Falk Dübbert

Der Bundestag ist von einem Trojaner befallen und die Bundestags-IT bekommt es nicht in den Griff. Jetzt soll ein Hardware-Tausch es richten und Lammert wirft mal wieder Nebelkerzen.

Für jemanden, der in der IT-Administration arbeitet ist es schon “erstaunlich”, was da im Bundestag abläuft.

Während nun Hardware getauscht werden soll, wird auf der anderen Ecke (Lammert) verkündet, das seit 14 Tagen keine Daten mehr abgeflossen seien. Der Hardware-Tausch würde nur Sinn machen, wenn man die Nicht-Kompromittiertheit der Systeme nicht gewährleisten kann.

Normalerweise reagiert man als Administrator auf einen Befall mit Isolation der betroffenen Systeme, Lockdown des gesamten Netzes (umbiegen des MX-Eintrags auf einen externen Mailserver, den man zur Not gerade aus dem Boden stampft), Einsenden von Samples an den Virenschutzprovider, Ablaufen lassen aller Passwörter und im Extremfall übertragen gereinigter Daten auf als “sauber” bekannte Systeme und Neubau der Struktur. Dann macht ein Hardware-Tausch Sinn und nur dann. In sofern muss eine der Aussagen falsch sein.
Kritisch wird es, wenn man mit großen Datenbanken arbeitet und dort Datenobjekte nicht einfach validierbar sind, z.B. weil sie verschlüsselt sind. Aber selbst dann kann man die Tablespaces buchungsweise auf frische Systeme übertragen.

Ich kenne nur öffentlich zugängliches und below-NDA Lagerfeuergeschichten von einigen Dienstleister-Mitarbeitern über die Bundestags-IT. Allerdings scheint mir die Bundestags-IT

a) ziemlich “gewachsen” zu sein

a1) es an grundlegender Sicherheitstruktur zu fehlen.

b) der Brei zu viele Köche zu haben

c) der Grundschutz-Katalog des BSI nicht mal in einer entschärften Version umgesetzt zu sein

 

a) Scannt man die bekannten IP-Bereiche des Bundestags bekommt man Antworten von sage und schreibe 11 unterschiedlichen Hardware-Systemen unterschiedlichster Hersteller, zum Teil sind die Self-Service-Portale noch auf den Standard-Ports. Das würde nur dann Sinn machen, wenn man Bandbreiten verteilen muss und selbst dann ist ein Firewall-Cluster eines Herstellers sicherer.
Die Sicherheit erhöht sich nur dann, wenn man hinter dem Perimeter-Gateway weitere Firewalls in REIHE schaltet. Parallel geschaltet addieren sich die Schwachstellen.

a1) Angeblich kam der Trojaner durch einen Link in einer E-Mail. Das ist, mit Verlaub, kein gutes Zeugnis für den Admin dort. Selbst der von mir in No-Budget/Wasted-Brief-Projekten eingesetzte Mailscanner vermag es, Links zu prüfen und mit Hinweisen in knalligen roten Buchstaben zu ersetzen. In anderen Projekten strippt eine Transport-Regel im Exchange die Links aus den Mails. Darüber hinaus darf das Userland in meinen Netzen nichts ausführbares herunterladen und der Rest wird auch geprüft.

b) Ich weiß von mindestens drei großen Systemhäusern, dass sie gleichzeitig an der Bundestags-IT mitwirken oder mitgewirkt haben und das SAP selbst im Boot sitzt. Das ist per se nichts schlechtes, aber der Bundestag ist ein Büro-lastiges Netz. Es wird nichts produziert oder verkauft. Damit fragt man sich schon, was die alle dort wollen.

c) Der Trojaner soll nun auch Administrator-Konten gekapert haben. Das finde ich in zwei Punkten interessant. Denn normalerweise würde man bei Netzen dieser Größer erwarten, dass die (Windows-)Administratorkonten überwacht werden (das haut dann die Logs mit “Erfolgsüberwachung” zu).
Es sollte also ein leichtes sein, betroffene Konten zu erkennen und deren Passwörter zu ändern. Offenbar scheint der Bundestag aber sowas die “das Administratorkonto” zu haben, das weder horizontal noch vertikal eingeschränkt ist.

Ich gehe mittlerweile davon aus, dass die Freigiebigkeit, mit der man das Totalversagen eingesteht, nur deswegen existiert um etwas weitaus größeres zu verrauschen. Das mit der Frauen-Fußball-WM haut ja nicht hin.

Update:

Den Nachfragern zuliebe: Mein Punkt ist einfach. Irgendwann muss ich als Admin auch auf meine Fachkompetenz pochen und selbst wenn Madame Chefin von Deutschland ist, das Netz im Falle einer Infektion ausschalten.
Dazu traut man sich nicht, obwohl der Bundestag außer heißer Luft nichts produziert. E-Mail und Webzugänge laufen weiter wie bisher. Screenshots aus dem Bundestags-Intranet sehen für mich aus, als wären da Voll-Amateure am Werk. Ich hätte bei der Sicherheitsanforderung erwartet, dass man mit Top-Notch-Sicherheitstechnologien zum Beispiel Dokumentensystemen mit Client-Zertifikaten auf Keycards arbeitet, bei dem auch die lokalen Storages verschlüsselt sind. Immerhin hantiert man mit Unterlagen jenseits von “streng geheim”, aber anscheinend kann man sich am SMTP als jeder interne Absender ausgeben.