Wir haben mit Sandro Gaycken vom Institut für Computerwissenschaft der FU Berlin über den Vorfall gesprochen. Er hat uns erklärt, wie ein Trojaner-Angriff eigentlich abläuft und was man wirklich tun müsste, um sicherzugehen, dass die Software restlos unschädlich gemacht wird.
WIRED: Wie läuft ein typischer Trojaner-Angriff eigentlich ab?
Sandro Gaycken: Der risikofreiste Weg für den Angreifer — wenn ich von einem Hochsicherheitsziel ausgehe — ist es, über den E-Mail-Verkehr einzudringen. Die Angreifer können sich den E-Mail-Verkehr zwischen dem eigentlichen Ziel und seinen eigenen oder fremden privaten Mail-Accounts anschauen. Viele Nutzer verschicken ja auch Privat-Mails von ihrem Dienst-Account. Und dann dringt man eben in solch einen Privat-Account ein — was in der Regel relativ einfach ist — und übernimmt ihn.
WIRED: Diesen Privat-Account nutzt man dann für den Angriff?
Gaycken: Man nimmt zum Beispiel echte Dokumentvorlagen aus dem E-Mail-Verlauf und baut in die Word-Vorlage einen Windows-Exploit ein. Die injiziert man dann wieder in den E-Mail-Verkehr.
Es ist wahrscheinlich, dass das ein Nachrichtendienst war.
WIRED: Gibt es noch andere Methoden?
Gaycken: Es gibt noch einen Weg, den wir oft in Geheimbereichen sehen: über einen Innentäter reinkommen. Das heißt, sie haben jemanden erpresst oder angeheuert — oder einen Sympathisanten unter den Mitarbeitern oder Abgeordneten. Dem geben sie ein Kabel, einen USB-Stick oder eine Tastatur mit, die er an das geschlossene Netzwerk anschließt. Da sind dann vorgefertigte Angriffe drauf, die sich verbreiten und ein eigenes Darknet installieren.
WIRED: Ist der Angriff von innen leichter als der von außen?
Gaycken: Der Angriff von innen ist eigentlich schwieriger. Da muss man das Netzwerk sehr genau kennen und den Angriff präzise bauen. Man hat keinen Feedback-Kanal, mit dem man den Angriff besser steuern kann. Ich kenne einige Angriffe, die da sehr gut funktioniert haben. Aber man weiß nicht genau, ob die einen Innentäter hatten, der als Laie den Angriff immer wieder betreut hat, oder es einfach gutes Engineering war. Beides ist wahrscheinlich.
WIRED: Ist das Neuaufsetzen des Systems, wie es im Bundestag geplant ist, überhaupt eine wirksame Methode, um einen Trojaner loszuwerden?
Gaycken: Kommt darauf an, wie man es macht. Normalerweise muss man alles einmal komplett löschen und resetten, auf möglichst tiefen Systemebenen, so richtig drüberschrubben. Dann kann ich es wieder in Betrieb nehmen. Ich darf aber nicht den Fehler machen — wenn der Angriff zum Beispiel über ein infiziertes Word-Dokument kam —, diesen Angriff einfach nur kurz auszulagern und dann auf dem zurückgesetzten Computer wieder neuaufzusetzen.
WIRED: Also einfach alles löschen ist keine Verzweiflungstat, sondern der beste Weg?
Gaycken: Eigentlich müsste man zuerst alle Instanzen des Angriffs finden — was sehr schwierig ist, weil ein cleverer Angreifer natürlich mehrere heterogene Instanzen aufbaut, wenn er erst mal drin ist. Er hat also nicht einen Angriff, sondern fünf oder sechs verschiedene. Und man muss sie alle finden, die Ursachen und alle Türchen, die er sich gebaut hat. Erst dann kann man das System neu aufsetzen. Sonst besteht die Gefahr, dass ich das System zwar komplett resette, der Zustand aber einfach wieder der alte ist.
WIRED: Traust du der IT des Bundestages zu, dass sie es schafft?
Gaycken: Ich glaube nicht, dass sie es hinkriegen im Bundestag. Ich kenne das von Großkonzernen, bei denen ich Ähnliches betreut habe. Das war ein Prozess, der Monate gedauert hat. Da hatten ganze Standorte kein Internet. Das hat zig Millionen gekostet. Das ist auf keinen Fall trivial. Wenn man ein Problem in der Größenordnung hat, tut das richtig weh.
