Berlin Story 2017 gehackt

Türkisches Skript. Zentrale Daten gelöscht. Der Angriff dauert an

Auf die Website des Berlin Story Verlages und des Berlin Story Bunkers ist ein massiver, professioneller und zum Teil weiter andauernder Angriff verübt worden. Er erfolgte nach der Unterstützung der Aktion „Free Deniz“ zugunsten des in türkischer Haft sitzenden Journalisten Deniz Yücel. Daher liegt es nahe, dass der Cyberangriff von türkischer Seite aus begangen wurde.

Bei der Attacke wurden sämtliche Daten des Verlags gelöscht, darunter etwa 200 fertig gesetzte Bücher, Verträge und die entsprechende Kommunikation. Außerdem wurde die gigantische Datenmenge der Dokumentation „Hitler – wie konnte es geschehen“ zerstört. Das ist besonders gravierend, denn die Ausstellung soll im Mai 2017 auf drei
Etagen des 6.500 Quadratmeter großen Berlin Story Bunkers eröffnet werden. Darüber hinaus ist die gesamte extrem umfangreiche Website betroffen, die täglich in einem Blog über das gesellschaftliche Geschehen rund um Verlag und Bunker berichtet.

Alle Daten sind anspruchsvoll geschützt, weit über das Normalmaß hinaus. Sämtliche Passworte stammen von Passwortmanagern, sind also „exzellent“, nicht einfache Namen-Zahlen-Kombinationen. Die meisten Daten konnten inzwischen rekonstruiert werden. Sie werden allerdings sofort wieder massiv attackiert.

Dieser lange Beitrag beschäftigt sich mit den politischen und ausführlich auch den technischen Aspekten des Angriffs – und wie man versuchen kann, sich vor ähnlichen Attacken zu schützen. Die technischen Aspekte greifen wieder in die Politik, weil es um die Frage geht: Schützt ein deutsches Unternehmen wie 1&1 die Daten wie versprochen? Oder ist doch Google die bessere Lösung?

Der politische Hintergrund

Rechte und nationalistische Populisten haben derzeit in zahlreichen Ländern der Welt Oberwasser. Sie wollen ihr jeweiliges Land groß machen und versprechen Vorteile für ihre Gefolgschaft auf Kosten aller anderen. Diese Entwicklung  beobachten wir mit Sorge. Im Verlag und noch mehr im Bunker geht es genau darum, dass wir den Nationalismus auch in aktualisierter Form nicht wieder haben wollen. Daher engagieren wir uns auf vielen Ebenen gegen Diktaturen und Populisten – egal ob im eigenen Land oder anderswo auf der Welt. Das ist für uns nicht abstrakt, nicht akademisch und nicht museal, sondern gesellschaftspolitisch notwendig.

Dabei unterstützen wir auch die Bürgerrechtsgruppe Pixelhelper, die mit Projektionen auf Botschaftsgebäude auf politische Missstände aufmerksam macht. Die Hilfe besteht in Unterstützung ihrer Pressearbeit. Pixelhelper hat auf die Berliner Botschaft des Königreiches Saudi Arabien #FreeRaif projiziert, um auf den inhaftierten und gefolterten Blogger Raif Badawi aufmerksam zu machen. Mehrmals wurde auf die türkische Botschaft die Forderung projiziert, Deniz Yücel frei zulassen. Bilder dieser Projektionen verbreiten sich rasend schnell in den sozialen Medien und zeigen den Aktivisten, dass andere sich auch engagieren.

Offenbar war die Unterstützung von Pixelhelper durch Enno Lenze, Verleger und Betreiber des BerlinStory Bunkers, der Ausgangspunkt des Angriffs. Zur bürgerlichen Freiheit und zur parlamentarischen Demokratie hat Enno Lenze mit anderen ein Jahrzehnt lang das große Geschichtsfestival Historiale organisiert, besonders zu 1848, als die Bürger Europas für mehr Rechte und für Pressefreiheit kämpften. Das Thema ist also nicht neu und wird jetzt nur anders behandelt.

Enno Lenze: „Man kann die Weltlage ignorieren, sich als ,unpolitisch’ verstehen oder sich darauf berufen, dass man unabhängig sein will und sich nicht äußert. Aber davon wird es nicht besser. Daher engagieren wir uns seit langem für demokratische Werte und für unterdrückte Menschen. Ich bin bei Reporter ohne Grenzen, seit den 1990ern im Chaos Computer Club und habe viel Hilfe für Flüchtlinge an der IS-Front geleistet. Das Ironische daran: Wenn der IS auf mich schießt, kann ich inzwischen damit umgehen. Wenn es Morddrohungen gibt, kümmert sich die deutsche Polizei sofort darum – wiederholt und zuverlässig. Wenn aber unsere Internetseiten gekapert oder gelöscht sind, wenn mein Twitter-Account gehackt wird, weiß ich nicht, was ich tun soll, an wen ich mich wenden kann.

