Computer-Wurm Conficker bei der Bundeswehr

Es hört sich an, wie in einem schlechten Film, was heute in den Nachrichten zu hören ist. Hunderte Bundeswehr-Rechner sind von einem Computer-Wurm namens Conficker (alias Downadup) befallen worden. Dieser Wurm verbreitet sich schon seit Wochen weltweit auf Microsoft-Windows-Systemen. Ein Sprecher des Bundesverteidigungsministeriums äußerte sich am Sonnabend in Berlin dazu: “Einzelne betroffene Dienststellen wurden vom Bundeswehr-Netzwerk getrennt, um eine weitere Ausbreitung der Schadsoftware zu verhindern”. Zur Beseitigung des Wurms setzte die Bundeswehr umgehend Spezialisten eines Computer-Notfall-Teams der Bundeswehr und der Firma BWI Informationstechnik GmbH (zu je ca. 50% Siemens IT Solutions and Services und BUND, 0.05% IBM) ein. Die BWI Informationstechnik GmbH hat einen Großauftrag bei der Bundeswehr, in dem es darum geht, innerhalb von zehn Jahren (2006-2015) insgesamt 300.000 Telefone und 140.000 Computerarbeitsplätze auf ein einheitliches System zu bringen.

Wie es scheint, ist dabei mal wieder ein riesiger Batzen Steuer-Geld in den Sand gesetzt worden. Immerhin diesmal nicht in die afghanische Wüste, sondern lediglich in deutschen Sand. Es ist wohl den meisten IT-Experten nicht nur mit Schwerpunkt auf IT-Sicherheit unerklärlich, wie man in einem eigentlich strategisch operierenden Staatsunternehmen wie der Bundeswehr in großem Stil Microsoft-Software einsetzen kann. Da bleibt zu hoffen, dass das auf 6,5 Mrd Euro angesetztes Herkules-Projekt der BWI Informationstechnik GmbH Großteils auf Linux setzt - allerdings gibt es keine diesbezüglichen Informationen. Der Einsatz von Windows alleine wäre aber noch nicht mal ausschlaggebend, da sich mittels hinreichender User-Restriktionen und einem damit allerdings verbundenen großem Mehraufwand auch Microsoft-Netzwerke ordentlich gegen die Verwendung fremder Laptops oder Speichermedien sichern lassen. Auch eine starke Segmentierung der Netze und sichere Passwörter hätten in diesem Fall geholfen. Nichtsdestotrotz ist es absolut unverantwortlich, in sicherheitsrelevanten Umgebungen nicht auf hochsichere Unix-/Linux-Systeme zu setzen, zumal Linux in den meisten Anwendungsfällen eine wesentlich niedrigere TCO (Total Cost of Ownership) aufweisen kann. Die Verantwortlichen, die bei der Bundeswehr Windows-Systeme einsetz(t)en, kann man nur als Amateure bezeichnen und es bleibt zu wünschen, dass entsprechende Konsequenzen gezogen werden. Würde statt proprietärer Lösungen z.B. das als sehr stabil und sicher geltende Debian GNU/Linux (knapp 50% der dt. Linux-Server nutzen Debian) eingesetzt werden, so könnte man mit dem gesparten Geld die vielen guten und wichtigen Linux-Projekte signifikant unterstützen und vorantreiben. Das wäre zur Abwechslung mal eine wirklich gute Investition von Steuergeldern. Das Debian-GNU/Linux-Projekt gab heute die Version 5.0 Lenny als stable frei.

Unterhaltsam mutet es auch an, dass vor gerade mal einer Woche die Bundeswehr eine eigene Hackertruppe unter dem Namen Abteilung Informations- und Computernetzwerkoperationen in der Nähe von Bonn aufgestellt hat. Die Hacker der Bundeswehr sollen bis zum nächsten Jahr einsatzbereit sein, um in fremde Netzwerke zwecks Spionage, Manipulation und Zerstörung eindringen zu können. Nun hat es erstmal ein schnöder und schon in einigen Varianten bekannter Wurm geschafft, sich in die Bundeswehr hineinzuarbeiten.

