Der technische Bericht zum Spionagefall «Ruag»

Der Bericht der Melde- und Analysestelle Informationssicherung Melani, welcher Ende Mai 2016 publiziert wurde (siehe Textende), bringt wenig neue Erkenntnisse zum Vorschein – in erster Linie konzentriert er sich auf technische Punkte. Etwa, dass die Angreifer eine seit mehreren Jahren kursierende Schadsoftware der Turla-Familie benutzten. Diese Malware hatte höchstwahrscheinlich die Ruag-Informatik über Jahre infiltriert. Der technische Bericht unterstreicht explizit: «Die Angreifer zeigten viel Geduld bei der Infiltration und dem weiteren Vordringen. Sie griffen nur Opfer an, an denen sie Interesse hatten, mit verschiedenen Massnahmen wie das Ausspähen von IP-Lists (…).»

Einmal im Netzwerk eingedrungen, verteilte sich die Malware seitwärts, «indem sie weitere Geräte infizierte und höhere Privilegien erlangte.»

Solche Erkenntnisse über die Spionage über den Schweizer Rüstungskonzern Ruag sind für Sicherheitsexperten jedoch nur bedingt zufriedenstellend. Der Bericht zeigt zwar den technischen Ablauf der Ereignisse von September 2014 bis Mai 2016, lässt aber auch viele Punkte – etwa welche sensiblen Daten auf Bundesebene gestohlen wurden – offen.

Vor 2014 kein Überblick gegeben
Die Ruag-Systeme seien seit mindestens September 2014 infiziert, heisst es. Wie Melani/GovCERT jedoch hinweist, existieren bei Ruag keinerlei Proxy-Logfiles für die Zeit vor September 2014. Indes, schon in den ersten kontrollierten Files hätten Experten von Melani Anzeichen gefunden, dass die Turla-Infizierung schon früher stattgefunden hat.

Bis auf die Spione selber weiss kein Sicherheitsspezialist, wann und wie sich die «Infektion» erstmals einnistete. Die Eruierung dieses grösseren Spionageangriffs ist komplex. Einzig das verschollene Datenvolumen kann abgeschätzt werden. Laut Melani wurden genau 23 Gigabyte gestohlen. Die beauftragten IT-Experten können jedoch keine weiteren Schlüsse ziehen.

«Die Menge der transferierten Daten gibt keine Auskunft über deren Vertraulichkeit oder den Wert der gestohlenen Daten», wurde Pascal Lamia, Leiter der Melde- und Analysestelle des Bundes, bei insideit. ch zitiert. Experten kritisieren die verknüpften Aktivitäten zwischen der Ruag und der IT des Bundes. Einige Insider meinen jedoch, man hätte Sicherheitsmassnahmen, beispielsweise entsprechende Virenblocker, viel früher installieren müssen.

Pascal Lamia, der IT-Securitybeauftragte des Bundes, verteidigt jedoch die Ruag, die internen Sicherheitsverantwortlichen hätten vor 2016 nicht notieren können, was ihre Rechner infiziert haben dürfte. Der Melanie-Bericht verdeutlicht: Erst Anfang Februar 2016, also erst nach mehreren Monaten, wurde der Cyberangriff entdeckt und spezifische Überwachungssoftware installiert.

Im Bericht findet man auch eine Grafik der täglich abgezogenen Datenmengen. Diese zeigt zwischen September 2014 und Mitte 2015 nur wenig Aktivitäten. Die meisten Daten wurden zwischen September 2015 und Januar 2016 auf die von den Angreifern verwendeten «Command & Control»-Server (C&C) transferiert. Danach bricht die Aktivität aber plötzlich ab – also genau zu dem Zeitpunkt, als der Angriff entdeckt und Überwachungssoftware installiert wurde.

Admin-Verzeichnis betroffen?
Obwohl also keinerlei Erkenntnisse zum Inhalt oder Wert der abgegriffenen Daten vorliegen, erklärte das Eidgenössische Department für Verteidigung VBS in einer begleitenden Pressemitteilung zum technischen Bericht, dass «auch Daten aus dem Admin-Verzeichnis » darunter sein dürften, «welches die Outlooksoftware der Bundesverwaltung speist.»

Dabei handle es sich um eine Art Telefonverzeichnis, mit Namen, Vornamen, Funktion und Arbeitsplatz, also um rein geschäftliche Daten – so das VBS gegenüber sda. Eine Agenda sei nicht enthalten. Auch gebe es darin keine persönlichen Daten. So sei beispielsweise nicht ersichtlich, wo jemand wohne.

Wie man darauf schliesse, dass die Ruag-Spione gerade diese relativ unsensiblen Daten abgegriffen haben «dürften», mochte kein Sicherheitsverantwortlicher des Bundes weiter ausführen.

Bundesrat forciert Untersuchung
Die ersten Trojaner der Malware- Familie Turla kennt man laut Insidern bereits seit 2007. Der kursierende Angreifer, welcher diese Art Schadstoffware benütze, habe im letzten Jahrzehnt schon viele Regierungsorganisationen, aber auch Privatunternehmen unterwandert. Man darf hierbei jedoch von politischer Spionage ausgehen, weil nur private oder öffentliche Subjekte infiziert wurden, die spezielle Informationen über Forschungs- oder Rüstungsdaten hegen.

Bei der Ruag wurde höchstwahrscheinlich versucht, IP-Adressen auszuspähen. Wie der technische Bericht weiter ausführt, geriet das Active Directory in den Fokus, um die Kontrolle über weitere Geräte zu erlangen, um Berechtigungen oder Gruppenzugehörigkeiten für den Zugriff auf weitere interessante Datenspeicher zu stehlen. Auf der Grundlage eines Sicherheitberichts hat ein Ausschuss dem Bundesrat die Annahme von 14 kurz- und mittelfristigen Massnahmen vorgeschlagen. Diese sollen die Risiken von Datendiebstahl in Bezug auf Informationen oder Personen eliminieren. Aus Sicherheitsgründen werden Einzelheiten zu den Massnahmen nicht kommuniziert.

Auf dem Portal der Melde- und Analysestelle Informationssicherung MELANI gibt es eine deutsche Zusammenfassung sowie einen ausführlichen technischen Bericht (nur in Englisch). www.melani.admin.ch