Die Geschichte beginnt eigentlich ganz harmlos. Am 2. März führt das Software-Unternehmen Microsoft eine großangelegte Aktualisierung seines Exchange-Systems durch. Dadurch sollten Sicherheitslücken in dem Mail-Programm geschlossen werden, die einige Wochen zuvor bekanntgeworden waren.
In der Folge wendet sich die IT-Verwaltung des Innenministeriums an das Belgische Zentrum für Cybersicherheit (CCB). Eigentlich sollten die Experten nur überprüfen, ob man das System nach dem Update wieder ausreichend gesichert hatte. Die CCB-Fachleute durchleuchten also das Computernetz des Innenministeriums. Es sei eine äußerst gründliche Analyse gewesen, sagte Miguel De Bruycker, der Leiter des Zentrums für Cybersicherheit, in der VRT. Und dabei sei man auf verdächtige Datenflüsse gestoßen.
Das Ganze hatte gar nichts mit dem Microsoft-Update zu tun. Man sei eben nur bei der Gelegenheit auf "kaum wahrnehmbare Spuren zweifelhafter Aktionen" gestoßen. Wie sich herausstellte, waren das die Spuren von Hackern, die sich Zugriff zu dem Netzwerk verschafft hatten. Ein Cyberangriff also - und das ausgerechnet auf die Computer des Innenministeriums.
Schlimmer noch: Bei genauerem Hinsehen habe man festgestellt, dass die ersten Spuren dieser Attacke schon auf April 2019 zurückgehen. Der Eindringling hatte sich also schon vor fast zwei Jahren in dem Netzwerk eingenistet, sagte die CCB-Expertin Phédra Clouner in der RTBF. Wirklich überrascht sei man nicht gewesen, wohl aber erstaunt von der komplexen, ausgeklügelten und zielgerichteten Vorgehensweise der Hacker.
Im Klartext: Das waren keine Anfänger. Ganz im Gegenteil, ein solches Maß an Komplexität finde man eigentlich nur bei ausländischen Nachrichtendiensten, sagt Miguel De Bruycker - eine Spionage-Aktion also. Laut Medieninformationen deutet einiges darauf hin, dass die Spur nach China weist. Ganz genau wird man aber wohl nie wissen, woher genau der Angriff kam.
Aber ob nun Chinesen, Russen oder sonst wer: Die Hacker hatten Zugang zu den Rechnern des Innenministeriums. Dort werden auch das Nationalregister und andere hochsensible oder strategische Daten verwaltet. Die hätten die Eindringlinge aber nicht einsehen können, versichert Miguel De Bruycker. Nach dem derzeitigen Erkenntnisstand wurde über die attackierten Rechner nur der tagtägliche Schriftverkehr abgewickelt, also Emails und Dokumente. Was natürlich auch schon schlimm genug ist.
Aber wenn der Angriff schon im März ans Licht kam, warum erfährt die Öffentlichkeit erst jetzt davon? "Nun, dafür gibt es gute Gründe", sagt Miguel De Bruycker. "Es ist so: Wenn man einen Eindringling bemerkt, dann muss man erstmal eine gründliche Diagnose stellen, dann muss man sich anschauen, was der Hacker genau macht. Und dafür ist es wichtig, dass der Gegner nicht weiß, dass er entdeckt wurde. Sonst verschwindet er nämlich in aller Diskretion und verwischt seine Spuren".
Auf der Grundlage dieser Analyse hat man die Systeme jetzt also gesäubert und die Schwachstellen ausgemerzt. Und wie kann man verhindern, dass sich das wiederholt - zumal, wenn man bedenkt, dass der Eindringling ja eigentlich nur durch Zufall entdeckt wurde? "Naja, kein System ist hundertprozentig einbruchssicher", sagt De Bruycker. "Wir müssen uns also ständig infrage stellen und weiterentwickeln."
Das allerdings gelte auch für die Unternehmen und die Bürger. Die Digitalisierung ist in vollem Gange und entsprechend verlagere sich auch die Kriminalität immer mehr ins Internet. Und entsprechend sollten also alle Sicherheitspläne angepasst werden.
Roger Pint