Übrigens hatte es nach dem Start der ersten Versionen vor gut 2 Monaten in Asien (wahrscheinlicher Ursprung China) und einer großen Verbreitung in den USA in den letzten Wochen bereits zahlreiche andere große Institutionen und Firmen quer durch Europa getroffen. In Österreich wurden zum Jahreswechsel einige größere Unternehmen und sogar eine Privatbank Opfer des Wurms. Anfang des Jahres waren die 3000 Rechner der Kärntner Landesregierung befallen worden und konnten über einen längeren Zeitraum nicht genutzt werden. Kurz darauf traf es etwa 3000 PCs von Krankenhäusern im gleichen Ort - eine Verschleppung der Infektion per USB-Stick ist in diesem Fall naheliegend. In Bulgarien wurden ebenfalls Anfang des Jahres Systeme von Innenministeriums, Polizei und Grenzpolizei infiziert. Laut Heise war das Intranet der französischen Marine Mitte Januar betroffen und auch die britische Kriegsmaschinerie (Kriegsschiffe, Basen der Royal Air Force, Armee) hatte mit Conficker zu kämpfen. Die US-Armee hatte im November 2008 ähnliche Probleme in ihren Streitkräften nach dem Befall mit dem Wurm Worm:W32/Agent.BTZ, der ebenfalls die zusätzliche Infektionsmöglichkeit mittels USB-Sticks nutzen kann.

F-Secure schätzte schon am 16. Januar 2009 die Gesamtanzahl der mit Conficker/Downadup infizierten Rechner auf etwa 9 Millionen weltweit - der Großteil davon dürfte allerdings längst wieder clean sein. Dennoch, bei 9 Millionen infizierten Windows-Maschinen im Januar und Infektionen bei anderen verbündeten Verbänden hätte doch auch bei der Bundeswehr mal eine Alarmglocke klingeln müssen und ein Krisenstab wäre angesagt gewesen. Unter der Voraussetzung, dass es bei der Bundeswehr überhaupt echte IT-Sicherheitsexperten gibt, wäre ein naheliegendes must-do-Ergebnis eines solchen Krisenstabes unter anderem die schnellstmögliche Durchführung von Sonderseminaren für die Bundeswehrangehörigen und -angestellten zum Thema IT-Sicherheit gewesen. Das gab es wohl nicht, die Amateurhaftigkeit ist einfach nur peinlich.

Quellen: diverse Antivirenhersteller-Websites, bekannte Nachrichten-Portale wie z.B. Heise

Weiterführendes: Infos zu Conficker alias Downadup

4 Reaktionen zu “Computer-Wurm Conficker bei der Bundeswehr”

  1. Hans Dampf

    Linux ist kein Betriebssystem sondern ein Hobby. Bei der BW Milliarden für die Ausbildung der Nutzer mit Linux zu investieren wäre Schwachsinn. Dienststellen die restriktiv die IT Sicherheitsvorgaben des CERTs benutzt haben bzw die Warnmeldungen des CERTs im September ernst genommen haben hatten keine Probleme.
    Also da wieder ein Windows Problem heraufzubeschwören ist Blödsinn. Wir haben schon die “geilsten” Linux Projekte scheitern sehen.

  2. admin

    Das Linux kein Betriebssystem sei, ist ja mal eine äußerst amüsante Aussage und dann noch zu behaupten, Linux sei ein Hobby, ist die Krönung :mrgreen: Ich verwalte mit einem Kollegen zusammen um die 100 im Netz stehende Server mit diversen Diensten drauf und ich selbst bin dabei nur 1-2 Tage die Woche tätig, mein Kollege etwa 2-3 Tage (zzgl. 2 Tage für in der Theorie wesentlich weniger komplexe Windowssysteme). Hätten die Kisten Windows drauf, würden wir wohl nicht mal die Hälfte der Server verwaltet bekommen und der Spass würde unsere Kunden ein Vielfaches kosten.

