EU-Parlamentarier ganz allein über seine IT-Infrastruktur entschieden. Bei den Bundestagsabgeordneten heute läuft es genauso. Den Betrieb der Rechenzentren übernimmt in der Praxis die Unterabteilung IT der Abteilung “Information und Dokumentation” wie die Broschüre des Bundes “So arbeitet der Bundestag” auf Seite 163 erklärt: “Sie gliedert sich in fünf IT-Referate, die im Wesentlichen zuständig sind für den Betrieb der Rechenzentren mit ihren Anwendungen, die Ausstattung der Benutzer mit PCs (Hard- und Software), die Bereitstellung der Kommunikationstechnik, die Systementwicklung neuer Anwendungen und die IT-Sicherheit. … Bei allen Soft- und Hardwareproblemen hilft das in der Unterabteilung angesiedelte IT-Servicezentrum. … Die jedem Abgeordneten als Teil der kommunikationstechnischen Büroausstattung überlassenen PCs sind an das Intranet des Bundestages angeschlossen. [3]

Kennzeichnend für diese Infrastruktur seien zwei Elemente, erklärt Schmid: “Bundestags-IT existiert nicht nur in der Hauptstadt, sondern auch in den Wahlkreisbüros der Abgeordneten und ist mit der Berliner Struktur direkt vernetzt. Der Zugang zu den Wahlkreisbüros ist nicht besonders gesichert. Zweitens: Aufgrund mangelnder Einsicht der Abgeordneten in die Notwendigkeit von Sicherheitsanforderungen gibt es keine Beschränkung, zusätzlich zu der vom Bundestag bereitgestellten Software auch private Programme auf den Rechnern zu installieren.”

Abbildung 1: Der Geheimdienstexperte Gerhard Schmid hegt Zweifel an den offiziellen Erklärungen zum Bundestags-Hack. Als Vizepräsident des Europäischen Parlaments zeichnete er 2001 für die Enthüllung zur Abhöraktion Echelon verantwortlich.

Bedingt abwehrbereit

Das Netzwerk des Bundestages, Parlakom (“Parlamentarische Kommunikation”, [4]), besteht aus einer Active-Directory-Domäne mit einer sechsstelligen Anzahl von Objekten. Aus Linux-Sicht bedeutsam ist die Tatsache, dass 2002 der Ältestenrat beschlossen hatte, dass auf den Bundestagsservern Linux laufen solle. Er folgte damals einer Empfehlung der “Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und -medien” (im Folgenden kurz IuK-Kommission genannt). Die IT-Abteilungen setzten diesen Beschluss in den Folgejahren auch weitgehend um – teils unter Mithilfe mehr oder minder bekannter deutscher Linux-Firmen. Die für Linux prestigeträchtige Zeit ging 2010 jäh zu Ende, als der Ältestenrat nach Problemen mit der eingesetzten Groupware die Beschaffung von Microsoft Exchange beschloss.

Die Clients der Abgeordneten und Mitarbeiter, in der Regel Windows-Rechner, verteilen sich auf die Büros der Verwaltung, der Fraktionen und der Politiker selbst und werden eigenverantwortlich administriert. Jeder Bundestagsabgeordnete hat ein Büro mit zumeist mehreren Mitarbeitern in Berlin und in seinem Wahlkreis, dazu kommen Laptops und andere mobile Geräte. Zusammen mit der IT-Infrastruktur der Fraktionen und diverser Gremien sowie Ausschüsse ergibt das ein WAN vergleichbar mit dem eines MDAX-Unternehmens. Es sind wohl etwa 20 000 Rechnern allein im Parlakom, also ohne die Geräte der Fraktionen. Linux hin oder her: Der skizzierte Schutzanspruch von Bundestag und Abgeordneten sowie die zersplitterten Zuständigkeiten mach(t)en offenkundig ein durchgehend modernes IT-Sicherheitsmanagement wie man es aus Firmen vergleichbarer Größe kennt – und die Realisierung vieler anderer aus gutem Grund gängiger IT-Konzepte – unmöglich. So war es wohl nur eine Frage der Zeit, bis Hacker ein Schlupfloch finden würden.

Angriff am Wasserloch?

