Kommentar zur aktuellen IT-Panne beim Zoll

Nachdem der deutsche Qualitätsjournalismus bei dem Thema gerade wieder komplett versagt, kann ich mir einen eigenen Kommentar nicht verkneifen.

Zunächst mal zum allgemeinen Teil, im Focus Artikel Angriff auf Zoll-Computer — Hacker überlisten Antiviren-Software wird ein “hoher Sicherheitsbeamter” wie folgt zitiert:

Das ist so ziemlich das Schlimmste, was passieren konnte

hmm, also mal ehrlich! Wenn man sich das mal genau überlegt sind die Auswirkungen aus meiner Sicht doch eher mit das Beste was der betroffenen Behörde passieren konnte. Was wäre passiert wenn das Wissen über diese Sicherheitslücke an “echte Kriminelle” verkauft worden wäre? Was würde eine Terror-Organisation wohl dafür bezahlen? Oder die Mafia? Oder “die Hacker aus China”?

Dann mal weiter mit den technischen Details die man in der Presse lesen konnte. Bei XAMPP von Billig-Software zu sprechen ist schon mal nicht gerechtfertigt, richtig ist das die Software für diesen Einsatzzweck nicht gedacht ist. Mit Antiviren-Software hat XAMPP nun aber überhaupt nicht zu tun. Witzig ist ja noch das ausgerechnet 42 Trojaner auf den Festplatten gefunden wurden.

Die IT-Panne zeigt aber nicht zuletzt mit wieviel heisser Luft die kollektive Terror-/Cyberwar-Panik geführt wird! Es sollen ja schon die ersten Hacker identifiziert sein, da werden uns in den nächsten Tagen bestimmt ein paar 16-jährige Script-Kiddies vorgeführt werden. Und für die brauchen wir dann ein Terror- und ein Cyber-Abwehrzentrum mit BKA, BND und tralla?

Man sieht hier schon das unsere Bundesbehörden auch nur mit Wasser kochen, und manchmal ist das Wasser halt nur lauwarm. Viel interessanter wären eigentlich folgende Fragen:

  • Warum hängt so ein Server eigentlich direkt im Internet?
  • Wenn der Server schon im Internet hängt, warum prüft dann niemand in der Behörde ob evtl. mehr Dienste nach aussen zugänglich sind als eigentlich erforderlich (sowas lässt sich automatisieren)?
  • Die PATRAS-Server sind vermutlich nur die Spitze des Eisbergs. Nachdem die Angreifer Zugang zu den Servern hatten, konnten sie diese als Sprungbrett für weitere Angriffe benutzen. Z.B. auf interne Systeme ohne direkte Internetanbindung. Und die internen Systeme sind erfahrungsgemäß noch schlechter geschützt als die externen 🙂 Wo hatten die Angreifer als noch Zugang?

Falls sich jemand jetzt noch frägt wie die Angreifer überhaupt die PATRAS-Server gefunden haben. Dies war vermutlich einfacher als der IT-Laie es sich vorstellen kann. Ich hatte es hier ja schon ein paar mal von IP-Nummern (Wie funktioniert DNS? / Wo steht der Server?). Diese IP-Nummern werden meist in fortlaufenden nummerierten Blöcken vergeben. Ein 16-jähriger Schüler mit etwas zuviel Zeit und Spieltrieb kann mit der WHOIS Datenbank interessante IP-Nummern Blöcke (Net-Blocks) ermitteln. Diesen Block von IP-Nummern kann man anschließend automatisiert auf die dort installierten Dienste scannen. Eine Installation wie XAMPP ohne Absicherung fällt spätestens auf dieser Stufe auf. Verantwortungsvolle Unternehmen machen übrigens solche Scans ihrer IP-Nummern regelmäßig oder beauftragen externe Dienstleister dafür. Hat man solch ein System dann erstmal gefunden ist der eigentliche Angriff mit etwas Kreativität und mit google.de keine grosse Sache mehr.

Was bleibt als Fazit von dieser IT-Panne? Merkt Euch diese IT-Panne für den Fall das Euch ein Politiker erzählen will die IT-Systeme der Regierung wären sicher und nicht zu knacken! Das war jetzt ein IT-System von Strafverfolgungsbehörden die ein direktes Interesse daran haben das ihre Daten geheim bleiben. Wie gut sind dann wohl die Server von anderen Behörden geschützt die noch viel weniger Budget und Interesse für Sicherheit haben?