Sicherheit

Cyber-Angriffe auf die öffentliche IT-Infrastruktur

© Uli-B
Sensitive Datenbestände im Rahmen des  deutschen E-Government

Im Rahmen des E-Government wird bei deutschen Behörden eine Vielzahl von Registern mit höchst sensitiven, Personen- oder betriebsbezogenen Datenbeständen IT-gestützt geführt. Wie Vorfälle in der Vergangenheit gezeigt haben, sind diese Systeme Angriffen aus dem digitalen Raum ausgesetzt.

Das Gemeinsame-Dateien-Gesetz (BGBl. I vom 30. Dezember 2006, S. 3.409) ist am 31. Dezember 2006 in Kraft getreten. Mit diesem Gesetz wurden die rechtlichen Grundlagen für die Einrichtung gemeinsamer Projektdateien von Polizei und Nachrichtendiensten geschaffen. Durch diese Formen gemeinsamer Dateien wird die Zusammenarbeit der Sicherheitsbehörden gezielt unterstützt und der Informationsaustausch verbessert. Derzeit werden durch die Behörden Deutschlands mehr als 197 überaus sensitive Dateien betrieben. Diejenigen von Unternehmen aller Art, Banken, Versicherungen, Auskunfteien sowie sonstiger Unternehmen einschließlich der Telekommunikationsdienstleister, sind hierbei  noch nicht berücksichtigt

Bundesbehörden als Ziel von Ausspähungsbemühungen

Neben den Sicherheitsbehörden des Bundes, u.a. BND, BKA, BfV, MAD, GBA verfügen auch die Sicherheitsbehörden der Länder über umfangreiche Datenbestände höchst sensitiven Inhalts, so zum Beispiel das polizeiliche Informationssystem INPOL oder weitere Kooperationsplattformen der Sicherheitsbehörden des Bundes und der Länder wie auch das “Nachrichtendienstliche Informationssystem NADIS“. Auch die Bundesfinanzverwaltung betreibt im Rahmen des Zollfahndungsdienstes entsprechend sensitive Dateien. Die Ministerien und nachgeordneten Verwaltungsebenen führen umfangreiche Dateien unterschiedlichen Gefährdungsgrades.

Datenbestände des Bundes und der Länder

Der Bund allein verfügt über 54 Bundesämter und Bundesanstalten, darunter das Bundesverwaltungsamt, das Bundesamt für Finanzen-BAFIN, Bundesamt für Migration und Flüchtlinge, Bundesamt für Wirtschaft und Ausfuhrkontrolle, die Bundeszentrale für Steuern, deren Datenbestände als höchst sensitiv betrachtet werden können. Die Datensammlungen der Länderbehörden, nach teilweise unterschiedlichen Standards und Systemen geführt, sind hierbei noch nicht berücksichtigt.

Datensammlungen der  deutschen Finanzbehörden

Das Informationssystem des Zolls mit der Bezeichnung „INZOLL“ wird beim Zollkriminalamt (ZKA) in Köln geführt. Im System „EURIS“ des Zolls werden sonstige, offenbar aus öffentlich zugänglichen Quelle verfügbare Informationen zur Unterstützung der Zollfahndung gespeichert. In einer Reihe von Amtsdateien (VGH – Geldwäsche, COLUMBUS – Auswertedatei OK, KOBRA-Verstöße gegen das Außenwirtschaftsgesetz (AWG) und Kriegswaffenkontrollgesetz (KWKG), MAR/YACHT-INFO-Maritime Überwachung, CARGOINFO – Analysen zum Fracht- und Kurierverkehr, BALKAN-INFO, BAROCK-W – organisierte Kriminalität, SAMBA – Außenwirtschaftsgesetz, ProFis – Finanzkontrolle Schwarzarbeit. Im Rahmen der institutionalisierten Zusammenarbeit werden Daten mit der EU ausgetauscht. Dies umfasst auch die Überprüfung von personenbezogenen Daten im Rahmen des Außenwirtschaftsgesetzes AWG. Die Steuer- und Finanzbehörden betreiben eigene Datenbanken für die Erfüllung der ihnen übertragenen Aufgaben, so z.B. die Länderfinanzbehörden (Steuernummer, Steuererklärung mit entsprechendem Abgleich der Erklärungen in einem System, um Unregelmäßigkeiten zu entdecken), das Bundesamt für Finanzen (Renten- und Pensionsbezüge).