Chronologie der Ereignisse

Auftakt

Es begann damit, dass vergangenen Sonntag, dem 9. April 2017, die Seite Pixelhelper.org durch eine DDOS-Attacke lahmgelegt wurde. Dabei wird der Server mit so vielen Anfragen geflutet, dass er nicht mehr reagieren kann.

Angriff auf die private Homepage Enno Lenze

Am Montag, dem 10. April 2017, wurde die (private) Seite EnnoLenze.de gehackt. Im ersten Moment scheint das unspektakulär. Dort liegen keine geheimen Daten, sondern im aktuellen Teil seine ausführlichen Berichte über zahlreiche Besuche der Peshmerga in Kurdistan/Irak, die Fahrten an die Front und in die Flüchtlingslager.

Das Risiko, dass eine Website gehackt werden kann, ist bekannt. Dennoch war die Frage, wie der Einstieg möglich war. Das verwendete Content Management System (kurz CMS) war auf dem aktuellen Stand, das Passwort hatte mehr als zwanzig Zeichen und bestand aus zufällig gewählten (Sonder-)Zeichen.

Nach Umzug der Domain sofort nächster Angriff

Um zu verhindern, dass andere unserer Webseiten auf dem Server angegriffen werden, zog die Domain samt Inhalt sofort zu einem anderen Anbieter. Das CMS wurde neu installiert, die Datenbank eingespielt und alle Passwörter getauscht. Völlig überraschend war diese neue Website bei dem anderen Provider binnen weniger Stunden wieder gehackt.

Wir haben sofort alle Passwörter für Social Media Accounts, Emailadressen, Websites usw. für Enno Lenze privat sowie die Berlin Story erneut geändert. Sonst machen wir das monatlich.

Geheimdienst aktiv?

Aktuell gibt es Versuche, an die Social Media Accounts zu kommen. Gleichzeitig wird parallel versucht, an die Emailadressen zu kommen, die bereits beim neuen Anbieter liegen. Dies bekommen wir mit, da uns die Nachrichten über fehlgeschlagene Login-Versuche erreichen. Es ist also kein Angriff, der zufällig oder automatisiert durchgeführt wird, sondern gezielt und andauernd. Dazu braucht man Experten, die solche Attacken permanent betreiben. Man muss das Ziel beobachten und mitbekommen, zu welchen alternativen Anbietern die Webseiten umziehen. Dann muss man in der Lage sein, auf die neue Situation unmittelbar zu reagieren.

Solche Angriffe haben eine andere Dimension als die zufälligen Versuche, die wir gewöhnlich als Grundrauschen in der IT-Sicherheit beobachten können. Die Vermutung liegt nahe, dass man uns und andere gezielt einschüchtern und behindern will, die sich gegen den Aufbau neuer Regime engagieren.

Uns überrascht aber, mit welchem Aufwand hier selbst gegen einen relativ kleinen Player wie uns vorgegangen wird. Wir berichten darüber, weil Viele es nicht tun. Wir kenne andere Opfer kleinerer Angriffe, die sich nun nicht mehr äußern wollen, um weitere Angriffe zu vermeiden. Die Dunkelziffer dürfte aber sehr hoch sein – der finanzielle Aufwand der Angreifer aber auch.

Türkische Skripte

Bei der Suche nach Dateien, die ganz aktuell erstellt wurden, taucht eine mit diesem Inhalt auf. Der Text ist türkisch. Es ist die Ausgabe von einem Programm, welches Passwörter rät oder aus anderen Quellen extrahiert. Enno Lenze: „Ich bin vertraut mit solchen Programmen und erkenne sie sofort. Ungewöhnlich allerdings ist die Ausgabe in türkischer Sprache – normalerweise werden englischsprachige Programme verwendet.“ Neben wahllosem Raten sind aber auch der richtige Benutzername und das korrekte, hier jedoch nicht veröffentlichte Passwort für das Blog eingefügt.

kullanici : enno sifre : 123

Das war der Angriff auf die private Internetseite von Enno Lenze.

Angriff auf die Homepage Berlin Story und die Back ups

In der Nacht zu Dienstag, dem 11. April wurden dann alle Seiten der Berlin Story gelöscht. Sie bestehen aus Dateien auf dem Server sowie Datenbanken. Dort liegen zum Beispiel Texte und die Anordnung der Menüs der Homepage, während in den Ordnern des Servers Bilder, Audiodateien und Filme liegen – der gesamte Datenbestand des Verlags und der Dokumentation.

Im Anschluss wurden unsere Backups auf demselben Server gelöscht. Alle Daten anderer Kunden auf diesem kommerziellen Server und deren Backups sind weiterhin vorhanden.

Webhoster nicht hilfreich

Wir informierten unseren Dienstleister 1&1 und fragten, was passiert sei. Während 1&1 für die Sicherheit des Servers an sich zuständig ist (etwa vergleichbar dem Vermieter eines Hauses, der sich um die Haustür kümmern muss), sind wir für die Sicherheit unseres CMS zuständig (vergleichbar der eigenen Wohnungstür).

