Mit ein bisschen Verzögerung hat der Angriff von Anonymous Aktivisten auf Rosneft Deutschland einiges an medialer Aufmerksamkeit erreicht – auch international.
Einige Journalisten haben sich gemeldet und nach Details gefragt, andere haben einfach irgendwas geschrieben … ohne genaue Kenntnis von Details. Mancher „Experte“ hat sich sogar in Bereiche verstiegen, in denen er sich nicht auszukennen scheint. Einer der am Breach der Rosneft-Systeme Beteiligten hat bei uns einen Gastbeitrag abgeliefert, zur Klarstellung. Hier mal die uneditierte Fassung.
Ich werde meinen Namen nicht nennen, natürlich nicht, aber ich bin einer derjenigen, die Rosneft Deutschland gehackt haben. Diese Aktion hat international ziemliche Wellen geschlagen. Schön, das genau ist Hacktivismus.
Das Erstaunliche an Anonymous-Aktionen ist: je größer die mediale Aufmerksamkeit für einen Angriff ist, umso größer ist auch die Masse an Bullshit, die dazu mitverbreitet wird.
So wird nahezu in jedem Pressebericht – z.B. hier und hier – suggeriert, Anonymous hätte kritische Infrastrukturen angegriffen. Das dementiere ich ausdrücklich.
Wie schon mehrfach erwähnt (u.a. hier und hier), greifen wir keine kritischen Infrastrukturen an. Auch wenn die Kollegen von AnonLeaks und wir selbst teilweise mit dem Image des Kellerkindes an der Konsole spielen – Playstation-Kiddies, wie es der Herr Killer vom Bayerischen Rundfunk nennt -, so sind wir uns sehr bewusst, welches Ausmaß und Reichweite unsere Aktionen haben. Hacktivismus ist kein gedankenloses Zerstören oder erpresserisch-kriminelles Rumgehaxxor.
Besonders bei der Rosneft Aktion wurde intern sehr viel diskutiert, darüber, welche Auswirkungen der Angriff hat, in welchem Umfang der Angriff durchgezogen wird und welche Teile des Systems man gefahrlos attackieren kann, jedes Systemteil wurde eigens bewertet. Wir werden öffentlich keine detaillierten technischen Informationen über den Angriff veröffentlichen, aber zumindest soviel:
Wir hatten zu keinem Zeitpunkt Zugriff auf Systeme, welche für einen Ausfall von kritischen Infrastrukturen hätten sorgen können. Wir hatten keinen Zugriff auf irgendeinen roten Knopf. Und hätten wir ihn gehabt, hätten wir ihn nicht gedrückt. Und nein, man kann so einen Knopf auch nicht aus Versehen drücken. Nicht, wenn man sich auskennt, wie wir uns auskennen. Jeder „Experte“, der etwas anderes behauptet, lügt, weil er er das Gefühl hat, etwas Gewichtiges sagen zu müssen.
Unbestritten, das Unternehmen Rosneft gehört zur kritischen Infrastruktur. Aber es gibt einen Unterschied zwischen Unternehmen der kritischen Infrastrukturen und Systemen für die kritische Infrastruktur. Leider wird da nicht differenziert.
Rosneft Deutschland, ein Unternehmen, das zum Bereich „Kritische Infrastruktur“ gezählt wird, konnte 5 Tage nicht normal arbeiten, weil sie sich selbst ihre Syteme zerschossen hatten. Warum wir das wissen? Weil wir zu dem Zeitpunkt schon eine Woche unentdeckt in deren Systemen waren und Daten kopierten, aber plötzlich nichts mehr ging. VPN, Internet, nichts war mehr verbunden. Wir konnten uns noch ein Stück weit bewegen, aber unsere FTP-Verbindung funktionierte nicht mehr. Es dauerte von Freitag bis zum darauffolgenden Mittwoch, bis die internen Verbindungen wieder standen – und auch unser Zugang wieder lief. Auch konnten wir weiterladen, dann wurden aber die Rosneft ITler aufmerksamer, also schlugen wir Krach in den Systemen und zogen uns zurück.
Dennoch fiel auch in diesen 5 Tagen die kritische Infrastruktur nicht aus, von der Rosneft doch ein so bedeutender Teil ist. Wie ist das möglich? Einfach: Weil diese Systeme nicht kritisch waren. Auf die Systeme, auf die wir Zugriff hatten, hatte auch die Buchhaltung und die Vertragsabteilung Zugriff.
Eine Infrastruktur, bei der so etwas möglich ist, kann so kritisch nicht sein. Und wirklich kritische Systeme … nein, die gab es dort definitiv nicht. Es waren hauptsächlich Storagesysteme für Backups und Dokumente. Also haben die Experten vom BSI nur rumgeraten bei ihren „zitierfähigen“ Kommentaren, die anderen haben in vorauseilender Sorge kundgetan, was rein theoretisch im Rahmen des Möglichen hätte liegen können und Journalisten haben es so geschrieben, als wäre es kurz vor Knapp gewesen.