Bereits aus der Frühphase des Hacks sind nur wenige Fakten gesichert: Irgendwann im April 2015 – vielleicht aber auch früher – sind Hacker ins Netzwerk des Bundestages eingedrungen. Einstiegspunkt waren einzelne Arbeitsplatzrechner einer Fraktion (Die Linke), möglicherweise auch einer zweiten (CSU, die das bestreitet). Von dort aus gings weiter ins Netz des Bundestages, wo sie die Active Directory Domain kaperten.

Frühe Berichte, die von E-Mail-, Phishing- oder Spear-Phishing-Angriffen ausgehen und von infizierten, gefälschten UN-Dokumenten sprechen, blieben die Beweise schuldig. Wahrscheinlicher ist ein Angriff per Watering-Hole-Methode. Dabei beobachtet ein Hacker, welche Webseiten die Benutzer seines Zielnetzes regelmäßig besuchen. Dann infiziert er diese Webserver gezielt mit Malware. Das Perfide an der Wasserlochmethode ist es, dass sich damit auch Anwender fangen lassen, die in Security-Awareness trainiert sind und zweifelhafte E-Mail-Attachments und Links meiden. Eine vertraute Webseite, die noch nie ein Problem oder eine Gefahr war, wird plötzlich zum Einfallstor für einen Angreifer.

Jeder dieser Angriffsvektoren funktioniert aber nur, wenn die Betriebssysteme und Browser der Clients nicht auf einem aktuellen Stand sind oder über Zero-Day-Exploits. Im vorliegenden Falle haben die Angreifer offensichtlich Fehler in Multimedia-Extensions gängiger Browserplugins genutzt, um Hintertüren auf den Windows-Systemen aufzumachen.

Geheime Protokolle

Hochrangige Mitarbeiter und der Präsident des BSI, aber auch Vertreter von Dienstleistern wie T-Systems und selbstverständlich auch die verantwortlichen IT-Referatsleiter des Bundestags erklärten in den Protokollen der IuK-Kommissions-sitzungen, was ihre Behörden, Organisationen oder Mitarbeiter zum jeweiligen Datum zu wissen glaubten. In nicht weniger als fünf Sitzungen (von Juni 2015 bis Januar 2016, 7. bis 11. Sitzung) hat sich die IuK-Kommission mit dem Hack beschäftigt, im Dezember legte das im Sommer zu Hilfe gerufene BSI ([5], Abbildung 2) seinen Abschlussbericht vor.

In der 7., 8. und 9. Sitzung der IuK-Kommission erläutern Referatsleiter sowie das BSI ihre Vermutungen über die Vorgehensweise der Hacker.

Doch was genau ablief, vermögen auch sie nicht sagen, weil es bis Mitte Mai 2015 keine Logfunktionen im Netz gab. Im Protokoll der 7. Sitzung vom 11. Juni heißt es auf Seite 7: “Hierauf antwortet Herr Dr. Häger (BSI), dass keine Kenntnisse zum Ersteinstieg in das Netz des Bundestages vorlägen. Als mögliche Ausgangspunkte werden jedoch entweder eine E-Mail mit einem Link auf ein Schadprogramm oder der Aufruf einer entsprechend manipulierten Webseite vermutet. Der Ursprungseinstieg werde nicht weit vor dem ermittelten Einbruch in den AD am 5. Mai 2015 vermutet.”

Die Aussagen der Verantwortlichen widersprechen sich zum Teil: “Höchstwahrscheinlich kein gerichteter Angriff”, 8. Sitzung am 2. Juli 2015, “Ein gerichteter Angriff, Teil einer weltweiten Kampagne”, Michael Hange (BSI, Abbildung 4),9. Sitzung am 10. September.

Die Parlakom-Verantwortlichen und das im Sommer hinzugezogene Bundesamt für Sicherheit in der Informationtechnik (BSI) behaupteten vor der IuK-Kommission, man habe innerhalb weniger Tage das Problem gelöst. Nach der offiziellen Version, die Geheimdienste und Sicherheitsfirmen den Politikern zukommen ließen, war alles halb so wild und heutzutage kaum vermeidbar. Der Abschlussbericht des BSI an die IuK-Kommission (Abbildung 2) im Dezember beschreibt ein “Zeitfenster von drei Wochen”, das die Hacker vermutlich hatten, “um Daten zu exfiltrieren”. Der BSI-Bericht weist zudem deutliche Differenzen zu den Informationen auf, die Abgeordnete in den Sitzungen der IuK-Kommission laut der Protokolle zu hören bekamen.