Renten- und Pensionsträger verknüpfen ihre personenbezogenen Daten mit denen der Steuerverwaltung. Banken melden Verdachtsanzeigen im Rahmen des Geldwäschegesetzes u.ä. Allerdings wurde der elektronische Einkommensnachweis „ELENA“ nicht eingeführt. Mit der Einführung des elektronisch lesbaren Reisepasses und des elektronischen Bundespersonalausweises mit biometrischen Daten und Verwaltungsfunktionen (Elektronische Unterschrift) ergeben sich neue, noch nicht absehbare Verknüpfungsmöglichkeiten. Dies gilt auch für die geplante „elektronische Gesundheitskarte“ und den darauf zu speichernden Patientendaten und ärztlichen Verordnungen (Rezepte) und die möglicherweise  in nicht sichereren Clouds gespeicherten Patientendaten.

Das Elster-Verfahren und sein Gefahrenpotenzial

Seit 2005 sind Arbeitgeber verpflichtet, ihre Lohnsteuer-Anmeldungen, Umsatzsteuer-Voranmeldungen und Lohnbescheinigungen elektronisch über das System ELSTER abzuwickeln. Mit Hilfe geeigneter Programme werden die im Rahmen von Elster geforderten Daten geprüft, komprimiert und verschlüsselt über das Internet an eine der zwei Clearingstellen der Finanzverwaltung übermittelt. Von dort werden die Daten über Internet an das zuständige Steuerrechenzentrum des Bundeslandes (Landeskopfstelle) übermittelt. In den 16 Rechenzentren werden die Daten in die dort üblichen Datenformate umgewandelt und in die Datenbank eingespeist. Soweit bekannt, wurde dieses Verfahren durch das BSI im Jahre 2010 zertifiziert. Daneben verfügt die Bundeszentrale für Steuern auf Grund gesetzlicher Vorschriften auch über Angaben über:

Beiträge zur gesetzlichen Krankenversicherung, Pflegeversicherung, Kapitalerträge eines jeden Steuerbürgers. Diese Daten können im Rahmen der Einkommenssteuer-Veranlagung durch den Steuerbürger bei der Finanzbehörde abgerufen werden, sofern sich der Steuerbürger zu diesem Verfahren anmeldet. Die Bundesanstalt für Finanzdienstleistungsaufsicht und das Bundeszentralamt für Steuern verfügen im Rahmen des „automatisierten Abrufs von Konto-Informationen“ über ein geeignetes Kontrollinstrument, um Kontendaten abzufragen. Damit erhält eine Vielzahl von Behörden die Möglichkeit, Kontendaten abzufragen. Auch hier bieten sich Möglichkeiten für einen fremden Dienst, in diese Datenbestände einzudringen, diese zu manipulieren oder gar zu vernichten oder für Anbahnungsversuche zu nutzen.

Sonstige Stellen in Deutschland mit Zugriff auf sensitive, personenbezogene Daten

Deutsche Behörden haben im Rahmen ihrer Befugnisse auch Zugriff auf eine Reihe von Datensammlungen, so z.B. Verbindungsdaten der Telekommunikationsdienstleister, Kreditkartendaten, Kontendaten, Fluggastdaten, Finanztransaktionsdaten im Rahmen des SWIFT-Abkommens oder anderer, bilateraler Abkommen (z.B. Doppelbesteuerungsabkommen).

