Cyberangriff auf das IKRK: Was wir wissen
Update: 16. Februar 2022, 9.00 Uhr MEZ - Vor knapp einem Monat haben wir festgestellt, dass die Server mit personenbezogenen Daten von über 515 000 Menschen weltweit in einem ausgeklügelten Cyberangriff gehackt wurden. Mittlerweile sind wir in der Lage, einige Ergebnisse unserer Analyse dieses Datenlecks bekanntzugeben.
Es ist unsere Verantwortung als humanitäre Organisation, die ihren Partnern und den Menschen, für die sie sich einsetzt, rechenschaftspflichtig ist, die entsprechenden Informationen zu diesem Angriff zu teilen.
Was soll ich tun, wenn ich glaube, dass meine Daten im Rahmen dieses Cyberangriffs kompromittiert wurden?
Sollten Sie noch keine Nachricht von uns bekommen haben, bitten wir Sie, sich an die lokale Rotkreuz- oder Rothalbmondgesellschaft bzw. an das IKRK-Büro in Ihrem Land zu wenden. Die Liste mit Kontaktangaben finden Sie hier. Darüber hinaus haben wir einen Artikel mit Fragen und Antworten für Betroffene erarbeitet, in dem weitere Informationen bereitgestellt werden. Es ist uns bewusst, dass Sie uns Ihre persönlichen Informationen und Einzelheiten im Zusammenhang mit oftmals traumatischen Ereignissen in Ihrem Leben anvertraut haben. Eine solche Verantwortung nehmen wir nicht auf die leichte Schulter. Sie sollen wissen, dass wir alles in unserer Macht Stehende tun, um die Leistungen, die wir weltweit anbieten, wieder bereitstellen zu können. Wir arbeiten hart daran, Ihr Vertrauen in unsere Organisation zu bewahren, um Sie auch in Zukunft unterstützen zu können.
Warum war dieser Angriff so extrem ausgeklügelt und zielgerichtet?
Die Hacker haben sich erhebliche Ressourcen zunutze gemacht, um sich Zugang zu unseren Systemen zu verschaffen, und haben Taktiken verwendet, welche die meisten Programme zur Zugriffserkennung nicht ausgemacht hätten. Die folgenden Informationen zeigen die ausgeklügelte und zielgerichtete Art des Angriffs:
- Die Hacker haben ein äusserst spezifisches Set an hochentwickelten Hacker-Werkzeugen für offensive Sicherheitsmassnahmen verwendet. Diese Werkzeuge werden vor allem von „Advanced Persistent Threat" [1] -Gruppen verwendet, sind nicht öffentlich erhältlich und deshalb ausserhalb der Reichweite anderer Akteure.
- Die Angreifer verwenden ausgeklügelte Verschleierungstechniken, um ihre Schadsoftware zu verbergen und zu schützen. Dies verlangt ein hochqualifiziertes Wissen, das nur wenigen Akteuren zur Verfügung steht.
- Wir haben diesen Angriff als zielgerichtet klassifiziert, weil die Angreifer einen Code geschaffen haben, der nur zur Ausführung auf den als Ziel bestimmten IKRK-Servern entwickelt wurde. Die von den Angreifern verwendeten Werkzeuge beziehen sich ausdrücklich auf eine eindeutige Kennung auf den als Ziel bestimmten Servern (deren MAC-Adresse).
- Die Anti-Malware, die wir auf den als Ziel bestimmten Servern installiert hatten, war aktiviert und hat einige der von den Angreifern verwendeten Dateien entdeckt und blockiert. Aber die meisten der eingesetzten schädlichen Dateien wurden spezifisch entwickelt, um unsere Anti-Malware zu umgehen; erst mit der Installation einer im Rahmen unseres geplanten Programms zur Verbesserung der Cybersicherheit hochentwickelten „Endpoint Detection and Response"-(EDR)-Lösung wurde das Eindringen entdeckt.
Wann haben wir von diesem Angriff erfahren?
Ein vom IKRK beauftragtes Spezialunternehmen im Bereich Cybersicherheit, das uns beim Schutz unserer Systeme unterstützt, hat auf den IKRK-Servern eine Unregelmässigkeit entdeckt, die Informationen im Zusammenhang mit dem globalen Programm der Rotkreuz- und Rothalbmondbewegung zur Zusammenführung getrennter Familien enthielt. Wir haben anschliessend eine umfassende Analyse der Daten durchgeführt und am 18. Januar festgestellt, dass Hacker in die Systeme eingedrungen sind und sich Zugang zu den Daten verschafft haben.
Wie lange waren die Hacker in unseren Systemen?