Überhaupt stehen in Berlin viele IT-Experten, Geheimdienstler, Politiker und Medienvertreter der offiziellen Version kritisch gegenüber. Der Geheimdienst hätte mindestens noch einen weiteren, streng geheimen Bericht im Ärmel – was spektakulär anmutet, entspreche bei Sicherheitsvorfällen aller Art aber gängiger Praxis. Und tatsächlich bestätigten Quellen gegenüber dem Linux-Magazin die Existenz eines anderen Berichts. Der habe nur innerhalb der Geheimdienste existiert und soll – seltsamerweise – bereits wieder gelöscht worden sein.

Abbildung 2: Anfang Mai informierte der Verfassungsschutz den Bundestag und das BSI über mindestens zwei gehackte Rechner im Bundestag. Mit diesen Worten beginnt der nur drei Seiten umfassende Abschlussbericht des BSI an die IuK-Kommission des Bundestages.

Abbildung 4: Der Bundestag-Hack fiel in Michael Hanges Amtszeit als BSI-Präsident. In den Sitzungsprotokollen der IuK-Kommission fällt oft sein Name.

Mit Mimikatz ab in die AD-Domäne

Als gesichert gilt den IT-Referatsleitern zufolge, dass die Angreifer das Open-Source-Werkzeug Mimikatz ([8], Abbildung 3) benutzten, um Benutzerpasswörter herauszufinden (7. Sitzung). Es gilt als “eines der besten Werkzeuge für alle, die Credential-Daten aus Windows-Systemen bekommen wollen” [9]. Vor allem der damit aushebelbare Pass-the-Hash-Mechanismus, den regulär Microsoft für komfortables Single-Sign-on verwendet, ist für Angreifer lukrativ.

Eine unklar große Zahl von Anwender schienen über Administratorrechte(!) in der Active-Directory-Domäne des Bundestages(!) verfügt zu haben. Für Cracker ist solcher Account natürlich der Hauptgewinn. Aber auch ohne ihn geht es weiter: Sehr wahrscheinlich hangelten sich die Angreifer mit Hilfe von Kerberos Golden oder Silver Tickets weiter. Ein Golden Ticket stellt ein Domänen Controller aus, damit sich ein User gegen einen anderen Domain Controller authentifizieren kann. Ein Silver Ticket stammt von einem Ticket Granting Service und trägt die Signatur eines solchen Services. Mit Mimikatz ist es möglich, in den Besitz solcher Tickets zu gelangen. Auch das Auslesen von Caches und über Pass-the-Hash- oder Pass-the-Cache-Mechanismen per Mimikatz können den Weg Active-Directory-Domäne geebnet haben.

Die Experten der IuK-Kommission gehen davon aus, dass nach Übernahme einzelner Clients in 16 Bundestagsbüros sich die Angreifer “horizontal” weiterhangelten und insgesamt mindestens 25 Clientsysteme übernahmen (Hange und Häger vom BSI am 11. Juni in der 7. Sitzung). Aus Sicht des BSI sicher tragisch: Das Amt hatte nach Linux-Magazin-Informationen bereits im Januar 2015 vor “Silver Ticket Attacks” gewarnt – allerdings deklariert als geheime Verschlusssache, die nur Behörden zuging.

Abbildung 3: Mimikatz ist ein Open-Source-Tool, das Schwächen von Windows-Clients ausnutzt, um Active-Directory-Accounts zu kompromittieren.

Monatelang unbehelligt?

Dass die Bundestags-Server zum Zeitpunkt des Angriffs kein IDS-Systeme besaßen, dürfte den Angreifern ihre Arbeit erleichert haben. Der IT-Verwaltung fehlten offenbar die organisatorischen, technischen und personellen Mittel, um die Brücke zwischen modernem IT-Betrieb und Abgeordnetenrechten zu schlagen. Unter welchen Prämissen die an der Bundestag-IT tätigen externen Dienstleister, wohl ein Geflecht aus T-Systems, Science+Computing/Atos und Bull, arbeiten? Unklar.

