Wie lief der Cyberangriff auf den Fahrdienstleister des Bundestages, die #BwFuhrparkService GmbH, im August ab?. Mittlerweile liegt ein interner Untersuchungsbericht des @BSI_Bund zum Vorfall vor. Mehr im Thread ⬇️ https://twitter.com/FlorianFlade/status/1296122016400134147?s=20 #Cyberattack #Emotet
Am 13. August 2020 war demnach das Lagezentrum des #BSI über die „Kompromittierung“ der Firma informiert worden. Unbekannte Angreifer hatten Zugriff auf das Microsoft Active Directory (AD) der #BwFuhrpark erlangt. Anti-Viren-Alarme hatten angeschlagen.
Am 20. August 2020 entsandte das BSI ein Mobile Incident Response Team ( https://twitter.com/florianflade/status/1304419444773605376) mit drei MitarbeiterInnen zur Firmenzentrale der BwFuhrparkService nach Troisdorf, um forensische Analysen durchzuführen.
Ein privates IT-Sicherheitsunternehmen teilte mit, dass die Infektion der Systeme offenbar durch eine Phishing-Email mit einer maliziösen URL erfolgte, die von einem Fuhrpark-Mitarbeiter geöffnet worden war.
Es handelte sich offenbar um einen Angriff der #Emotet-Erpressungskampagne, die als finanziell motivierte Cyber-Kampagnen der Kategorie #Cybercrime gilt. Allerdings seien bei diesem Vorfall noch keine Daten verschlüsselt worden. Siehe: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
Neben der #Emotet-Software sollen beim Angriff auf die BwFuhrpark Service GmbH auch die Schadprogramme #QakBot, #CobaltStrike und #Mimikaz zum Einsatz gekommen sein.
Laut #BSI-Untersuchungsbericht seien keine hinreichenden Informationen festgestellt worden, aus denen man schließen könne, dass personenbezogene Daten, die eine Gefährdung für Bundestagsabgeordnete bedeuten könnten, an Unberechtigte abgeflossen sind.
Insgesamt war das BSI mit 145 sogenannten Personentagen mit der Untersuchung befasst, eingebunden waren zudem u.a. das @bka , das @BMVg_Bundeswehr , das @BMI_Bund , das CERT BWI, das Kommando Cyber- und Informationsraum der @bundeswehrInfo.
Kurz vor dem Cyberangriff hatte @certbund mitgeteilt, dass Betreiber Kritischer Infrastruktur ( #KRITIS) mit dem Schutzprogramm „ #EmoCrash“ gegen #Emotet-Infektionen ausgestattet worden waren: https://twitter.com/certbund/status/1295295733088878592?s=20
Die #BwFuhrpark Service GmBH aber gilt nicht als Betreiber von #KRITIS (siehe: https://www.bsi.bund.de/DE/Themen/KRITIS/kritis_node.html) – bis heute nicht, wie das BSI auf Anfrage bestätigte.
Das Unternehmen selbst teilte mit: „Die gewonnenen Erkenntnisse und Erfahrungen aus dem Cyberangriff sind in den kontinuierlichen Verbesserungsprozess der IT-Sicherheit eingeflossen und entsprechende Schutzmaßnahmen sind kurzfristig implementiert worden.“
Bundestagsabgeordnete @KonstantinNotz und @ManuelHoeferlin hatten @tagesschau und @SZ die Datenspeicher-Praxis des Fahrdienstleisters kritisiert, der sensible Informationen bis zu drei Monate speicherte. Die Fristen seien inzwischen verkürzt worden, so der BwFuhrpark.
You can follow @FlorianFlade.
Tip: mention @twtextapp on a Twitter thread with the keyword “unroll” to get a link to it.

Latest Threads Unrolled:
Those who think consciousness raising & movement building are disconnected, or even a distraction from electoral politics have not paid attention to the history of social change.In this thread, we
Read more
The 2020s will be known as the Remote Work decadeA few predictions of what is likely to emerge[ a thread ] Third Space: Office and Working from Home will
Read more
1/29: Have you ever had a concept explained to you that helps frame complex issues you’ve been wrestling with and opens your eyes to new possibilities? A concept that I
Read more
By continuing to use the site, you are consenting to the use of cookies as explained in our Cookie Policy to improve your experience.