Der spektakuläre Hack des PATRAS-Zielverfolgungssystems der Bundespolizei ist durch das LKA in Nordrhein-Westfalen aufgeklärt worden. Das berichtet die Tageszeitung „Die Welt“. Demnach war es der Hackergruppe NN-Crew (Noname Crew) bereits vor etwa zwei Jahren gelungen, einen Trojaner auf dem Privatrechner eines Zollbeamten zu installieren.
Der Beamte ließ sich alle dienstlichen E-Mails auf sein privates Konto weiterleiten. Daher konnten die Hacker sämtliche E-Mails mitlesen. Die Informationen reichten offenbar aus, um sich selbst in das Zielverfolgungssystem einzuloggen. Das PATRAS-System dient zur Verfolgung von verdächtigen Personen sowie von Ermittlungsbeamten und ihren Fahrzeugen. Ferner können auch Handys damit geortet werden.
Eine MySQL-Tabelle in PATRAS speichert IP-Adresse, Benutzername und Passwort von jedem Loginversuch. Die Anonymisierung erfolgte durch ZDNet. Die NN-Crew hat alle Daten im Klartext veröffentlicht (Quelle: Google-Cache).
Den Hackern gelang es in der Folge, sämtliche Dateien und Datenbanken der Zoll-Server zu stehlen. Darunter befand sich auch eine Logdatei, die alle Login-Versuche mit Passwörtern im Klartext enthält. Die NN-Crew stellte alle gestohlenen Informationen auf einem öffentlichen Server bereit. Bundespolizei und Zoll mussten das PATRAS-System nach Bekanntwerden des Diebstahls zeitweise abschalten. Außerdem erhielt jeder Benutzer ein neues Kennwort.
Inzwischen wurden zwei Tatverdächtige in Würzburg und Köln festgenommen. Das LKA Baden-Württemberg hat auf die Ermittlungsergebnisse seiner Kollegen aus Nordrhein-Westfalen bereits reagiert. In einer Dienstanweisung verbot es die Weiterleitung von E-Mails auf Privatrechner.
Neueste Kommentare
2 Kommentare zu Trojaner liefert seit zwei Jahren Geheiminformationen der Bundespolizei
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wie kann es sein….
Wie kann es sein, dass ausgerechnet die Institution, die eine der sicherheitsrelevantesten (ich entschuldige mich für dieses Wort) Aufgaben bei der Bewahrung rechtsstaatlicher Strukturen innehat, dass ausgerechnet diese Institution sowohl im Prozess als auch in der Einstellung und der Befähigung ihrer Mitarbeiter einen Sicherheitsstandard lebt, der WEIT unter dem Niveau dessen ist, dass von jedem *normalen* Unternehmen gesetzlich gefordert wird.
Wie kann es sein, dass Mitarbeiter einfach ihren Privatrechner (und warum überhaupt??) in das interne Netzwerk der Bundespolizei hängen können, dass offensichtlich DHCP etc. eingeschaltet ist, das diese Rechner offensichtlich ausreichenden Zugriff auf behördeninterne Informationen erhalten können, dass die Administratoren weder befähigt sind, Fremdrechner als solche zuerkennen geschweige denn aufzuspüren oder zu verbieten?
Wie kann es sein, dass offensichtlich sicherheitsrelevante Informationen des Unternehmens an beliebige Mail-Konten auf außerhalb liegende Server weitergeleitet werden können, dass dies standardmäßig offensichtlich unverschlüsselt passiert, dass daher davon auszugehen ist, dass es keine entsprechenden Zertifikate-Richtlinien etc. gibt?
Wie kann es sein, dass hier offensichtlich Mitarbeiter im Amt sind, die entweder für ihre Aufgabe nicht ausreichend sensibilisiert, geschweige denn qualifiziert sind und ihre Bequemlichkeit oder ihr Privatvergnügen über ihre eigentliche dienstliche Aufgabe, über ihre Verantwortung, über die Sicherheit des Behördenerfolgs, aber vor allem auch über Leib und Leben ihrer eigenen Kollegen und deren Familien stellen?
Wie kann es sein, dass man überhaupt Richtlinien für Belange braucht, die deutlich unterhalb dessen sind, was seit Jahrzehnten(!!) in Massenmarkt-IT-Zeitungen, wie Computer-Bild, Chip und Co. als Minimumstandard gefordert oder als Todsünde angeprangert wird, was man also bei einem Mitarbeiter einer solchen Institution als gesunden Menschverstand voraussetzen müsste?
Wie kann es sein, dass zwei Jahre lang gravierende Sicherheitslücken nicht entdeckt wurden, dass es zumindest für diesen Zeitraum keine sicherheitsrelevanten Audits gab, die ihren Namen verdienten, dass gerade bei der Bundespolizei Prozesse zum Einsatz kommen und gelebt werden, die ganz offensichtlich keiner näheren Betrachtung geschweige denn einer Zertifizierung standhalten?
Wie kann es sein, dass zwar und auch vollkommen zu Recht Tatverdächtige festgenommen wurden, wenn die eigentlichen Verursacher intern sitzen und sich dafür offensichtlich nicht verantworten müssen, denn schließlich lag das Versagen im System konkret an der fehlenden Dienstanweisung?
Wie kann es sein, dass man sich gerade und besonders sowohl in der Politik als auch bei der Polizei flächendeckend über Amazon, Google, Facebook etc. aufgeregt und diese Unternehmen als datenschutztechnisches Risiko darstellt?
AW: Trojaner liefert seit zwei Jahren Geheiminformationen der Bundespolizei
Hallo Fragender, die Antwort ist: Es sind arrogante, dumme, verantwortungslose, faule, superbequeme, bessergestellte Vollidioten in Rang und Amt, die solche Situationen nicht bedacht haben , aber monatlich fette Steuerzahlerkohle kassieren. Es ist ganz einfach Volltorttel im Rang von Regierungsdirektoren / innen sollten einfach mal in den A… getreten werden, gefeuert werden, aber da schuetzt das Beamtenrecht jeden deppigen Beamten…. Lebe wohl Rechtsstaat, lebe wohl Sicherheit, lang lebe die Kooruption.