Die Staatsanwaltschaften führen eigene Datenbanken, so z.B. ZSStV (Verfahrensdatenbank), BZR – Bundeszentralregister, SISY – eingeleitete Verfahren, MESTA Vorgangsbearbeitung auf Länderebene. Die Bundesanwaltschaft führt u.a. folgende Register: Bundeszentralregister – BZR, Erziehungsregister, Gewerbezentralregister u.a. Soweit bekannt, sollen die Register in die Zuständigkeit des Bundesamtes für Justiz überführt  werden. Daneben wird auch das Zentrale Verkehrsinformations-System – ZEVIS (Flensburg) und eine Reihe anderer Datensammlungen betrieben. Nicht berücksichtigt wurden TOLLCOLLECT und andere Dateien, die teilweise von kommerziellen Unternehmen, so z.B. Schufa, Creditreform oder anderen Unternehmen, geführt werden, auf die aber Behörden im Einzelfall auf Grund richterlicher Anordnung Zugriff erhalten können. Nicht erst nach dem Auftreten der Schadsoftware (Malware) mit der Bezeichnung STUXNET, DUQU und FLAME wird deutlich, wie gefährdet komplexe Datenbanksysteme durch externe Eingriffe sein können. Der kürzlich im Umfeld des Bundeskanzleramtes entdeckte Trojaner mit der Bezeichnung „REGIN“ unterstreicht nochmals, welche Bedeutung die deutsche Regierungskommunikation für fremde, auch befreundete Nachrichtendienste nach wie vor hat.

Auch die zunehmende Abfrage von personenbezogenen Daten durch Behörden aller Art in Registern der Wirtschaft, hier insbesondere bei Banken, Versicherungen und IT-Dienstleistern  und  deren Vernetzung mit behördlichen Datensammlungen und Registern  unterstreicht die wachsende Gefährdung derartige Datensammlungen durch Zugriffe Unbefugter. Dies wurde bereits in den Jahren bis 1990 durch die Hauptabteilung III (Spezialfunkdienste) des damaligen Ministeriums für Staatssicherheit (MfS) der DDR eindrucksvoll bewiesen.

Gefährdung des Nationalen Waffenregisters

Nicht zuletzt das vom Bundesverwaltungsamt geführte „Nationale Waffenregister“ stellt ein möglicherweise bevorzugtes Ziel von Ausspähungsbemühungen dar. Wenngleich für die Übermittlung der Daten ausschließlich Verwaltungsnetze genutzt werden sollen, erscheint ein Zugriff Unbefugter mit Hilfe entsprechender Verfahren durchaus im Bereich des Möglichen. Dem Register sind 551 örtliche Waffenbehörden angeschlossen. Dabei ist davon auszugehen, dass diese nicht an VPN- Verwaltungsnetze angebunden sind sondern für die Datenübermittlung das Internet nutzen.

Datenabgabe an Behörden der Vereinigten Staaten

Im Rahmen eines bilateralen Abkommens mit den USA[i] werden im Rahmen des Passenger Name Record (PNR) eine Vielzahl von sensitiven personenbezogenen  Daten erhoben, gespeichert und an die Sicherheitsbehörden der USA weitergegeben. Dies kann auch für die Weitergaben von Finanztransaktionsdaten im Rahmen des SWIFT-Abkommens mit den Vereinigten Staaten gelten. Die Einführung des SEPA-Verfahrens in der EU beschleunigt und vereinfacht die Weitergaben von Daten an die Behörden der USA, insbesondere die NSA wertet derartige Daten in ihrer Datenbank „TRACFIN“ aus. Allerdings scheint der Datenaustausch mit den USA  nicht auf reziproker Basis stattzufinden. Die Weitergabe von Meta-Daten aus der Kommunikationsüberwachung des BND und des BfV an die US-amerikanische NSA ist hierbei nicht berücksichtigt, erreicht aber Dimensionen, die sich dem Normalbürger nicht mehr erschließen.

