![\"Der](\"https:\/\/www.m-q.ch\/wp-content\/uploads\/2021\/02\/Der-technische-Bericht-zum-Spionagefall-Ruag.jpg\")
<\/p>\n<\/p>\n
<\/p>\n
<\/p>\n
Der Bericht der Melde- und Analysestelle Informationssicherung Melani, welcher Ende Mai 2016 publiziert wurde (siehe Textende), bringt wenig neue Erkenntnisse zum Vorschein \u2013 in erster Linie konzentriert er sich auf technische Punkte. Etwa, dass die Angreifer eine seit mehreren Jahren kursierende Schadsoftware der Turla-Familie benutzten. Diese Malware hatte h\u00f6chstwahrscheinlich die Ruag-Informatik \u00fcber Jahre infiltriert. Der technische Bericht unterstreicht explizit: \u00abDie Angreifer zeigten viel Geduld bei der Infiltration und dem weiteren Vordringen. Sie griffen nur Opfer an, an denen sie Interesse hatten, mit verschiedenen Massnahmen wie das Aussp\u00e4hen von IP-Lists (\u2026).\u00bb<\/p>\n
<\/p>\n
Einmal im Netzwerk eingedrungen, verteilte sich die Malware seitw\u00e4rts, \u00abindem sie weitere Ger\u00e4te infizierte und h\u00f6here Privilegien erlangte.\u00bb<\/p>\n
<\/p>\n
Solche Erkenntnisse \u00fcber die Spionage \u00fcber den Schweizer R\u00fcstungskonzern Ruag sind f\u00fcr Sicherheitsexperten jedoch nur bedingt zufriedenstellend. Der Bericht zeigt zwar den technischen Ablauf der Ereignisse von September 2014 bis Mai 2016, l\u00e4sst aber auch viele Punkte \u2013 etwa welche sensiblen Daten auf Bundesebene gestohlen wurden \u2013 offen.<\/p>\n
Vor 2014 kein \u00dcberblick gegeben <\/strong> <\/p>\n Bis auf die Spione selber weiss kein Sicherheitsspezialist, wann und wie sich die \u00abInfektion\u00bb erstmals einnistete. Die Eruierung dieses gr\u00f6sseren Spionageangriffs ist komplex. Einzig das verschollene Datenvolumen kann abgesch\u00e4tzt werden. Laut Melani wurden genau 23 Gigabyte gestohlen. Die beauftragten IT-Experten k\u00f6nnen jedoch keine weiteren Schl\u00fcsse ziehen.<\/p>\n <\/p>\n \u00abDie Menge der transferierten Daten gibt keine Auskunft \u00fcber deren Vertraulichkeit oder den Wert der gestohlenen Daten\u00bb, wurde Pascal Lamia, Leiter der Melde- und Analysestelle des Bundes, bei insideit. ch zitiert. Experten kritisieren die verkn\u00fcpften Aktivit\u00e4ten zwischen der Ruag und der IT des Bundes. Einige Insider meinen jedoch, man h\u00e4tte Sicherheitsmassnahmen, beispielsweise entsprechende Virenblocker, viel fr\u00fcher installieren m\u00fcssen.<\/p>\n <\/p>\n Pascal Lamia, der IT-Securitybeauftragte des Bundes, verteidigt jedoch die Ruag, die internen Sicherheitsverantwortlichen h\u00e4tten vor 2016 nicht notieren k\u00f6nnen, was ihre Rechner infiziert haben d\u00fcrfte. Der Melanie-Bericht verdeutlicht: Erst Anfang Februar 2016, also erst nach mehreren Monaten, wurde der Cyberangriff entdeckt und spezifische \u00dcberwachungssoftware installiert.<\/p>\n <\/p>\n Im Bericht findet man auch eine Grafik der t\u00e4glich abgezogenen Datenmengen. Diese zeigt zwischen September 2014 und Mitte 2015 nur wenig Aktivit\u00e4ten. Die meisten Daten wurden zwischen September 2015 und Januar 2016 auf die von den Angreifern verwendeten \u00abCommand & Control\u00bb-Server (C&C) transferiert. Danach bricht die Aktivit\u00e4t aber pl\u00f6tzlich ab \u2013 also genau zu dem Zeitpunkt, als der Angriff entdeckt und \u00dcberwachungssoftware installiert wurde.