    Was eine Migration von Arbeitsplatzrechnern hin zu Linux angeht, würde eine Umschulung der User auf ein Ubuntu oder Debian GNU/Linux nahezu nichts kosten. Schließlich lassen sich die Standardprogramme wie OpenOffice, Browser wie der Firefox etc. ähnlich und eher professioneller (sprich: effizienter) bedienen, wie entsprechende propritäre Software und man kann eine solche Umstellung auch schon vorher beginnen, indem man den Usern freie Software wie OOo oder Fifo schon unter Windows vorgibt. Nach einer kompletten Umstellung muss und darf ein User dann auch nichts im System ändern, also was soll er schon für besondere Kenntnisse haben müssen? Die wenigen Änderungen im Arbeitsablauf schafft ein mittelmäßig intelligenter Mensch auch allein zu bewerkstelligen, den anderen kann man man aus den gesparten Software-Lizenzgebühren Miniseminare anbieten, die dann evtl. auch noch ein paar zusätzliche Kleinigkeiten vermitteln können.

    Wir wollen mal auch nicht vergessen, dass Microsoft erst sehr spät damit begann, das Inseldenken (alleinstehende PCs und kleine lokale Netze ohne Internetanbindung) zu überwinden. Linux hingegen wurde von Anfang an auf Netzwerkfähigkeit und entsprechende Sicherheit ausgelegt. Keine Frage, es gibt leider immer noch Fachapplikationen, die es nur für Windows gibt oder Serverdienste, die unter Linux weniger praktisch handhabbar sind, als unter Windows. In solchen Fällen muss man sich halt gedulden und solange heterogene Serverlandschaften betreiben, bis es Alternativen für Linux gibt. Gerade die Bundeswehr hätte für eine solche Neuentwicklung von Software auch genügend finanzielle Mittel, um noch nicht mal wirklich lange auf freie Entwicklungen warten zu müssen. Wie dem auch sei, Windowsserver würde ich jedenfalls nur innerhalb einer virtuellen Maschine freiweillig ins Netz stellen. Falls die Bundeswehr wirklich keine guten Admins haben sollte, die in der Lage sind, zukunftsweisende Technologien kostensparend umzusetzen, kann ich gerne aushelfen - aber wohl kaum zum “normalen” Bundeswehrsold, dafür bekommt man nämlich keine guten Admins ;)

  3. Sascha Krug

    Hallo allerseits!
    Ist zwar nicht direkt zeitnah, aber dennoch…

    Ich habe mit einem “Kollegen” ein Programm entwickelt, welches genau gegen solche und etliche weitere Angriffe schützt.
    Windows ist nicht schlecht und kann auch sicher sein, wenn man weiß, wie man es zu konfigurieren hat!
    Leider muss ich selber immer wieder feststellen, dass NA’s zwar ein Netzwerk zusammen basteln können, aber in dem Punkt Sicherheit ihre Hausaufgaben nur unzulänglich gemacht haben. (Beispiele hört man in den Medien, bzw s.o.)

    Ich, als Bürger, habe mir das Recht genommen alle Behörden und Politiker anzuschreiben und auf diese Missstände hinzuweisen, bis jetzt habe ich noch keine Rückmeldungen erhalten. Ich hoffe jedoch sehr, dass sie meine Aufforderung zur Präsentation annehmen werden.

    Man bedenke, was in Stirb Langsam 4 gezeigt wird ist derzeit, ohne eine richtige Konfiguration der Systeme, weiterhin möglich!

    Aber bevor jetzt wieder kommt, dann nehmt doch *NIX, auch dafür gibt es etliche Exploits wie Sand am Meer, die dem Angreifer mal eben den Root Zugang eröffnen!

    Unser Programm, genannt WSecure, wird jetzt auch sehr bald für alle Privatanwender KOSTENLOS verfügbar sein, da meines Erachtens auch der Bürger diesen Schutz genießen soll! Microsoft wird leider niemals diese Sicherheitslücken schließen…

    MfG,
    Sascha Krug

  4. admin

    Naja, schöne bunte Seite, aber bisher gibt es dort außer überflüssigen Animationen nichts. Ich wünsche Dir viel Erfolg beim Entwickeln einer Software, die diverse Windowsversionen in den unterschiedlichsten Anwendungsscenarien abdichten kann. Derartiges gibt es zwar wie Sand am Meer, aber vielleicht entwickelst Du da ja wirklich etwas Wegweisendes.

Einen Kommentar schreiben