Von der EU-betriebene Datensammlungen

Soweit bekannt, betreibt die EU folgende Datensammlungen:

  • SIS/SIS II – Schengen-Informationssystem – Fahndungsdaten für personen- und sachbezogene, offene und verdeckte Fahndungsmaßnahmen,
  • EUROPOL – Datensammlungen der europäischen Polizeibehörde EUROPOL,
  • EURODAC – umfassende Sammlung von Fingerabdrücken zu Fahndungszwecken,
  • CIS/FIDE – Datenbanken der Zollbehörden mit Zugriffsmöglichkeiten durch EUROPOL und EUROJUST,
  • ENTRY/EXIT SYSTEM – Fluggastdaten, Ein-/Ausreise von Nicht-EU-Bürgern (im Aufbau),
  • PNR(EU) – Fluggastdaten bei innereuropäischen Flügen (im Aufbau),
  • SITCEN – Datenbanken des Joint Situation Centre der EU in Brüssel,
  • FRONTEX/EUROSUR – Datenbanken der europäischen Grenzschutzagentur, FRONTEX, darunter auch das in Entwicklung befindliche Grenzüberwachungssystem „SMART BORDERS“ der EU und EUROSUR – das Grenzüberwachungssystem an den Außengrenzen des Schengen-Raumes,
  • OLAF – Datenbanken der EU-Antikorruptionsbehörde,
  • PRÜM DATEI – Austausch von DNA-Dateien (derzeit 10 Teilnehmerstaaten sowie Norwegen),
  • ECRIS – European Criminal Records Informations-System (im Aufbau),
  • EPRIS – European Police Records Index (Kriminalaktennachweis im Aufbau),
  • API Daten von aus Drittstaaten ein- oder in Drittstaaten ausreisenden Fluggästen,
  • VISION/VISA – Datenaustausch bei Terror- und OK-Verdacht,
  • FIUNET Finanztransaktionsdaten aller Art (Zoll, Polizei und Strafverfolgungsbehörden),
  • ARO Asset Recovery Office – Datenaustausch über Bankkonten,
  • Kfz-Kennzeichen (in Planung),
  • CYBERCRIME – nationaler und EU-weiter Austausch zur Cyber-Kriminalität
  • VIS – Visa-Information-System (Nachweis von Visa der Bürger aus Drittstaaten),
  • EUROPOL AWF – Analysis Workfiles der EUROPOL (derzeit bestehen mehr als 19 AWF-Subdateien der Europol darunter HYDRA, EE-EC, TOP100256, HERON, SUSTRANS, COLA, TWINS, TERMINAL, DOLPHIN, COPPER, FURTUM, PHOENIX, SYNERGIE, SOYA, SMOKE, CHECKPOINT, COPY, MTIC, CYBORG).
Weitere geplante Datensammlungen der EU:
  • RISER – EU-weites Melderegister,
  • EUCARIS – EU-weites Kraftfahrzeugamt,
  • CECIS – EU-weite Datensammlung zum Katastrophenschutz.
Zusätzliche Datenverbünde bzw. Übereinkünfte innerhalb der EU
  • EU – SEC III – Datenverbund für Großereignisse,
  • PNR – Datenverbund für Fluggastdaten (einseitig) mit den USA,
  • SWIFT (TFTP) – Datenweitergabe über Finanztransaktionen (einseitig) an die USA,
  • SIRENE – Verwaltungssystem für das SIS/SIS II-System,
  • CROSS BORDER OPS – Grenzübergreifender Einsatz von Polizeibeamten zur Strafverfolgung,
  • Sicherheitsprogramme der EU mit Nutzung von Datenbanken,
  • INDECT – Überwachungssystem für Kommunikation aller Art, Data-Mining, SNA, Social Network Analysis,
  • SAMURAI – Überwachungsprogramm für verdächtiges und abnormales Verhalten,
  • ODYSSEAY – Datensammlung zur Kontrolle des Waffenbesitzes. Das nationale Waffenregister Deutschlands wird wohl Teil dieses Systems werden.
  • AMASS – Autonomes maritimes Überwachungssystem,
  • GODIAC – Unter schwedischer Führung, Erforschung von Demonstrationstechniken in Europa,
  • CoPPra – Informelle Zusammenarbeit der Sicherheitsbehörden insbesondere auf dem Gebiet des Extremismus unter belgischer Führung
  • OPC – Kriminalitätsüberwachungsprogramm
  • Remote Forensic – Zusammenschluss zur Entwicklung von Überwachungs- und Kontrollsoftware, Software User Group für den behördlichen Gebrauch (Trojaner-Entwicklung),
  • ECG – European Cooperation on Undercover Activities ist ein informeller Zusammenschluss wichtiger nationaler Polizeibehörden zur Koordination verdeckter Ermittler aus Mitgliedsstaaten auf dem Territorium anderer Mitgliedsstaaten, HARMONY – Programm zur Straffung der Zusammenarbeit der Strafverfolgungs-, Justiz/Polizeibehörden sowie der Nachrichten- und Sicherheitsdienste in der EU unter Führung der EU-COSI (Ständiger Ausschuss des Rates für innere Sicherheit),
  • Die EU Agency for large Scale IT-Systems – die Behörde mit Sitz in Straßburg und Tallinn ist mit der Verwaltung und dem Large Scale IT-Systems-Betrieb der EU- Datenbanken betraut. Die Zusammenarbeit mit dem Cyber Center of Excellence -, CoE der NATO in Tallinn  und anderen, auch ausländischen Behörden kann angenommen werden.
Datenzugriff europäischer  und anderer nationaler Sicherheitsbehörden in Europa

