Zwei verdeckte Männer vis-à-vis zur Illustration des Arbeitsfelds „Spionage- und Proliferationsabwehr“, Keyvisual Spionageabwehr

„Elektronische Angriffe“ im Vorfeld der G20-Gipfeltreffen

Seit einigen Jahren ist die Bearbeitung von Attacken im Kontext mit den Treffen der G20 ein Arbeitsschwerpunkt des BfV im Bereich nachrichtendienstlich gesteuerter „Elektronischer Angriffe“. Solche Angriffe werden regelmäßig im Vorfeld von G8- und G20-Treffen festgestellt.

Fremde Nachrichtendienste haben ein großes Interesse an diesbezüglichen Informationen, da sie es ermöglichen, die Entscheidungen des Gremiums zu Fragen der internationalen Finanzsysteme, der Wirtschafts- und der Energiepolitik bereits im Vorfeld abzuschätzen und entsprechend darauf zu reagieren.

Gerade hochrangige Personen im internationalen Umfeld der G20-Gipfeltreffen, darunter auch aus Deutschland, sind in hohem Maße von solchen „Elektronischen Angriffen“ betroffen.

Wie bereits in den vergangenen Jahren wurden auch 2013 Angriffe im Rahmen des G20-Gipfeltreffens festgestellt. Neben mehreren Bundesministerien war u.a. der Bankensektor betroffen. Die E-Mails wiesen z.T. ein gutes Social Engineering auf: Festgestellt wurden z.B. geschickt gestaltete E-Mails an hochrangige Entscheidungsträger und deren Mitarbeiter, in denen eine Kommunikation der Sherpa-Gruppe vorgetäuscht wurde. Damit versuchte der Angreifer, die Empfänger zu verleiten, den Schadanhang unbedacht und vorschnell zu öffnen und so eine Infektion der Systeme auszulösen.

Bericht des US-amerikanischen IT-Sicherheitsunternehmens FireEye

Im Zusammenhang mit Angriffen bezogen auf das G20-Gipfeltreffen veröffentlichte das US-amerikanische IT-Sicherheitsunternehmen FireEye Anfang Dezember 2013 einen Bericht über „Elektronische Angriffe“ auf fünf europäische Außenministerien. Die Teilnehmer des G20-Gipfels wurden Anfang September von chinesischen Hackern mit Schad-E-Mails mit Bezug zur Syrienkrise angegriffen. Der schadhafte Anhang trug den Namen: „US_military_options_in_Syria“. Der Angriff war kurz vor Beginn des Gipfeltreffens, auf dem der Syrien-Konflikt im Mittelpunkt stand, gestartet worden. Nach Angaben von FireEye installierte sich beim Öffnen der angehängten Dokumente eine Späh-Software auf den Computern. Aufgrund der tatsächlich vorhandenen Absenderadresse eines hochrangigen Regierungsmitglieds und der Gestaltung bzw. des Aufbaus wirkten die E-Mails authentisch.

Welche Staaten betroffen waren, lässt FireEye im Bericht offen. Pressemeldungen zufolge, die sich auf Recherchen der New York Times berufen, handelt es sich um die Außenministerien von Bulgarien, Lettland, Portugal, Tschechien und Ungarn.

Nach Darstellung von FireEye agiert eine Angreifergruppe „Ke3chang“, benannt nach einer genutzten Schadsoftware, von China aus. Die Angreifer versuchen, Zugang zu Regierungsstellen und hochentwickelten Industrieunternehmen in den Bereichen Luft- und Raumfahrt, Verteidigung sowie den Sparten Energie und Chemie zu erlangen.

Einschätzung des Berichts durch das BfV

Dem BfV sind bislang zahlreiche „Elektronische Angriffe“ bekannt, die mit der von FireEye beschriebenen Angriffsreihe in Verbindung gebracht werden können. Diese betrafen vornehmlich deutsche Auslandsvertretungen sowie hochrangige Entscheidungsträger in deutschen Ministerien. Weitere Empfänger waren auch deutsche Stellen im Finanzsektor sowie analoge Bereiche in anderen Staaten.

Die im Bericht genannten Schadprogramme sowie zahlreiche Rückmeldewege sind dem BfV bekannt und werden nachrichtendienstlichen Urhebern zugeordnet. Eine Vielzahl dieser noch aktiven Rückmeldewege weist nach China. Aufgrund der dortigen staatlichen Reglementierung des Internets sowie des langen Angriffszeitraums ist davon auszugehen, dass eine solche Menge an Angriffen nicht ohne das Wissen der chinesischen Regierung durchgeführt werden kann. Gerade die Überschneidung bei den Rückmeldewegen deutet darauf hin, dass zwischen den im FireEye-Bericht genannten und den vom BfV bearbeiteten Angreifern Identität besteht. Insofern kann das BfV die Schlussfolgerungen im FireEye-Bericht, d.h. eine Urheberschaft in China, im Wesentlichen bestätigen.