Im vorliegenden Fall haben wir binnen 70 Tagen nach dem Auftreten des Datenlecks eine Unregelmässigkeit in unserem System entdeckt und unmittelbar im Anschluss daran eine umfassende Analyse gestartet. Auf dieser Basis konnten wir am 18. Januar feststellen, dass unsere Server kompromittiert wurden. Unsere Analysen zeigen, dass das Datenleck am 9. November 2021 aufgetreten ist.
Es dauert normalerweise recht lange, bis ein so grosses und komplexes Datenleck entdeckt wird. Wir wissen zum Beispiel, dass es im Durchschnitt 212 Tage [2] braucht, um ein solches Datenleck zu erkennen.
Wie sind die Hacker in unsere Systeme gekommen?
Die Hacker konnten sich Zugang zu unserem Netzwerk und unseren Systemen verschaffen, indem sie eine nicht gepatchte kritische [3] Schwachstelle in einem Authentifizierungsmodul (CVE-2021-40539) ausgenutzt haben. Diese Schwachstelle ermöglicht böswilligen Cyberakteuren, Webshells zu platzieren und Post-Exploitation-Aktivitäten durchzuführen wie beispielsweise Administratorrechte zu kompromittieren, laterale Bewegungen durchzuführen oder Registrierungsstrukturen und Active-Directory-Dateien zu exfiltrieren. Nachdem die Hacker in unser Netzwerk eingedrungen sind, konnten sie offensive Sicherheitswerkzeuge einsetzen, mit denen sie sich selbst als legitime Nutzer oder Administratoren ausgeben konnten. So waren sie in der Lage, auf Daten zuzugreifen, obwohl diese verschlüsselt sind.
Was war falsch an unseren Sicherheitssystemen?
Das Patch-Management ist ein weitreichendes Unterfangen für jedes grosse Unternehmen. Jedes Jahr installieren wir Zehntausende Patches in all unseren Systemen. Die zeitnahe Installation kritischer Patches ist entscheidend für unsere Cybersicherheit; leider haben wir diesen Patch nicht rechtzeitig installiert, um den Angriff abzuwenden.
Wir haben beim IKRK ein mehrstufiges Cyberabwehrsystem mit Endpunkt-Überwachung, Scan-Software und anderen Tools. Im vorliegenden Fall hat die Analyse nach dem Angriff gezeigt, dass unser Schwachstellenmanagement und die dazugehörigen Werkzeuge das Datenleck nicht aufhalten konnten. Wir haben in beiden Bereichen umgehend entsprechende Änderungen vorgenommen. Darüber hinaus beschleunigen wir die Umsetzung der bereits geplanten Massnahmen im Rahmen unseres jüngsten, im Februar 2021 als Reaktion auf die sich kontinuierlich entwickelnden Bedrohungen lancierten Programms zur Verbesserung der Cybersicherheit.
Wer steht mutmasslich hinter diesem Angriff?
Wir können nicht sagen, wer hinter diesem Angriff steht oder warum er durchgeführt wurde, und wir werden keine Spekulationen darüber anstellen. Wir haben keinerlei Kontakt mit den Hackern und es wurde auch kein Lösegeld gefordert. Gemäss unserer gängigen Praxis, mit allen Akteuren in Kontakt zu treten, die unsere humanitären Einsätze unterstützen oder behindern können, sind wir bereit, direkt und vertraulich mit denjenigen zu sprechen, die für diesen Angriff verantwortlich sind, um sie davon zu überzeugen, unsere humanitäre Arbeit zu respektieren. Wir fordern die Hacker auch erneut auf, diese Daten nicht zu teilen, zu verkaufen, zu verbreiten oder anderweitig zu nutzen.
Mit wem arbeiten wir in dieser Angelegenheit zusammen?
Wir arbeiten mit unseren wichtigsten Technologiepartnern und hochspezialisierten Unternehmen zusammen, die uns bei der Klärung unterstützen. Seit Beginn dieser Krise arbeitet der IKRK-Hauptsitz in Genf eng mit dem Nationalen Zentrum für Cybersicherheit (NCSC) der Schweiz zusammen. Die nationalen Rotkreuz- und Rothalbmondgesellschaften stehen in Kontakt mit den zuständigen nationalen Behörden.
Welche Informationen wurden gehackt?
Es wurden personenbezogene Daten wie Namen, Orte und Kontaktinformationen von über 515 000 Personen weltweit gehackt. Zu den Betroffenen gehören vermisste Personen und ihre Familien, Inhaftierte und andere Personen, die infolge von bewaffneten Konflikten, Naturkatastrophen oder Migration Leistungen von der Rotkreuz- und Rothalbmondbewegung erhalten. Wir glauben nicht, dass es im Interesse der von diesem Datenleck betroffenen Menschen ist, weitere Details darüber zu teilen, um wen es sich handelt, wo sich die Betroffenen befinden oder woher sie stammen.
Wurden Datensätze kopiert und exportiert?
