Angriff auf unsere IT-Systeme

In den folgenden FAQ antworten wir auf die zentralen Fragen rund um den Angriff auf unsere IT-Systeme.

Wir bitten um Verständnis, dass wir interne sicherheitsrelevante Informationen nicht öffentlich kommunizieren – und somit auch nicht alle Fragen beantworten können. Hierzu stehen wir in regelmäßigem Austausch mit den Sicherheitsbehörden und dem Datenschutzbeauftragten des Landes Berlin.

Grundlegend und unabhängig vom aktuellen Vorfall erinnern wir an die „Basistipps zur IT-Sicherheit“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/cyber-sicherheitsempfehlungen_node.html.

Kontakt: itsecurity@gruene.de

Was ist passiert?

Am 30. Mai haben wir festgestellt, dass bei 14 Emailadressen der Domain „@gruene.de“ von einem unbekannten Angreifer automatische Weiterleitungsregeln für eingehende Emails angelegt wurden und noch aktiv waren. Einige zusätzliche Weiterleitungen waren vom Angreifer zu dem Zeitpunkt bereits wieder deaktiviert worden. Konkret war es dem Angreifer möglich, jeweils eine Kopie der Emails, die im Zeitraum vom 16. bis 30. Mai an die betroffenen Emailadressen gesendet wurden, an einen anderen Mailserver weiterzuleiten. Selbstverständlich wurden die unautorisierten Weiterleitungen umgehend abgeschaltet. In Rücksprache mit dem Datenschutzbeauftragten des Landes Berlin haben wir alle Betroffenen kontaktiert. Der Mail-Server selbst war nach aktuellem Kenntnisstand nicht betroffen.

Am 13. Juni haben wir dann den Zugriff zum sogenannten Grünen Netz eingeschränkt. Dabei handelte es sich um eine Sicherheitsmaßnahme, nachdem unser IT-Dienstleister festgestellt hatte, dass sich Unbefugte auch dort Zugang verschafft hatten. Alle Datensätze und Analysen deuten darauf hin, dass die beiden Vorfälle vom selben Angreifer ausgingen. Das Grüne Netz ist eine Art grünes Intranet, über das wir unseren Mitgliedern unterschiedliche Dienstleistungen zur Verfügung stellen. Die forensischen Untersuchungen haben ergeben, dass einzelne Dokumente im Grünen Netz vom Angreifer abgegriffen wurden. Alle hiervon Betroffenen wurden informiert.

Wurde Anzeige erstattet?

Ja. Noch am 30. Mai haben wir Strafanzeige gegen Unbekannt gestellt. Die Ermittlungen laufen.

Wurden die Sicherheitsbehörden informiert?

Ja, es wurden sowohl die zuständigen Sicherheitsbehörden als auch der Datenschutzbeauftragte des Landes Berlin informiert.

Wurden alle Betroffenen informiert?

Ja. In Rücksprache mit der Datenschutzbeauftragten des Landes Berlin haben wir die Betroffenen der unbefugten Weiterleitungen kontaktiert. Ebenso wurden die Nutzerinnen und Nutzer des Grünen Netzes über die Vorfälle in Kenntnis gesetzt.

Was wurde unternommen?

Der Vorgang wird von uns sehr ernst genommen und wurde intensiv unter Beteiligung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie externer IT-Sicherheitsspezialisten aufgearbeitet. Alle noch aktiven Weiterleitungsregeln wurden gelöscht. Als klar wurde, dass auch das Grüne Netz betroffen sein könnte, wurden zudem der zentrale Login und zentrale Dienste im Grünen Netz offline genommen. Wir haben unsere IT-Systeme überprüft, um den Umfang des Angriffs zu bestimmen. Die forensischen Untersuchungen sind nun abgeschlossen. Die betroffenen Systeme wurden komplett neu aufgesetzt und zusätzliche IT-Sicherheitsmaßnahmen zur weiteren Absicherung getroffen.

Ist mehr über den Angreifer bekannt?

Über die Motivation des Angreifers können wir keine Aussage treffen. Mit dem möglichen Ursprung des Angriffs befassen sich die Sicherheitsbehörden.

Hatte der Angreifer Zugriff auf die Mitgliederdatenbank?

Es gibt keine Hinweise darauf, dass die Mitgliederdatenbank betroffen ist.

Wann steht das Grüne Netz wieder zur Verfügung?

Das Grüne Netz ist seit dem 27. Juni wieder online und aktiv. Wir haben uns bemüht, das Grüne Netz so schnell wie möglich wieder ans Netz zu bringen, aber haben hier Gründlichkeit und Sicherheit vor Schnelligkeit walten lassen. In Zusammenarbeit mit den Sicherheitsbehörden und unseren externen IT-Sicherheitsspezialisten haben wir die nötigen Maßnahmen ergriffen, um die Sicherheit des Grünen Netzes so weit wie möglich zu erhöhen.