IT-Angriff aufs Statistische Bundesamt betraf Zensus-Wissensmanagementsystem
Die im Herbst bekannt gewordene Attacke auf Server des Statistischen Bundesamts störte die Projektorganisation und Vorbereitung der Volkszählung 2022.
(Bild: Skorzewiak/Shutterstock.com)
Im September sorgte eine Meldung über einen Cyberangriff auf das Statistische Bundesamt wenige Tage vor der Bundestagswahl für Aufsehen, da dessen Chef Georg Thiel zugleich der Bundeswahlleiter ist. Der betroffene Server sei vom Wahlserver komplett getrennt, es gebe keine Gefahrenlage, hieß es damals von den Behörden. Betroffen gewesen sei etwa Technik für den Zensus, also für die Erhebung von Bevölkerungsdaten in Deutschland. Der Wahlserver sei davon aber komplett getrennt.
Erste Informationen
Über das tatsächliche Ausmaß der keinesfalls alltäglichen Attacke drang zunächst wenig nach außen. Ein Sprecher des Statistischen Bundesamts erklärte nun gegenüber heise online: "Konkret betroffen waren Server eines Wissensmanagementsystems, das für die Projektorganisation des Zensus 2022 genutzt wurde." Dieses Knowledge Management System enthalte beispielsweise "Organigramme und Ansprechpersonen für verschiedene Themengebiete, jedoch keinerlei personenbezogene Daten der Zensuserhebungen". Anderslautende Informationen "sind falsch".
Freiheitsfoo-Aktivisten hatten Ende November von einem "erfolgreichen schwerwiegenden Angriff" auf die IT-Infrastruktur der Volkszählung gesprochen, für die aktuell Meldedaten trotz einer anhängigen Verfassungsbeschwerde zentral zusammengeführt würden. Den Angreifern sei es gelungen, sogenannte Web-Shells, also Fernzugänge in Form von Schadsoftware, auf zwei Servern der Zensus-IT zu installieren. Dass es zu keinerlei "Manipulation" oder "Datenabfluss bei den betroffenen Servern oder damit verbundenen IT-Systemen gekommen“ sei, wie es das Bundesinnenministerium (BMI) behaupte, könne nur als "offensichtlicher Unsinn" und "Beschwichtigungsversuch" gedeutet werden.
Das Informationstechnik-Zentrum Bund (ITZBund), ein zentraler IT-Dienstleister der Bundesverwaltung, hatte den Vorfall laut einem Bericht zunächst als "Major Incident" eingestuft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) revidierte dies aber im Anschluss und wollte gegenüber heise online nicht ausdrücklich von einem solchen "schwerwiegenden Sicherheitsereignis" sprechen.
"Keine Anzeichen von Manipulation oder Datenabfluss"
Bei einer Web-Shell handelt es sich um ein einfach zu bedienendes, passwortgeschütztes Hacking-Werkzeug, auf das prinzipiell über das Internet von jedem Browser aus mit Administrator-Rechten zugegriffen werden kann. Das BSI habe gemeinsam mit dem ITZBund die betroffenen Server forensisch untersucht, heißt es dazu beim betroffenen Bundesamt. Ergebnis: "Es konnte keinerlei Anzeichen von Manipulation oder Datenabfluss feststellen."
Den Angriffsweg kann der Behördensprecher "aus Sicherheitsgründen" nicht angeben. "Infolge des Vorfalls wurden und werden verschiedene Sicherheitsvorkehrungen getroffen", versicherte er. Aus Gründen des Schutzes vor weiteren Angriffen dürften auch diese Maßnahmen aber nicht konkret benannt werden. Eine BMI-Sprecherin teilte heise online nach mehrtägiger Bedenkzeit Anfang Dezember lediglich mit, dass sich das Ministerium zu Ermittlungsergebnissen und Einzelsachverhalten grundsätzlich nicht äußere. Das dem BMI unterstellte BSI hatte dem nichts hinzuzufügen.
Der IT-Beauftragte der Bundesregierung, Markus Richter, antwortete Anfang Oktober auf eine Frage des stellvertretenden Grünen-Fraktionschefs Konstantin von Notz: "Die Untersuchungen sind derzeit noch nicht abgeschlossen." Das betroffene System habe keine Verbindung zu den für die Durchführung der Bundestagswahl verwendeten IT-Anlagen gehabt. Nach aktuellem Stand der Analyse sei es "unwahrscheinlich, dass ein Abfluss von Daten stattgefunden hat". Handlungsbedarf sehe man derzeit nicht.
"Weiterhin eine gewisse Unklarheit"
"Insgesamt hat uns der bisherige Umgang mit dem Angriff leicht verwundert", berichtet von Notz nun heise online. Während zunächst von einem "schwerwiegendem Sicherheitsereignis" die Rede gewesen sei, "spielen andere, die zuvor vor dem Eintreten eines exakt solchen Ereignisses im Kontext der Bundestagswahlen gewarnt haben, den Vorgang eher herunter". Dabei reihe er sich "nahtlos in eine Kette vergleichbarer Ereignisse und offenkundiger Manipulationsversuche ein". Rund um die Schwere des Angriffs, eines potenziellen Datenabflusses und einer möglichen Servermanipulation "besteht weiterhin eine gewisse Unklarheit, die es aufzulösen gilt".
(mho)