Es ist unwahrscheinlich, dass das Sicherheitsproblem bei 1&1 liegt. Dann hätte es alle Webseiten auf deren Server betroffen. Da das verwendete CMS aktuell war und ein langes und sicheres Passwort verwendet wurde, konnte ein simples Raten des Passwortes nicht vorliegen.

Eine schwierige Ausgangslage. Dennoch kann das auf Datenspeicherung und Datensicherung spezialisierte Unternehmen besser auf weitere Daten zur Analyse des Problems zugreifen. Zunächst wurde mitgeteilt, der Vorgang sei in Prüfung.

Am 12. April 2017 gab es dann einen sehr knappen Bericht:  „Mit dieser Nachricht erhalten Sie das Ergebnis unserer Webspace-Analyse. Wir haben Ihren Webspace überprüft und haben dabei keine weiteren schädlichen Dateien mehr erkennen können. Zu Ihrer Frage, welches als Einfallstor diente geben die Access-Logs in Ihrem Webspace weitere Ansätze: POST /index.phpoption=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1

So entsteht der Verdacht, dass die index.php (welche von Ihnen bereits ersetzt wurde) als Einfallstor gedient haben kann.“

Im Kern sagt die Zeile aus dem Access-Log (also der Datei in der alle Anfragen an den Webserver dokumentiert werden), dass jemand den zitierten Link aufgerufen hat. Das Ergebnis ist jedoch schlichtweg, dass man die Startseite unserer Homepage angezeigt bekommt und nichts weiter passiert. Mit dem Aufruf dieses Links kann man bei einem anderen Content Management System prüfen, ob eine bestimmte Sicherheitslücke vorhanden sein könnte, weil es sich möglicherweise um eine ältere Version handelt oder weil man als Geheimdienst in der aktuellen Version das Einfallstor schon kennt, die Öffentlichkeit aber noch nicht. Ein Beispiel: Wenn man das Content Management System Joomla installiert hat und jemand ruft diesen Link auf:

Berlinstory.de/index.phpoption=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b

… dann sieht er, ob dieses Joomla eine Sicherheitslücke hat. Der Angreifer hat also geprüft, ob wir ein verwundbares Joomla haben. Haben wir nicht – wir haben gar kein Joomla. Passiert ist dadurch gar nichts.
Aber 1&1 sagt „Vermutlich sind sie so rein gekommen.“

Mit der falschen Auskunft von 1&1 fühlten wir uns alleingelassen. Man bekommt nach einem Tag „Analyse“ eine offensichtlich wenig hilfreiche, weil falsche, Mail von dem Dienstleister, den man seit Jahren für sicheres Webhosting bezahlt. Durch die knappe Antwort ist für uns weiterhin unklar, ob die Sicherheitslücke in unserem Bereich lag oder bei 1&1. Die Antwort auf genau diese Frage wäre die Grundlage, um das weitere Vorgehen abzustimmen.

Suche nach dem Einfallstor

Jetzt ging die Suche nach dem Leck an anderer Stelle weiter: Hat der Angreifer Zugang zu einer Administrator-Emailadresse erhalten und konnte sich so ein neues Passwort zusenden lassen? Oder lag es am Passwort-Manager? Hunderte zufällige Passwörter kann man sich ohne diese Software nicht mehr merken. Weil wir keine Hilfe von 1&1 erhielten, zum Glück aber die Szene guter IT-Sicherheitsleute kennen, machten wir uns mit ihnen auf die Suche und fanden das Problem, Wir zogen einen Experte aus Kanada hinzu, der ebenfalls alles analysierte und Vorschläge zur Verbesserung der Sicherheit machte.

Was kostet das alles?

Ein bis jetzt gar nicht angesprochenes Thema ist das Geld. Wir selbst haben bisher mehr als Manntage einer hochqualifizierten, hausinternen IT-Sicherheitskraft aufgewendet. Hätten wir diese Erfahrung nicht, wäre es richtig teuer geworden.

Der externe Berater wird nach Stunden bezahlt. Ein Teil der Homepage-Kosten und der gesamten IT-Struktur wird nun mehrere Monate doppelt anfallen, weil man bei 1&1 und anderen Anbietern stets mit Kündigungsfristen leben muss. Am Ende wird uns dieser Einbruch vermutlich mehr als 20.000 Euro kosten – und eine Menge Nerven.

Das ist der Punkt an dem man sich fragt: Wollen wir uns weiter engagieren, oder wird solcher Einsatz langsam zu teuer? Genau das bezwecken solche Angriffe. Für uns steht außer Frage, dass wir weitermachen. Aber es kann nicht sein, dass politisches Engagement vom Geldbeutel und von der psychischen Leidensfähigkeit anhängt.