Was der Bundestag jetzt macht, ist meiner Meinung nach bloß Aktionismus.
WIRED: Wenn sie also alles ordentlich fixen wollen, würde das bedeuten, dass der Bundestag monatelang kein Internet hat?
Gaycken: Ja, genau.
WIRED: Einfach neue Hardware kaufen ist keine Alternative?
Gaycken: Man muss trotzdem herausfinden, was passiert ist, wie es passiert ist, wo es passiert ist. Damit es sich nicht wiederholen kann. Der Angreifer repliziert sonst einfach seinen Angriff und ist wieder drin.
WIRED: Wo kann sich der Trojaner überall eingenistet haben?
Gaycken: In allen Haussystemen, allen Laptops, allen Handys. In allem, was mit diesem System verbunden war. Andere Instanzen können sich überall verstecken.
WIRED: Wie viel Zeit braucht man, um ihn restlos zu entfernen?
Gaycken: Alles komplett neu aufzusetzen dauert schon ein paar Monate. Das werden die nicht hinkriegen. Was die machen, ist meiner Meinung nach bloß Aktionismus. Die wissen eigentlich, was sie zu tun hätten, aber das ist so unrealistisch, dass sie einfach nur das tun, was sie machen können, ohne dass die Bundestagsabgeordneten vor Schmerzen schreien. Da darf der Internetverkehr nicht länger als einen Tag ausfallen. Und dann hoffen sie, dass der Angreifer dadurch raus ist — was vermutlich nicht der Fall ist.
WIRED: Wenn jetzt also die Parlamentspause vorgezogen wird, um das Problem zu beheben, reicht dieser Zeitraum dafür?
Gaycken: Das wäre schon sehr knapp bemessen und da müsste man auch sehr, sehr viele Experten haben. Ich weiß nicht, ob ich das dem BSI zutrauen würde. Die haben schon gute Leute, aber nicht so viele, um das alles auszutauschen.
WIRED: Welchen Schaden kann so ein Trojaner anrichten?
Gaycken: Der Angreifer richtet nicht Schaden im konventionellen Sinne an. Der will da einfach nur sitzen und Daten abgreifen.
WIRED: Erwartet uns also der Sony-Hack des Deutschen Bundestags? Wird in ein paar Tagen der komplette Mailverkehr des Bundestags — bis zum letzten Hinterbänkler — im Netz veröffentlicht?
Gaycken: Das wäre durchaus möglich. Wahrscheinlich war das aber ein Nachrichtendienst, der das dann lieber für sich behält und auswertet. Es sei denn, die Publikation nützt ihm politisch.
WIRED: Wie viele Daten kann der Angreifer mitgenommen haben?
Gaycken: Das kann man nicht sagen. Das hängt von den Taktiken der Angreifer ab. Ob sie gezielt vorgehen oder Bulk-Collection machen. Ob sie vorher bestimmte Targets ausgesucht haben, zum Beispiel einen bestimmten politischen Prozess. Sehr gute Angreifer wie die NSA suchen sich vorher ganz genau heraus, welchen Prozess sie infiltrieren wollen, um das Risiko des Auffallens zu verringern. Je mehr ich mache, desto höher ist das Risiko, dass eine Maschine crasht, einer nachguckt und den Eingriff findet.
WIRED: Wie ist deine Einschätzung: Kann so ein Angriff gegen den Bundestag von einer Einzelperson durchgeführt werden, oder braucht man dafür einen Geheimdienst?
Gaycken: Es kann sein, dass es eine Einzelperson war, die Glück hatte und dazu noch sehr gut ist. Das kann schon mal vorkommen. Aber normalerweise braucht man dafür ein Team. Man muss vier, fünf Experten haben und ein, zwei richtig gute Hacker, Wizards genannt. Dann kannst du so ein Ding bauen. Und unter Umständen einen Nachrichtendienst, um einen Innentäter einzuschleusen.
WIRED: Es liegt also nahe, dass es kein Einzeltäter war?
Gaycken: Es ist wahrscheinlich, dass das ein Nachrichtendienst war.