FireEye hat die chinesische Urheberschaft auch damit begründet, dass über den Zugriff auf einen Rückmeldeserver Merkmale chinesischer Software und Kommunikation festgestellt werden konnten. Detaillierte Kenntnisse bzgl. chinesischer Software und Kommunikation liegen dem BfV zwar nicht vor, die Annahme erscheint allerdings plausibel.

Darüber hinaus konnten hier weitere Angriffe im Zusammenhang mit den G20-Treffen festgestellt werden, die keine Überschneidung zu dem FireEye-Bericht aufweisen.

Bewertung/Ausblick

Die Nachhaltigkeit und die Zielauswahl der vom BfV analysierten „Elektronischen Angriffe“ tragen deutliche Anzeichen einer strategischen, staatlich gesteuerten Aufklärung.

Die Anonymität des Internets erschwert die genaue Identifizierung der Täter. Oft ist aber aufgrund bestimmter Merkmale und Indizien zumindest eine regionale Zuordnung der Herkunft „Elektronischer Angriffe“ möglich.

Es ist davon auszugehen, dass auch zukünftig Angriffe im Zusammenhang mit internationalen Gipfeltreffen stattfinden. Im zeitlichen Zusammenhang der Treffen konnte bisher immer ein Anstieg der Angriffszahlen verzeichnet werden. Die beteiligten Stellen sind in diesem Zusammenhang begehrte Aufklärungsziele ausländischer Nachrichtendienste. Entsprechend sind die Sensibilisierungsangebote des BfV ausgerichtet.

Weitere Informationen zum Arbeitsfeld "Elektronische Angriffe" finden Sie hier.

Druckansicht

Gebäude 1

Hinweistelefon gegen Extremismus und Terrorismus 0221/792-6000

Hinweistelefon gegen Extremismus und Terrorismus 0221/792-6000
  • Gemeinsam stark für unsere Sicherheit Details
  • Güvenliğimiz İçin Hep Beraber Daha Güçlüyüz Ayrıntılar
  • لندافع سويا وبصورة قوية عن أمننا وسلامتنا التفاصيل

Publikationen

Verfassungsschutz­bericht 2019, Fakten und Tendenzen (Kurz­zusammen­fassung)

Verfassungsschutz­bericht 2019, Fakten und Tendenzen (Kurz­zusammen­fassung)

Stand: Juli 2020
Weitere Informationen Download PDF-Datei
Verfassungsschutz­bericht 2019

Verfassungsschutz­bericht 2019

Stand: Juli 2020
Weitere Informationen Download PDF-Datei
Verfassungs­schutz­bericht Schleswig-Holstein 2019

Verfassungs­schutz­bericht Schleswig-Holstein 2019

Stand: April 2019
Weitere Informationen
Verfassungsschutzbericht Nordrhein-Westfalen 2019

Verfassungsschutzbericht Nordrhein-Westfalen 2019

Stand: Juni 2020
Weitere Informationen
70 Jahre Bundesamt für Verfassungsschutz – 1950|2020

70 Jahre Bundesamt für Verfassungsschutz – 1950|2020

Stand: März 2020
Weitere Informationen Download PDF-Datei
Niedersachsen: Frauen im Salafismus – Erscheinungsformen und aktuelle Entwicklungen

Niedersachsen: Frauen im Salafismus – Erscheinungsformen und aktuelle Entwicklungen

Stand: Januar 2020
Weitere Informationen
Sachsen-Anhalt: Kennzeichen des Rechtsextremismus

Sachsen-Anhalt: Kennzeichen des Rechtsextremismus

Stand: Januar 2020
Weitere Informationen
Niedersachsen: Jugend und Familie im Salafismus: Hintergründe – Erscheinungsformen – Handlungsoptionen

Niedersachsen: Jugend und Familie im Salafismus: Hintergründe – Erscheinungsformen – Handlungsoptionen

Stand: November 2019
Weitere Informationen
Kümmerer vor Ort? Rechtsextremistische Kleinparteien und ihr vermeintliches soziales Engagement

Kümmerer vor Ort? Rechtsextremistische Kleinparteien und ihr vermeintliches soziales Engagement

Stand: Oktober 2019
Weitere Informationen Download PDF-Datei