<\/p>\n Admin-Verzeichnis betroffen? <\/strong> <\/p>\n Dabei handle es sich um eine Art Telefonverzeichnis, mit Namen, Vornamen, Funktion und Arbeitsplatz, also um rein gesch\u00e4ftliche Daten \u2013 so das VBS gegen\u00fcber sda. Eine Agenda sei nicht enthalten. Auch gebe es darin keine pers\u00f6nlichen Daten. So sei beispielsweise nicht ersichtlich, wo jemand wohne.<\/p>\n <\/p>\n Wie man darauf schliesse, dass die Ruag-Spione gerade diese relativ unsensiblen Daten abgegriffen haben \u00abd\u00fcrften\u00bb, mochte kein Sicherheitsverantwortlicher des Bundes weiter ausf\u00fchren.<\/p>\n Bundesrat forciert Untersuchung <\/strong> <\/p>\n Bei der Ruag wurde h\u00f6chstwahrscheinlich versucht, IP-Adressen auszusp\u00e4hen. Wie der technische Bericht weiter ausf\u00fchrt, geriet das Active Directory in den Fokus, um die Kontrolle \u00fcber weitere Ger\u00e4te zu erlangen, um Berechtigungen oder Gruppenzugeh\u00f6rigkeiten f\u00fcr den Zugriff auf weitere interessante Datenspeicher zu stehlen. Auf der Grundlage eines Sicherheitberichts hat ein Ausschuss dem Bundesrat die Annahme von 14 kurz- und mittelfristigen Massnahmen vorgeschlagen. Diese sollen die Risiken von Datendiebstahl in Bezug auf Informationen oder Personen eliminieren. Aus Sicherheitsgr\u00fcnden werden Einzelheiten zu den Massnahmen nicht kommuniziert.<\/p>\n <\/p>\n Auf dem Portal der Melde- und Analysestelle Informationssicherung MELANI gibt es eine deutsche Zusammenfassung sowie einen ausf\u00fchrlichen technischen Bericht (nur in Englisch). www.melani.admin.ch<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Der Bericht der Melde- und Analysestelle Informationssicherung Melani, welcher Ende Mai 2016 publiziert wurde (siehe Textende), bringt wenig neue Erkenntnisse zum Vorschein \u2013 in erster Linie konzentriert er sich auf technische Punkte. Etwa, dass die Angreifer eine seit mehreren Jahren kursierende Schadsoftware der Turla-Familie benutzten. Diese Malware hatte h\u00f6chstwahrscheinlich die Ruag-Informatik \u00fcber Jahre […]<\/p>\n","protected":false},"author":66,"featured_media":11816,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[4],"tags":[4785],"class_list":["post-11799","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-risikomanagement","tag-09-2016"],"acf":[],"yoast_head":"\n
\nDie Ruag-Systeme seien seit mindestens September 2014 infiziert, heisst es. Wie Melani\/GovCERT jedoch hinweist, existieren bei Ruag keinerlei Proxy-Logfiles f\u00fcr die Zeit vor September 2014. Indes, schon in den ersten kontrollierten Files h\u00e4tten Experten von Melani Anzeichen gefunden, dass die Turla-Infizierung schon fr\u00fcher stattgefunden hat.<\/p>\n
\nObwohl also keinerlei Erkenntnisse zum Inhalt oder Wert der abgegriffenen Daten vorliegen, erkl\u00e4rte das Eidgen\u00f6ssische Department f\u00fcr Verteidigung VBS in einer begleitenden Pressemitteilung zum technischen Bericht, dass \u00abauch Daten aus dem Admin-Verzeichnis \u00bb darunter sein d\u00fcrften, \u00abwelches die Outlooksoftware der Bundesverwaltung speist.\u00bb<\/p>\n
\nDie ersten Trojaner der Malware- Familie Turla kennt man laut Insidern bereits seit 2007. Der kursierende Angreifer, welcher diese Art Schadstoffware ben\u00fctze, habe im letzten Jahrzehnt schon viele Regierungsorganisationen, aber auch Privatunternehmen unterwandert. Man darf hierbei jedoch von politischer Spionage ausgehen, weil nur private oder \u00f6ffentliche Subjekte infiziert wurden, die spezielle Informationen \u00fcber Forschungs- oder R\u00fcstungsdaten hegen.<\/p>\n