Informationsverbund Berlin-Bonn

Der Informationsverbund Berlin-Bonn (IVBB) war ein Informationsverbund des Bundes zur Vernetzung der Obersten Bundesbehörden. Der IVBB war ebenso wie der Informationsverbund der Bundesverwaltung (IVBV) einer der Grundpfeiler für die Verwaltungsmodernisierung im Rahmen der Initiative BundOnline 2005. Sowohl der IVBB als auch der IVBV wurden in die Netze des Bundes migriert, die am 1. Juli 2019 ihren Betrieb aufnahmen[1].

Eingerichtet wurde der Informationsverbund Berlin-Bonn aufgrund des Umzuges des Deutschen Bundestages und des größten Teils der Bundesregierung nach Berlin. Der IVBB wurde von T-Systems betrieben und ermöglichte den schnellen und sicheren Datenaustausch zwischen den einzelnen Stellen in Berlin und Bonn. Über das Netz des IVBB liefen Mails, Telefonate und das Intranet von Bundestag, Bundesrat, Bundeskanzleramt und Bundesministerien. Durch den von öffentlichen Netzen getrennten Aufbau sollte ein hohes Maß an Sicherheit gewährleistet werden. Nach Informationen der Deutschen Presse-Agentur (dpa) drangen dennoch ausländische Hacker seit 2017 über einen längeren Zeitraum in das bislang als sicher geltende Datennetzwerk ein. Laut dpa sei Schadsoftware eingeschleust worden; die Angreifer hätten auch Daten erbeutet. Entdeckt wurde dies im Dezember 2017 von einem ausländischen Dienst, öffentlich Ende Februar 2018.[2] Das Eindringen von Hackern in das Netz des IVBB bedeutete nach Aussage des Ex-IT-Beauftragten im Bundesinnenministerium Martin Schallbruch jedoch nicht, dass diese Zugriff auf die Daten aller dort angeschlossenen Behörden hatten; jedes Ministerium sei nochmals mit zwei eigenen „Schutzmauern“ gesichert gewesen.[3] Für den 1. März 2018 wurden Sondersitzungen des Parlamentarischen Kontrollgremiums (PKGr) und des Bundestagsausschusses Digitale Agenda einberufen.[4]

Struktur

Der Informationsverbund Berlin-Bonn war die Kommunikationsplattform der Bundesverwaltung. Nutzer waren Bundeskanzleramt und alle Bundesministerien, Bundesrechnungshof sowie Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten. Auch der Bundestag und Bundesrat waren angeschlossen. Sie ist besonders gegen Angriffe von außen geschützt. Die Infrastruktur des IVBB war von öffentlichen Netzen getrennt.[2]

Die Bundesregierung registrierte nach eigenen Angaben pro Tag etwa 20 hochspezialisierte Hacker-Angriffe auf ihre IT-Infrastruktur. Im Schnitt einer pro Woche habe einen nachrichtendienstlichen Hintergrund gehabt, erklärte die Regierung auf eine Kleine Anfrage von Abgeordneten der Linksfraktion zur Cyber-Sicherheitsstrategie der Bundesregierung hin.[5] Zudem gab es immer wieder Hinweise, dass russische Spione Mitarbeiter von Bundestagsabgeordneten für ihre Zwecke anwerben wollten. Die IT des Bundestages ist zu Teilen mit dem IVBB verbunden.

Telefon- und Internetdienste

Telefonvorwahl 01888

Der IVBB hatte bis Ende 2009 eine eigene Telefonvorwahl für eine bundeseinheitliche Bepreisung für Telefonate von Bürgern mit den Institutionen des Bundes. Diese Rufnummer wurde bereits 1997 eingeführt. Seitdem hat sich der Telefonmarkt sehr geändert. Es gibt mittlerweile andere Festnetzbetreiber, und Mobilfunknetze haben heute einen völlig anderen Stellenwert. Auch die Entgeltstruktur der Anbieter hat sich gegenüber 1997 stark geändert. Waren früher die Entgelte entfernungsabhängig, gibt es heute meist Standardentgelte. Wegen der Entfernungsabhängigkeit galt damals auch die einheitliche Bepreisung, zumindest in West-Ost-Richtung. Das bedeutete zum Beispiel: Wenn ein Teilnehmer aus Bonn eine Nummer im IVBB angerufen hat, war es entgeltmäßig gleich, ob der Zielanschluss in Berlin oder in Bonn war. Diese Vorgehensweise ließ sich auch wegen der zum Teil fehlenden Interconnectionabkommen zwischen den einzelnen nationalen und internationalen Netzbetreibern nicht aufrechterhalten. Um dennoch in den Genuss der Vorteile eines Netzverbundes zu gelangen, wurde beschlossen, neue einheitliche Einwahlnummern für den IVBB zu schalten und die bundeseinheitliche Nummer auslaufen zu lassen. Zum 1. Januar 2010 wurde die Vorwahl 01888 abgeschaltet.