War es nicht. Zu keinem Zeitpunkt. Nicht durch uns.
Was wir bei all den journalistisch-feinporig ausgefeilten Beiträgen, bei den Fragen von Journalisten an Experten jedoch vermisst haben, das ist das Folgende:
Wie kann es sein, dass ein russisches Unternehmen, welches einen Krieg gegen einen souveränen Staat führt und der gesamten westlichen Welt droht, die Kontrolle über unsere kritische Infrastruktur hat? Warum, so die Frage an die schlauen Menschen von BSI und auch an die Politik, gibt es keinen Mechanismus, der die Systeme der kritischen Infrastruktur von Lakaienunternehmen kriegsführender und mit der Einstellung von Energielieferungen drohender Staaten abtrennt? Wer hat da so dermaßen versagt? Wenn wir über Rosneft Anlagen in Raffinerien hätten abschalten können – theoretisch: Warum hat Rosneft diese Möglichkeit überhaupt? What the actual fuck?
Wie kann es sein, dass eine angeblich „kritische Infrastruktur“ so dermaßen laienhaft gegen Cyberattacken abgesichert ist, dass angebliche Playstation-Kiddies dort eindringen können? (Der Begriff hat es mir vor allem deswegen so angetan, weil ich nie eine Spielekonsole hatte.) Keine Passwort-Mindestanforderungen, einfachste Passworte und PINs wie „PrintMe!“ und „1234“, allgemeine und keine personalisierten Zugänge, keine Trennung von internen und externen Netzwerken, keine aktive Threat-Detection (20TB Datenwanderung – mein Gott, das sollte doch auffallen, wir reden von fucking Terabyte) sowie viele weitere technische Schwachstellen und kindische Fehler in der System- und Netzwerkarchitektur. Und vor allem: keine Redundanzen.
Welcher BSI-Depp hat da bei dieser angeblich so kritischen Infrastruktur das Sicherheits-Audit vermasselt? Derselbe, der dem Spiegel geantwortet hat? Gab es überhaupt ein Sicherheits-Audit?
Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.
https://www.gesetze-im-internet.de/bsig_2009/__8a.html
Was Rosneft Deutschland unter „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ subsummiert, war gar nichts. Es gibt hier nur zwei denkbare Szenarien.
Das eine ist unschön und man möchte in Wahrheit nicht darüber nachdenken, aber es liegt nahe: Alle Beteiligten, von Rosneft bis hoch zum BSI haben komplett verkackt.
Das zweite ist denkbar: es handelt sich bei diesen Systemen nicht um einen Teil der kritischen Infrastruktur, sondern nur um ein nebensächliches, internes völlig unkritisches Firmennetzwerk.
Rosneft Deutschland ist irgendwo zwischen kritischer Infrastruktur und einem Sauhaufen. Sucht es euch aus.
Der Angriffskrieg Russlands gegen die Ukraine, er hat nicht nur im Bereich der Energiewirtschaft die Verwundbarkeit der Bundesrepublik Deutschland offenbart. BSI und Experten sollten spätestens jetzt aufhören, mit dem Finger im Hintern zu puhlen – oder sich in die Schäm-Ecke verpissen.
Soweit der Gastbeitrag; der Autor ist uns als derjenige Aktivist bekannt, von dem wir das Material für unsere Rosneft -Artikel haben und der uns die Fragen beantwortete. Wie schon geschrieben, haben einige Journalisten mittlerweile Kontakt gesucht, lustigerweise auch ein Kollege von Herrn Killer beim bayerischen Rundfunk mit einem Fragenkatalog vom Feinsten. Der Anon konnte sie beantworten.
Was die Daten von Rosneft selbst angeht, ja, es sind 19277 Verzeichnisse, 107016 Dateien, insgesamt 20648781325285 Bytes, also 20,6 TB oder 18,78 TiB, die auf unseren Servern liegen. Die werden wir nicht auswerten und nicht veröffentlichen zu diesem Zeitpunkt, denn es ist nicht egal, welche privaten Informationen von Mitarbeiter-Laptops an die Öffentlichkeit gelangen, auch das ist Teil unseres Verantwortungsbewusstseins. Das überlassen wir anderen, die genau wissen, wonach sie suchen müssen. Nämlich nicht nach technischen Details, sondern nach dem, worum es hier wirklich geht: die Verstrickungen von Rosneft mit Politik und Wirtschaft … Lobbyismus, Preisabsprachen, es fiele uns so vieles ein, wonach man suchen könnte.
Wir freuen uns.