Monatelang, mindestens aber von April und eventuell gar bis zur Abschaltung und zum Neuaufbau des Netzes im August konnten die Angreifer im Active Directory und im gesamten Netz tun und lassen was sie wollten. Sie konnten eigene, neue Benutzeraccounts anlegen und mit kompletten Rechten ausstatten. Über Wochen blieben sie unter dem Radar der IT-Verwaltung – die “komplexe Struktur des AD” machte das möglich, aber auch die viel zu geringe Personalausstattung der Referate und die dezentrale Verwaltung der Rechner.

Spätestens im Protokoll der 9. Sitzung des IuK-Kommission endet die Zeit des Kleinredens: Die Analyse habe ergeben, dass die bestehende Domänenarchitektur und die Administrationsumgebung einem Angriff über genau diesen Vektor nicht gewachsen gewesen seien. Zudem bestand die Möglichkeit, dass Angreifer Schadsoftware hinterlassen habe, die bislang unerkannte geblieben ist.

Der Neustart mit 128 000 Objekten im Directory

Als einzige Lösung blieb ein kompletter Neustart des gesamten Parlakom-Netzes in der Parlamentarischen Sommerpause. Außerdem regte das BSI an, den Internetverkehr des Bundestages zumindest teilweise über die Firewall-gesichten Bahnen des IVBB (Informationsverbund Berlin-Bonn, [10]) umzuleiten.

So verworren die Zuständigkeiten und so verschieden die Ziele der Akteure auch sind, nach dem Einbruch sind in einem Punkt alle einig: Wie bisher kann’s nicht weitergehen. Erste Modernisierungsmaßnahmen laufen an, auch wenn sie vorsichtig als “Empfehlungen” deklariert sind (30. Oktober und 2. November, Beschlussvorlagen für die 10. Sitzung der IuK-Kommission).

Die 9. Sitzung umriss die notwendigen Arbeiten nebst einer “speziell gehärteten Architektur” und der Erneuerung der kompromittierten Serversysteme. Das gesamte Vorgehen müsse neu entwickelt und geplant werden. Es seien circa 128 000 Objekte im Verzeichnisdienst zu bereinigen.

Seither gibt es auch neue Verhaltenregeln. So sollen alle Passwörter ab sofort mindestens acht Zeichen lang sein, normale Windows-Benutzer bekommen keine Administratorenrechte mehr und schon gar keine Adminberechtigungen in der Active-Directory-Domäne des Bundestages (Abbildung 5). T-Systems als Dienstleister will Adminrechte nur mehr streng zeitlich begrenzt erteilen und fordert Zweifaktor-Authentifizierung für solche Accounts.

Gleichzeitig erhält das Parlakom ein Monitoring sowie ein Intrusion Detection System (IDS) und ein “Schadsoftware Prevention System” (SPS). Für die Clients ergeht die Order, veraltete Software nicht mehr zu dulden und nicht mehr benötigte zu löschen.

Die neue Umgebung orientiert sich laut T-Systems an der von Microsoft ab 2016 empfohlenen Enterprise-Architektur [11], einem Schichtenmodell, wo “hochwertige Systeme wie der zentrale Domänencontroller besonders geschützt werden” (9. Sitzung). Eigene VLANs und nur definierte Administrationsclients sollen Angriffe wie den Bundestag-Hack vermeiden. Man setzt jetzt auf Chipkartenleser, das Entfernen nicht benötigter Softwarekomponenten, generelles Minimieren der Anzahl verwendeter Softwareprodukte, verbessertes Gerätemanagent sowie deutlich höhere Sensibilisierung der Anwender durch Schulungen.

Abbildung 5: Willkommen in der Moderne: Die Unterabteilung IT schlägt “Zeitnahe Maßnahmen zur Verbesserung der IT-Sicherheit” vor, zum Beispiel achtstellige Passwörter und begrenzte Adminrechte.

Sicherheit durch Überwachung?