Nicht zuletzt hat die Errichtung der Antiterror-Datei und das Schengen Informationssystem-SIS   und anderer Datensammlungen der deutschen Sicherheitsbehörden große Bedeutung, da im Rahmen von EUROPOL auch die Sicherheitsbehörden anderer Staaten in Europa Zugriff auf derartige Datenbestände der deutschen Sicherheitsbehörden erhalten. Hierbei sind Datensammlungen der Bundesländer noch nicht berücksichtigt.

Gefährdung von Daten im Rahmen des „Smart Metering“ , „Smart Automobiles“  und der „Gesundheitskarte“ sowie „Smart Cities“

Im Rahmen von „Smart Homes /Smart Cities “ gewinnt der Aspekt der Fernwartung und des Fernabrufs von Betriebsdaten von Heizungs- und Klimaanlagen immer mehr an Bedeutung. Die dabei anfallenden Daten können auch für Abrechnungszwecke verwandt werden. Ein Großteil dieser Messeinrichtungen ist über drahtlose Schnittstellen an Zentralrechner angebunden. Hier ergeben sich sowohl bei der Messung des Energieverbrauchs als auch der Steuerung der Anlagen umfassende Möglichkeiten des unbefugten Zugriffs auf derartige Daten und deren Manipulation zum Nachteil des Kunden und Betreibers. Bei den jetzt erkennbar werdenden Möglichkeiten der Vernetzung von Automobilen werden künftig fremdgesteuerte Manipulationen möglich, deren Folgen noch gar nicht abgeschätzt werden können. Dies kann auch für die in Einführung befindliche „Gesundheitskarte“ gelten, da das System offenbar auch nicht ausreichend gegen Zugriffe geschützt ist. Die „Kritischen Infrastrukturen“ unseres Landes sind hierbei noch gar nicht berücksichtigt.