Neue IVBB-Telefonvorwahlen für Bonn und Berlin

In den Ortsnetzen Bonn und Berlin wurden 2006 neue Einwahlnummern für den IVBB geschaltet. Diese waren parallel zur bundeseinheitlichen Vorwahl 01888 in Betrieb, um einen weichen Übergang für alle Beteiligten zu schaffen. Diese neue Regelung wird den jetzt geläufigen Gebührenstrukturen besser gerecht und bildet für Gespräche vom Mobilfunktelefon in den IVBB eine preiswertere Basis als das alte Modell.

Ortsnetz, unabhängig vom Sitz der
Ministerien und Verfassungsorgane
IVBB-EinwahlnummerBeispiel altBeispiel neu
Berlin030 18 «IVBB-Nummer»01888 456789030 18 456789
Bonn0228 99 «IVBB-Nummer»01888 4567890228 99 456789

Künftig gibt es zwar zwei Einwahlnummern, es ist aber egal, welche man verwendet. Wegen der weitestgehend standardisierten Gebühren (es wird im Wesentlichen seitens der Anbieter nur noch zwischen Mobilfunk-, Orts- und Ferngespräch unterschieden) entsprechen die Kosten jetzt einem normalen Gespräch in das Ortsnetz Bonn oder Berlin. Eine Abrechnung als Sonderrufnummer gibt es nicht mehr. Als weiterer Vorteil ist nun die vollständige Erreichbarkeit aus dem Ausland zu sehen, da die Einwahlnummer zum Rufnummernbereich der jeweiligen Ortsnetze gehören.

Einheitlicher Domain-Name für alle Bundeseinrichtungen

Der IVBB umfasste bei seiner Einführung alle Dienste, die 1997 bereits verfügbar waren. Dazu zählen die Dienste: E-Mail, Domain Name Service (DNS) und der Webserver für das World Wide Web. Damit hier ebenfalls eine leichte Zuordnung möglich war, wurde die Domain „bund.de“ reserviert und belegt. Nach Einführung im IVBB wurde diese Domain Zug um Zug auch von allen Bundesbehörden benutzt, die nicht am Standort Bonn oder Berlin waren.

Infolge der Standardisierung halten mittlerweile fast alle Ministerien ihre Angebote unter dieser einheitlichen Adresse vor, beispielsweise das Bundesministerium des Innern unter bmi.bund.de oder das Bundesministerium für Arbeit und Soziales unter bmas.bund.de. Zusätzlich wurde noch ein Portal für den Bürger eingerichtet (bund.de). Dort erhält man Zugang zur Bundesverwaltung. Durch den einheitlichen Domain-Namen wurde Domaingrabbing vermieden. Die Domain findet auch bei den E-Mail-Adressen der Mitarbeiter des Bundes Verwendung.

Hack des Netzwerkes 2017–2018

Ende Februar 2018 wurde bekannt, dass Angreifer einer vermutlich ausländischen Macht in den Informationsverbund eingedrungen sind. Bereits im Dezember 2017 hatte nach Presserecherchen ein ausländischer Geheimdienst die deutschen Behörden darüber informiert, dass auf das deutsche Regierungsnetz möglicherweise durch Hacker ein Cyberangriff erfolgt sei. Der Angriff sei Informationen von NDR, WDR und Süddeutscher Zeitung zufolge Teil einer weltweiten Hacker-Attacke von der auch andere Länder betroffen sind.[6]

„Cyberangriffe können dazu führen, dass jahrelang unbemerkt Informationen abfließen. Zudem ist es möglich, eine bereits eingebrachte Schadsoftware erst zu einem bestimmten späteren Zeitpunkt zu aktivieren. Sollte nicht nur der Abfluss von Informationen, sondern die Manipulation von Daten und die (Zer-)Störung der Funktionalität das eigentliche Ziel sein – gegebenenfalls verbunden mit der gezielten Herbeiführung eines größeren Schadensfalles (also Sabotage) –, könnte der entsprechende Angriff zu einer lautlos tickenden digitalen Zeitbombe werden.“

Bundesamt für Verfassungsschutz: Verfassungsschutzbericht 2016[7]

Zunächst meldete dann das Auswärtige Amt einen entsprechenden Vorfall. Das Bundesinnenministerium erklärte, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Nachrichtendienste untersuchten einen IT-Sicherheitsvorfall. Innerhalb der Bundesverwaltung sei der Angriff isoliert und unter Kontrolle. Jedoch wurde die Attacke von deutschen Sicherheitsbehörden bereits im Dezember 2017 erkannt. Damals sei der Angriff schon über eine längere Zeit gelaufen, möglicherweise ein ganzes Jahr. Seitdem bemühen sich die Behörden herauszufinden, wie tief die angreifende Gruppe in das Regierungsnetz eingedrungen ist. Der Angriff soll zunächst auf das Netz der Hochschule des Bundes für öffentliche Verwaltung erfolgt sein und sich von da gezielt weitergearbeitet haben.[3]

Laut dpa wurde in das Netzwerk eine Schadsoftware eingeschleust, die es den Angreifern ermöglichte, über einen langen Zeitraum Daten auszulesen und abzuziehen. Kurz nachdem der Angriff erkannt worden war, schickte das BSI eine „technische Spezialeinheit“ zum Auswärtigen Amt zur Detailanalyse der Attacke. Das so genannte Mobile Incident Response Team (MIRT) wurde 2016 eingeführt, um betroffene Stellen vor Ort schnell unterstützen zu können.

