2016, Blog

Erst nicht, dann doch, jetzt wieder nicht

Langsam wird es langweilig. Eigentlich sogar peinlich. Und sowieso völlig wertlos darüber zu schreiben. Ich mache es trotzdem, denn es ist Samstag und ich habe Zeit.

Ich weiß wer es war
von kowa

Alles schläft und kowa wacht,
hat an den Bundestaghack gedacht.

Oder war’s das Leak?
Wer ahnt es schon?

War es der Russe, war er es nicht?
Man hätt es gern – man wünscht es sich!

Doch irgendwie glaubt’s keine Sau,
Die im Netz, die warn so schlau.

Der Rest konnte es nicht mehr hören,
immer das gleiche öde Röhrn.

Nur die Großen in der Runde,
sprachen schuldig Putins Hunde.

Wie sie bissig und versessen
sich durch die Datenleitung fressen.

Doch jetzt ist’s soweit, es war wer anders!
Sie ermitteln jetzt im Bundestag.

In einem Jahr gibt’s erst wieder was Neues,
denn so geht das immer nur.

Irgendwann und irgendwie auf einem Zettel,
findet die Putzfrau zufällig die schuldige IP.

Der Ursprung liegt auf einem Server,
wer hätte das gedacht heut früh.

Auf einem Server tief in Afrika
in englischer Sprache mit russischem Dialekt.

So ist’s dann gut und alle froh,
es war doch der Russe! Direkt vom Klo.

(Ende)

So, zurück zum Thema. Ihr erinnert Euch an den Bundestaghack 2015? Da war es doch am Anfang auch der Russe und irgendwann war er es dann doch nicht. Jetzt sind Daten aus dem NSA-Untersuchungsausschuss auf Wikileaks aufgetaucht. Relativ schnell waren Putins Hacker bereits schuldig. Doch jetzt gibt es Ermittlungen im Bundestag selbst. War auch irgendwie zu erwarten. Gähn.

Was können Ermittler jetzt eigentlich unternehmen, um herauszufinden wer die Daten weitergegeben hat?

Da gibt es zwei Möglichkeiten, weil es zwei Wege gibt.

Lagen die Akten in Papierform vor, egal ob parallel digital oder nicht, so ist der (Papier-)Kreis auf diejenigen beschränkt, die physischen Zugang zu den Akten und den Räumen und Schränken zu dieser Zeit hatten. Leute mit Schlüsseln, Stechkarten etc.. Da die Daten sicher digital an Wikileaks weitergereicht wurden und nicht per Post, müsste zusätzlich ein Scanner genutzt worden sein. Also kein Flachbrettmüll, sondern schon ein ordentliches Büroteil, das mal einige Tausend Seiten durchrocken kann.
Wenn die Jungs im Bundestag eine ordentliche Nutzerverwaltung haben und die Bürogeräte eingebunden sind, so dass nur ein Nutzer bspw. mit einer Stechkarte oder einem Code die internen Geräte nutzen kann, dann ist es kein Problem festzustellen, wer da einige Tausend Seiten digitalisiert hat. Das sollte schnell gehen. Hat man ein derartiges System nicht aufgebaut, wären nur Beobachtungen der Mitarbeiter und KollegInnen nutzbringend. Wer hat jemanden Ordner schleppen und zum Kopierer gehen sehen? Bei letzterem Fall sind die Erfolgsaussichten sicher gering.

Ähnlich verhält es sich mit der zweiten Möglichkeit. Alle Daten lagen digital vor. Die Daten werden dann auf einem System liegen, das irgendwo im IT-Bereich steht. Auf dieses Gerät haben dann in der Regel die zuständigen Admins Zugriff. Und natürlich Vollzugriff. Sollte es jemand aus dem IT-Bereich gewesen sein, wird er aber sicher seine Spuren beseitigt haben. Gehe ich mal von aus. Also ich würde das tun, weil ich weiß wie und weil ich Admin bin. Anders wäre es, wenn die Daten in einem voll überwachten System liegen, wo kein Admin Löschrechte hat. Kann man auch machen. Würde sich bei klassifizierten Daten anbieten. Dann würde das aber auch kein Admin tun. Höchstens Idealisten wie E.Snowden. Aber die bei Wikileaks veröffentlichten Daten erschüttern unser Land eher weniger. Lohnt sich also nicht seinen schönen warmen Arsch zu riskieren.

Wenn es kein Admin war, bleiben nur Mitarbeiter und Abgeordnete und weitere Personen, die Zugriff haben. Da es sich um Daten handelt, die wohl eher nicht allen Nutzern zugänglich sind, verhält es sich wie beim Zugang zu Räumen und Geräten. Welche Nutzer haben über die Nutzerverwaltung bzw. die Rechteverwaltung Zugriffsmöglichkeit auf die Ordner auf dem jeweiligen Server in dem die Daten zu finden sind?
Auch hier sollte es nicht schwer herauszufinden sein, sofern ein Protokoll bzw. Log mitläuft, wer die meisten Daten rausgesaugt hat, oder wer, falls eingrenzbar im fraglichen Zeitraum, zugegriffen und ordentlich Datentraffic verursacht hat.
Dann müsste man noch prüfen, ob die in engere Auswahl kommenden Personen wirklich anwesend waren oder vielleicht ein Missbrauch vorliegt. Sodann müssten die Rechner der verdächtigen Personen forensisch untersucht werden, ob noch Spuren von den Daten oder einem Versende-, Kopier- oder Brennvorgang zu finden sind. Auch die Internetlogs sind wichtig. Vielleicht wurde ja frecherweise direkt aus den Abgeordnetenbüros heraus gesendet.

Da gibt es eine Menge zu tun. Und es wird sicher ein halbes Jahr dauern bevor wir weitere Antworten erhalten. Es war aber bestimmt Putin. Das würde so richtig viel Ressourcen schonen und ist am Günstigsten.

Natürlich könnten die Sicherheitsmechanismen auch dafür gesorgt haben, dass jedem Mitglied eine spezielle Version der Unterlagen zugegangen ist. Mit Sonderzeichen an bestimmten Stellen und das einmalig pro Nutzer, oder Wasserzeichen, oder sogar steganographische Wasserzeichen etc.! Aber ich in da ehrlich: Glaub ich nicht!

Ein weiterer Hack, der dafür genutzt wurde mit den Nutzerrechten zu spielen und sich Zugang zu beschaffen, ist natürlich auch möglich. Wäre nach 2015 aber ziemlich peinlich nochmal so eine Meldung lesen zu müssen.

Viel Spaß beim Ermitteln!

Tagged , , , , , , , ,