 

Praxishinweis:

Nicht erst die Veröffentlichungen zum globalen Überwachungssystem „PRISM „[ii], so beispielsweise „GENIE“, „TAILORED ACCESS-TAO“, „QUANTUM“ und anderer Subsysteme zeigen die umfassenden Möglichkeiten einer fremden Macht, in die IT-Infrastruktur unseres Landes einzudringen. Bei derartigen Ausspähungsbemühungen kann nicht ausgeschlossen werden, dass sensitive Datenbestände in ihrer Integrität manipuliert werden oder in Verlust geraten. Auch geschlossene Behördennetzwerke (Virtual Private Networks) sind nicht gegen derartige Angriffe geschützt, insbesondere dann nicht, wenn diese über öffentliche Netze geführt und obsolete Betriebssysteme, so zum Beispiel WINDOWS XP oder unterschiedliche proprietäre  Systeme genutzt werden. Eine fremde Macht, welche  die  die Fähigkeiten besitzt,  in nationale IT-Systeme einzudringen, verfügt über die umfassende Informationsüberlegenheit, die erforderlich ist, um politische und wirtschaftliche Zielsetzungen zu verfolgen und auch durchzusetzen. Daher ist davon auszugehen , dass große Datensammlungen in Clouds der Behörden, der Wirtschaft, der Industrie, der IT-Dienstleistungsindustrie und  anderer, ob in proprietären Systemen oder semi-öffentlichen Systemen verfügbar gehalten, künftig als bevorzugte Angriffsziele bereits im Vorfeld hybrider Konflikte gelten können. Insbesondere  wenn diese durch den/die Angreifer verschleiernd geführt werden. Die Manipulation derartiger Datenbestände ist mit unabsehbaren Folgen verbunden.

Welche Folgen eine Manipulation des europäischen Flugsicherungssystems haben kann, zeigte sich bereits im Jahre 2014 bei Transponderausfall in einigen Bereichen des europäischen Flugsicherungssystems und am System des Warschauer Flughafens am vergangenen Wochenende.

Noch signifikanter ist der Zugriff Unbekannter auf die Daten von mehr als 18 Millionen US-Bürgern, die sich für eine Anstellung im Staatsdienst  (Office of Management and Procurement – OMP) beworben hatten, noch im Staatsdienst stehen oder ihn bereits verlassen haben. Dass es der NSA im Verbund mit dem britischen GCHQ gelungen sein soll, die Sicherheitssoftware des russischen Unternehmens Kasperky nachzubilden (Reverse Engineering), beweist einmal mehr die Möglichkeiten  potenter staatlicher Dienste, Sicherheitsvorkehrungen aller Art im Bereich der IT  auszuhebeln.

 

Quellen:

– Deutscher Bundestag, Drucksache 18/59 Unterrichtung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Abhöraktivitäten US-amerikanischer Nachrichtendienste in Deutschland, Bericht an den Deutschen Bundestag gemäß § 26 Absatz 2 des  Bundesdatenschutzgesetzes, 18. Wahlperiode v. 15.11.2013

– OP SECRET//SI//REL TO USA, AUS, CAN, GBR, NZL TOP SECRET//SI//REL TO USA, AUS, CAN, GBR, NZL (U) SIGINT Strategy 2012-2016, 23 February 2012,Washington 2012.

– Wilson, C. Information Operations, Electronic Warfare, and Cyberwar: Capabilities and Related Policy Issues, CRS Report for Congress, RL 31787, Washington, DC, 2007,

– Autozulassungsbehörden melden Hackerangriff http://www.t-online.de/computer/sicherheit/id_74459340/autozulassun

– Cyberangriff auf polnische Fluglinie führt zu Stornierungen | ZDNet.de http://www.zdnet.de/88238516/cyberangriff-auf-polnische-fluglinie-fu

– It gets worse: Federal OPM hack affected up to 18 million | ZDNet http://www.zdnet.com/article/federal-opm-data-breach-is-well-over-te

– Kaspersky software reverse engineered by NSA, GCHQ: Report | ZDNet http://www.zdnet.com/article/kaspersky-software-reverse-engineered-…