En weer is de Duitse overheid gehackt
Na de cyberaanval op het Duitse parlement in 2014 is het buitenlandse hackers opnieuw gelukt in te breken in het netwerk van de Duitse overheid. Vijf vragen over de grootse digitale inbraak.
Wat is er precies gehackt?
Het netwerk van de Duitse regering: het 'Informationsverbund Berlin-Bonn' (IVBB). Duitse ministeries gebruiken het voor e-mailcontact en telefoongesprekken, net als het Kanzleramt, het bureau van de kanselier. Het netwerk bestaat sinds 1999, staat los van het internet en hanteert de 'hoogste veiligheidsnormen', aldus cyberexpert Hans-Wilhelm Dünn van de Cyber-Sichterheitsrat Deutschland.
Welke documenten zijn gestolen, is onduidelijk. Ook is niet met zekerheid te zeggen bij welke ministeries de hackers binnengedrongen. Waarschijnlijk buitenlandse zaken. Defensie wordt ook genoemd.
Elk ministerie heeft nog eens extra veiligheidsmuren; toegang tot het IVBB betekent niet automatisch toegang tot alle afdelingen van de overheid. Bovendien, zegt Dünn: bijzonder gevoelige documenten 'worden niet via het IVBB-netwerk verstuurd', maar via 'extra beveiligde netwerken'. Dat geldt bijvoorbeeld voor de communicatie 'tussen de geheime diensten'.
De hackers zijn een jaar lang binnen geweest. Hoe kan dat?
Sterker: de aanval duurt nog steeds voort. Dat zei althans de voorzitter van de parlementaire commissie die de geheime diensten controleert gisteren na een spoedzitting. Volgens het ministerie van binnenlandse zaken is de boel juist onder controle; het netwerk zou sinds woensdag weer veilig zijn. De geheime diensten zouden al sinds december op de hoogte zijn en de hackers sindsdien hebben bespioneerd om hun motieven en werkwijze te achterhalen.
Hoe ze binnendrongen, is onduidelijk. Dat moet via een zwakke plek zijn gegaan: een ambtenaar die onvoorzichtig handelde of een technische lacune in het systeem. Meestal proberen hackers via mails met een link erin een netwerk binnen te dringen.
Is zoiets eerder gebeurd in Duitsland?
In 2014 was er een grootscheepse cyberaanval op het Duitse parlement. Een omvangrijke hoeveelheid e-mails en vertrouwelijke documenten werd gestolen. Men vreesde dat die in aanloop naar de verkiezingen in september naar buiten zouden komen, maar dat bleef uit.
De huidige aanval is wel van een andere orde, zegt Dünn. Het regeringsnetwerk is beter beveiligd dan het parlement toen was. Toch vindt hij het voorbarig om de huidige aanval de grootste in Duitsland tot nu toe te noemen. "We weten nog niet hoe omvangrijk de aanval op het regeringsnetwerk was."
Wie zitten erachter?
Het Duitse persbureau DPA wees naar APT28, ook wel 'Fancy Bear' genoemd. Dit is een hackersgroep die volgens experts gelieerd is aan de Russische militaire geheime dienst. De groep is zeker al sinds 2014 actief, brak binnen bij tal van Oost-Europese overheden - en voerde ook de aanval op het Duitse parlement uit.
Het Duitse weekblad Der Spiegel berichtte gisteravond dat het om een andere groep zou gaan, 'Snake' (ook bekend als 'Turla'), waar de Russische geheime dienst FSB achter zou zitten. De hackers zouden via de federale academie voor het openbaar bestuur het ministerie van buitenlandse zaken zijn binnengedrongen. Volgens het weekblad zou er specifiek naar documenten over de Duitse politiek ten opzichte van het Oosten zijn gezocht.
Hoe weten we dat het de Russen waren?
Dat is nog niet bewezen. Het gevaar van bewust aangelegde dwaalsporen is niet uitgesloten. Het kan bij cyberaanvallen maanden duren voordat daders gevonden zijn, zegt Dünn. "Duidelijk is: voor zo'n aanval is een hoge mate aan expertise en middelen nodig."
Daarom wordt gedacht aan aanvallers die door een staat worden gefinancierd - 'zoals geheime diensten'.
Volgens de Amerikaanse cybersecurityfirma FireEye past de aanval op de Duitse overheid goed bij andere aanvallen van Fancy Bear. Benjamin Read leidt het 'spionage-analyseteam' bij FireEye en houdt zich sinds 2014 haast uitsluitend met Fancy Bear bezig. Hij ziet de aanval op de Duitse regering als deel van een grotere campagne van de Russische staat om doelen binnen de Europese Unie te hacken.
"Wij zien sinds enige maanden dat APT28 doelbewust ministeries van buitenlandse zaken en defensie in de Europese Unie aanvalt", zei Read gisteren tegen de Duitse krant Die Welt.
Lees ook:
Buitenlandse hackers, met een link naar Rusland, zijn binnengedrongen in beveiligde netwerken van Duitse overheidsdiensten.
Estland is een van de meest gedigitaliseerde samenlevingen ter wereld én voorloper op het gebied van cyberveiligheid. De eigen bevolking draagt daar een steentje aan bij.