Davon müssen wir ausgehen. Wir wissen, dass die Hacker in unsere Systeme eingedrungen sind und deshalb auch in der Lage waren, diese zu kopieren und zu exportieren. Unseres Wissens nach wurden zum jetzigen Zeitpunkt die Informationen weder veröffentlicht noch verkauft. Wir vertrauen auf unsere ersten Analysen, dass im Rahmen des Angriffs keine Daten gelöscht wurden. Dies ist wichtig, weil es uns ermöglicht, Übergangssysteme einzurichten, um unsere Arbeit zur Zusammenführung von getrennten Angehörigen wieder aufzunehmen.
Wurden die Daten anderweitig angeboten, darunter auch im Darknet?
Zum jetzigen Zeitpunkt liegen uns keine schlüssigen Beweise vor, dass die Informationen im Zusammenhang mit dem Datenleck veröffentlicht wurden bzw. gehandelt werden. Unser Cybersicherheitsteam geht allen Berichten nach, die wir darüber erhalten, dass Daten im Darknet verfügbar sein sollen.
Wie zuversichtlich sind wir, dass die Hacker nicht mehr in unseren Systemen sind?
Als der Cyberangriff feststand, haben wir die kompromittierten Server sofort abgeschaltet. Wir sind zuversichtlich, dass dieser Vorfall keine anderen Server betroffen hat, weil wir unsere Systeme segmentieren und die gesamte Umgebung unter Einsatz hochentwickelter Instrumente kontinuierlich auf Anzeichen schädlicher Aktivitäten überwachen.
Was machen wir jetzt?
In Absprache mit den Nationalen Rotkreuz- und Rothalbmondgesellschaften und den IKRK-Delegationen vor Ort werden die Einzelpersonen und Familien informiert, deren Daten kompromittiert wurden. Es handelt sich um einen komplexen, langwierigen Prozess. Diejenigen, die besonders gefährdet sind, geniessen unsere oberste Priorität. Der Kontakt erfolgt meist per Telefon, Hotline, öffentlicher Bekanntmachung oder Brief und in manchen Fällen auch persönlich, wenn die Teams in abgelegene Gegenden reisen müssen, um die Menschen entsprechend zu informieren. Wir tun alles, was in unserer Macht steht, um Menschen zu kontaktieren, die schwer zu erreichen sind, darunter z.B. Migranten. Wir haben auch Übergangslösungen entwickelt, mit denen die Rotkreuz- und Rothalbmondteams weltweit weiterhin einen grundlegenden Suchdienst für die Menschen bereitstellen können, die von diesem Datenleck betroffen sind; parallel dazu entwickeln wir eine neue digitale Umgebung für den zentralen Such- und Schutzdienst.
Was ändert sich an der Webumgebung des zentralen Such- und Schutzdienstes, bevor dieser aufgeschaltet wird?
Zu den Verbesserungen im Sicherheitsbereich gehören eine neue Zwei-Faktor-Authentifizierung sowie der Einsatz hochentwickelter Lösungen zur Gefahrenerkennung. Erfolgreiche extern durchgeführte Penetrationstests für alle Anwendungen und Systeme sind die Voraussetzung dafür, dass der Such- und Schutzdienst wieder aufgenommen werden kann.
Warum stellen wir keine weiteren technischen Informationen über den Angriff bzw. unsere Systeme bereit?
Wir nehmen die Cybersicherheit sehr ernst und haben in den letzten Jahren umfassende Investitionen in diesem Bereich getätigt. Diese Investitionen müssen im Angesicht der sich ständig weiterentwickelnden Bedrohungsumgebung fortgesetzt werden. Um die Sicherheit unserer Anwendungen zu gewährleisten und in Übereinstimmung mit bewährten Vorgehensweisen in der Industrie werden wir keine Angaben zur technischen Architektur oder zu Sicherheitsinformationen machen.
[1] - Ein „Advanced Persistent Threat" (APT) ist eine heimliche Bedrohung, typischerweise durch einen Nationalstaat oder eine staatlich geförderte Gruppe, die sich unbefugten Zugang zu einem Computer-Netzwerk verschafft und über einen längeren Zeitraum unentdeckt bleibt. In der jüngeren Vergangenheit verweist dieser Begriff auch auf nicht-staatlich geförderte Gruppen, die gross angelegte gezielte Einbrüche für bestimmte Zwecke durchführen (Quelle: https://www.digitalacademy.de/glossar/cybersecurity/apt-advanced-persistent-threat
[2] - Aus dem IBM-Bericht „Cost of a Data Breach 2021" (auf Englisch): „2021 dauerte es durchschnittlich 212 Tage, um ein Datenleck zu entdecken, und durchschnittlich 75 Tage, um ein Datenleck einzudämmen, d.h. insgesamt 287 Tage." https://www.ibm.com/security/data-breach
[3] - Quelle: https://nvd.nist.gov/vuln/detail/cve-2021-40539