Bei der angreifenden Gruppe sollte es sich laut Sicherheitskreisen zunächst um APT28 handeln.[8] Wegen des für APT28 zu komplexen und vorsichtigen Vorgehens der Angreifer wurde schließlich die Hacker-Gruppe „Snake“ als möglicher Angreifer genannt.[9][10]

Nach Informationen der Frankfurter Allgemeinen Sonntagszeitung (F.A.S.) war der Cyberangriff auf das nichtöffentliche Netz des IVBB ein gezielter Versuch Zugriff auf Unterlagen des Auswärtiges Amtes zu erlangen. Diesen Informationen zufolge platzierten die Angreifer bereits ca. 2016 Spionagesoftware (Spyware) auf einer Plattform der Bundesakademie für öffentliche Verwaltung, die maßgeschneiderte Internetkurse für das E-Learning anbietet. Von dieser Quelle wurden dann die elektronischen Unterlagen eines Fernkurses für Mitarbeiter des Auswärtigen Amtes gezielt infiziert. Nach Hinweisen eines nicht benannten fremden Nachrichtendienstes entdeckte die deutsche Spionageabwehr Spyware auf 17 Rechnern von Mitarbeitern des Auswärtigen Amtes und versuchte anschließend, die Angreifer zu lokalisieren und deren Methoden zu analysieren.[11]

Die Spionagesoftware wurde nach Informationen der Süddeutschen Zeitung über das E-Mail-Programm Microsoft Outlook gesteuert. Die Angreifer schickten demnach E-Mails mit im Mail-Anhang verstecken codierten Befehlen an die infizierten Rechner. Die Mail-Anhänge wurden von Outlook ohne Interaktion mit dem PC-Nutzer heruntergeladen und im Postfach abgelegt. Hier suchte die Spionagesoftware dann selbstständig nach solchen versteckten Befehlen und versuchte erst auf eine entsprechende Anweisung hin, auf dem PC gespeicherte Dokumente nach außen zu schicken.[12]

Weblinks

Einzelnachweise

  1. Das Projekt "Netze des Bundes" (NdB). Beauftragter der Bundesregierung für Informationstechnik, Bundesministerium des Innern (BMI), abgerufen am 27. April 2020.
  2. a b Jörg Blank, Christoph Dernbach, dpa: Sicherheitskreise: Hacker drangen in deutsches Regierungsnetz ein. In: heise online. 28. Februar 2018, abgerufen am 1. März 2018.
  3. a b Anna Sauerbrey, Frank Jansen, Claudia von Salzen, Sonja Álvarez, Oliver Voss: Cyber-Angriff – Unter russischer Beobachtung. In: Der Tagesspiegel. 1. März 2018, abgerufen am 2. März 2018.
  4. Bundestags-Kontrollgremium trifft sich wegen Hacker-Angriffs. In: Zeit Online. 1. März 2018, archiviert vom Original am 5. März 2018; abgerufen am 4. März 2018.
  5. Drucksache 18/10839. (PDF; 704 kB) Deutscher Bundestag, 16. Januar 2017.
  6. Stefan Krempl: Bundeshack: Angreifer kompromittierten 17 Rechner im Auswärtigen Amt. In: heise.de. 28. Februar 2018, abgerufen am 2. März 2018.
  7. Bundesamt für Verfassungsschutz, Bundesministerium des Innern (Hrsg.): Verfassungsschutzbericht 2016. Juni 2017, Kapitel „Spionage und sonstige nachrichtendienstliche Aktivitäten“, S. 260 (verfassungsschutz.de/de/oeffentlichkeitsarbeit/publikationen/verfassungsschutzberichte [PDF; abgerufen am 2. März 2018]).
  8. Jannis Brühl, Hakan Tanriverdi: Hacker-Angriff auf Außenministerium. In: sueddeutsche.de. 28. Februar 2018, abgerufen am 1. März 2018.
  9. Hakan Tanriverdi: Diese Gruppe soll hinter dem Bundeshack stecken. In: sueddeutsche.de. 2. März 2018, abgerufen am 2. März 2018.
  10. Andreas Wilkens: Bundeshack: Russische Hackergruppe "Snake" soll hinter Angriff stecken. In: heise.de. 1. März 2018, abgerufen am 4. März 2018.
  11. Peter Carstens, Thomas Gutschker: Cyber-Attacke war gezielter Angriff auf das Auswärtige Amt. In: Frankfurter Allgemeine Sonntagszeitung (F.A.S.). 3. März 2018, abgerufen am 4. März 2018.
  12. Hakan Tanriverdi: So schleusten die Hacker Daten aus dem Auswärtigen Amt. Süddeutsche Zeitung, 6. März 2018