Das neue SPS, eine Erweiterung der Genua-Firewall [12], soll das Aufrufen von URLs verhindern, die als gefährlich bekannt sind. Dass dafür der Internettraffic überwacht werden muss, stößt recht vielem sauer auf – ironischerweise auch Abgeordneten, die vor Kurzem noch für die Vorratsdatenspeicherung gestimmt haben. Der CDU-Abgeordnete Bernhard Kaster erklärt in der 7. Sitzung: Der Spannungsbogen, das Verfassungsorgan Deutscher Bundestag so sicher wie möglich zu machen und andererseits das freie Mandat des einzelnen Abgeordneten zu wahren, bedürfe einer politischen Entscheidung. Und: Der Bundestag als IT-System sei durchaus deutlich komplexer als einfache Behörden.

Wer die IuK-Sitzungsprotokolle liest, fragt sich zwangsläufig, warum niemand früher solche Fragen aufgeworfen hat. Vielleicht sind auch deshalb die Dokumente ausnahmslos unter Verschluss?

Offene Fragen am Tatort

Ist mit dem Parlakom-Neustart der Bundestag-Hack-Krimi vorbei? Keineswegs: Die Täter und ihre Motive sind noch völlig im Dunkeln. Auch andere Fragen bleiben: Gibt es jetzt einen Katastrophen-Aktionsplan? Welche Pläne gibt es für den laut BSI mit 50 Prozent wahrscheinlichen Fall, dass der Umbau die Hinterlassenschaft der Einbrecher nicht beseitigen konnte? Wurden im August die aktiven Netzwerkkomponenten geprüft oder getauscht? – ein Angreifer mit Rootrechten könnte dort eigene Firmware aufgespielt haben. Welche Kosten entstanden durch Umbau und Neustrukturierung?

Eigentlich, so Security-Experten, müsse eine unabhängige Behörde her, die solch komplexe Sachverhalte fachmännisch angeht. Wirtschaftsminister Gabriel sieht das anders: “Da hätte man dann nur wieder jemanden, den man noch schneller ans Kreuz nageln kann”, prophezeit er auf dem von seinem Ministerium veranstalteten IT-Sicherheitsforum im Januar 2016 in Berlin (Abbildung 6, [13]). Die Schuldfragen ersetzen die Lösungen.

Abbildung 6: Wirtschaftsminister und Vizekanzler Sigmar Gabriel (SPD) will mit dem von seiner Behörde veranstalteten IT-Securityforum Kompetenz in Sachen IT-Sicherheit zeigen.

Fazit

Dass die Spekulationen über Angreifer und Drahtzieher, über den genauen Ablauf sowie die technischen und menschlichen Ursachen des Bundestag-Hacks so zahlreich und schillernd sind [14], hat genau eine Ursache: Das beharrliche Schweigen der staatlichen Stellen und beteiligten Dienstleister nicht nur gegenüber der Presse, sondern auch gegenüber den unmittelbaren Opfern des Cyberangriffs: den Bundestagsabgeordneten.

Dieser Artikel wirkt dem mit Recherche entgegen. Nunmehr lässt sich festhalten, dass ein durch gegenläufige Interessen und Zuständigkeiten geschwächtes Zugriffsrechte-Management in Kombination mit einer Sicherheitsarchitektur, die zum Zeitpunkt des Angriffs in weiten Teilen vormoderne Züge trug, es den Crackern einfach gemacht hat.

Knapp ein Jahr danach ist der Wille deutlich erkennbar, alles besser – sprich sicherer – zu machen. Die weiterhin vorherrschende Null- oder gar Desinformationspolitik der Zuständigen sowie die unklare Rolle von Geheimdienst und Innenministerium entziehen den Neuaufbau der Parlaments-IT jedoch der öffentlichen Kontrolle durch die Bürger, also den Souverän. Das macht misstrauisch. Das Linux-Magazin wird darum versuchen an dem Thema dranzubleiben und ruft mit der Materie vertraute Personen auf, ihr Wissen um Misstände, aber auch Fortschritte mit der Reaktion zu teilen (siehe Kasten “Schweigekartell”).

Der Autor

Markus Feilner ist ein Linux-Spezialist aus Regensburg, der seit 1994 mit dem freien Betriebssystem als Autor, Trainer, Security Consultant und Journalist arbeitet. Der Conch-Diplomat, Minister der Universal Life Church, Jedi-Ritter und Enceladus-Bürger #4 leitet heute das Dokumentationsteam bei Suse in Nürnberg.