Laut dem BR und der Tagesschau gab es bis Ende April Cyberattacken auf drei IT-Dienstleister des ITZ Bund, das für 200 Bundes- und Landesbehörden verantwortlich ist. Bei den Angriffen seinen “sehr wahrscheinlich” große Mengen der E-Mail-Kommunikation und wohl auch persönliche Daten abgeflossen. Nun wird das Bild klar, warum genau die externen Dienstleister Materna, Init und adesso angegriffen wurden.
Der bundeseigene IT-Dienstleister ITZ Bund (Informationstechnikzentrum Bund) hat bis dato keine offizielle Meldung zu den Cyberattacken veröffentlicht. Dem BR bzw. der Tagesschau liegt wohl eine Nachricht des Informationstechnikzentrums Bund (ITZ Bund) vom Ende April mit einer Warnung zu den Attacken vor. Darin werden die Attacken, ihr Umfang und die Beute beschrieben.
So sollen die Cyberdiebe sehr viele E-Mails erbeutet haben. Dabei sind wohl auch personenbezogene Daten, Telefonnummern und Dienstsitze enthalten. Durch angehängte Dokumente landeten wohl auch Infos zu aktuellen Projekten und teils ganze Mailverläufe bei den Angreifern. Wie viele E-Mails die Angreifer erbeuten konnten und aus welcher Abteilung die Informationen stammen ist unklar, denn das ITZ Bund ist IT-Dienstleister für 200 Bundes- und Landesbehörden.
Sensible Informationen in erbeuteten E-Mails
Laut BR und Tagesschau warnt das ITZ Bund in dem Schreiben auch vor weiteren Angriffen, da in den Mails auch sensible Daten enthalten sind. Man schließt nicht aus, dass mit den erbeuteten E-Mails und Kontakten auch spezifizierte Attacken anlaufen könnten. Dazu kommt, dass das ITZ Bund bereits schriftlich erwähnt, dass möglicherweise bereits neue Attacken mit Hilfe der erbeuteten Informationen bereits laufen. Auf diese Weise könnten die Cyberangreifer vielleicht auch tiefer in das Netzwerk des ITZ Bund und seinen Dienstleistern gelangen und noch mehr Informationen erbeuten und die Sicherheit der Netze unterlaufen.
3 Dritt-IT-Dienstleister betroffen
ITZ Bund bedient sich Dienstleister für seine Services. Denn ITZ Bund verwaltet zwar die Daten und Zugänge, nutzt aber dafür die Infrastruktur anderer Unternehmen: adesso, Init und Materna. Alle diese Unternehmen vermeldeten in den letzten Wochen und Monaten Cyberangriffe und Datenverluste:
adesso: Entdeckte den Angriff im Januar 2023. Dabei stellen Spezialisten fest, dass die Angreifer bereits seit Ende Mai 2022 unbefugt und unbemerkt Zugang zum adesso-Netzwerk verschafft hatten.
Materna: Bereits am 25. März wurde der internationale IT-Dienstleister Materna das Opfer einer Cyberattacke. Was genau bereits Ende März bei der IT-Beratung Materna SE aus Dortmund, mit etwa 400 Millionen Jahresumsatz, genau passiert ist, lässt sich nur erahnen. Das Unternehmen erklärte, es sei das Ziel eines professionell ausgearbeiteten Cyber-Angriffs auf Netzwerkebene geworden.
Init: Laut BR ist seit Ende April der Angriff auf das IT-Unternehmen Init bekannt. Das Unternehmen hat den Cyberangriff hat auf BR-Anfrage bestätigt. Meldet aber nichts dazu auf seiner Webseite. Zu den Init-Kunden gehören unter anderem die Bundesministerien des Innern und der Wirtschaft. Weitere Ermittlungen laufen wohl noch.
Der BR berichtet weiter, dass ITZ Bund auch mit dem BSI in Kontakt stehe und hat folgenden Kommentar bekommen “Schon unmittelbar nach dem Bekanntwerden der Cyberangriffe im Januar wurden in Absprache mit dem ITZ Bund verschiedene Sicherheitsmaßnahmen initiiert, um eine Verbreitung von eventuellem Schadcode einzudämmen.”
Weitere DDoS-Attacke auf ITZ Bund
Nach den Angriffen auf die Dienstleister von ITZ Bund gab es nach Informationen des BR Recherche und BR Data einen DDoS-Angriff auf die Netzwerkstrukturen des ITZ Bund. Laut BR fand die Attacke am 16. Februar 2023 statt, die intern als “Major Incident”, also als IT-Notfall bezeichnet wurde.
Bei der DDoS-Attacke sollen die Server überlastet und gestört werden. Bei dieser Art der Attacke wird zwar nicht in ein Netzwerk eingedrungen, oft aber lenkt es von einer zweiten Attacke ab die eine Infiltration versucht. Laut dem Schreiben, das dem BR vorliegt, sollen die massenhaften Anfragen aus einem Nicht-EU-Land stammen. Das war aber zu erwarten, da die Angreifer hier oft auf Bot-Netze für eine DDoS-Attacke setzen.
Mehr bei ITZBund.de