Blog: Hätten Zertifikate den Cyber-Angriff auf den Bundestag verhindern können?

05.08.2015

Der Bundestag-Hack hat Diskussionen um E-Mail-Zertifikate ausgelöst. Sind diese effektiv, um so einen Angriff zu verhindern?

Mitte Mai wurde durch einen Bericht von SPIEGEL ONLINE bekannt, dass es einen wohl schwerwiegenden Angriff auf das Netz des deutschen Bundestags gab.

Auch zwei Monate später ist immer noch unklar, wer wirklich dahinter steckt und wie genau die Angreifer sich Zugang zum Netzwerk verschafften. Es wurde behauptet, dass von Angela Merkels PC verschickte Phishing-Mails Malware im Netzwerk des Bundestags verbreiten konnten, da sie Links enthielten, die zum automatischen Download des Trojaners führten.

Einige Kommentatoren sehen den Hack als gutes Beispiel dafür, was passieren kann wenn Organisationen auf die Nutzung von E-Mail-Zertifikaten verzichten. Zertifikate können Nutzern die Sicherheit geben, dass E-Mails auch wirklich vom behaupteten Absender stammen. Aber ist das Vertrauen in Zertifikate wirklich die beste Lösung für dieses Problem?

Vor- und Nachteile von Zertifikaten

Befürworter dieses Ansatzes argumentieren, wenn „echte“ E-Mails vom Sender signiert wären, seien Angriffe wie der auf den Bundestag schwerer durchzuführen. Denn Mitarbeiter würden lernen, unsignierten E-Mails nicht zu vertrauen.

Natürlich ist es sinnvoll, bei Nutzern ein Sicherheitsbewusstsein zu etablieren, aber eine Umgebung, in der nur E-Mails mit Zertifikaten vertraut werden darf, scheint in der Realität nicht machbar. Auch wenn die Unternehmenssicherheit von Zertifikaten profitiert, kann man deswegen noch lange nicht sicher sein, dass sie eine Malware-Attacke wie auf den Bundestag verhindern. Zumal die sogenannten „Merkel-Mails“ laut heise online leicht als Fake zu erkennen waren, da der Absender neben Merkels Namen die E-Mail-Adresse einer Gärtnerei enthielt.

Wenn Mitarbeiter nur E-Mails mit Zertifikaten vertrauen dürften, wäre jede E-Mail ohne Zertifikat grundsätzlich verdächtig, diese sind aber in der Überzahl. Viele legitime E-Mails würden zu Unrecht als gefährlich eingestuft.

Effektive Schutzmöglichkeiten

Selbst wenn Organisationen alle notwendigen Vorkehrungen treffen, in unserer schnell veränderlichen Welt ist es unmöglich, vollkommen sicher zu sein, dass man adäquat vor Angriffen geschützt ist. Es gibt aber Möglichkeiten, zu verhindern, dass Hacker an vertrauliche Informationen gelangen, sollten sie das Netzwerk doch einmal kompromittiert haben. Das heisst natürlich nicht, dass nicht alle möglichen Vorkehrungen getroffen werden sollten. Dazu gehört aber eben auch, sich für den Fall der Fälle zu wappnen.

Ein effektiver Schutz dafür ist die Verschlüsselung aller Daten, wie von Edward Snowden letztes Jahr bekräftigt. Insbesondere die interne Kommunikation wird dabei oft vergessen, ist aber in der Regel besonders schützenswert. Dazu gehören alle Dateien und E-Mails, die zwischen Mitgliedern des Bundestags ausgetauscht werden. Mit Verschlüsselung ist kein böswilliges Programm in der Lage, daraus nützliche Informationen zu extrahieren.

Bisher gibt es noch keine genauen Informationen darüber, welche Daten die Hacker abziehen konnten, denn sie haben bisher nichts davon öffentlich gemacht. Das Sony-Beispiel aus dem letzten Jahr zeigt, wie peinlich es sein kann, wenn Inhalte z.B. aus internen E-Mails an die Öffentlichkeit gelangen. Dass Informationen extrahiert wurden, gehört jedoch zu den wenigen gesicherten Erkenntnissen und wurde von einem Sprecher der Bundestagsverwaltung bestätigt.

Der Angriff gibt auch Hinweise auf andere Aspekte, die für eine effektive Sicherheitsstrategie wichtig sind. Dazu gehört die Schulung der Mitarbeiter über Risiken, denen sie gegenüberstehen, ebenso wie zur Verantwortung, die sie tragen.

Wichtig ist auch, dass auf Vorfälle so schnell wie möglich reagiert wird. Berichten zufolge wurde die Malware zwar bereits Mitte Mai entdeckt, eine umfassende Information der Parlamentarier erfolgte jedoch erst rund einen Monat später. Zeit, in der die Malware sich vermutlich weiter ausbreiten konnte und die Parlamentarier nicht veranlasst wurden, zusätzliche Massnahmen zum Schutz ihrer Kommunikation zu ergreifen.