< Zurück zum Blog
Das Dokument als PDF abrufen: Hier klicken!

LANDTAG NORDRHEIN-WESTFALEN
16. Wahlperiode

 

Drucksache  16/6183

 

30.06.2014

 

 

 

 

Antwort

 

der Landesregierung

auf die Kleine Anfrage 2343 vom 27. Mai 2014

des Abgeordneten Daniel Schwerd   PIRATEN

Drucksache 16/5982

 

 

 

NSA-Implantate in Hard- und Software

 

 

 

Der Minister für Inneres und Kommunales hat die Kleine Anfrage 2343 mit Schreiben vom 26. Juni 2014 namens der Landesregierung im Einvernehmen mit der Ministerpräsidentin und allen übrigen Mitgliedern der Landesregierung beantwortet.

 

 

 

Vorbemerkung der Kleinen Anfrage

 

Aus den Veröffentlichungen von Dokumenten des Whistleblowers Edward Snowden geht hervor, dass der amerikanische Nachrichtendienst NSA in seiner Abteilung ANT sogenannte „Implants“, also Implantate für IT- und Kommunikationsmittel und –Infrastruktur entwickelt hat. Dazu haben sie Sicherheitslücken von verschiedenen Geräten, Protokollen und Herstellern gesammelt und nicht etwa zur Behebung der Sicherheitslücken an die Hersteller weitergegeben, sondern geheim gehalten, und auf dieser Basis solche Implantate entwickelt.

 

So existieren beispielsweise (nicht abschließend) die folgenden Implantate:

 

·         IRATEMONK: Ein Implantat, das sich in der Firmware von Festplatten der Hersteller Western Digital, Seagate, Maxtor und Samsung verbirgt;

·         SWAP: Ein Bios-Implantat, welches das Nachladen von Steuerungssoftware der NSA für diverse Betriebssysteme (Windows, FreeBSD, Linux, Solaris) und Dateisysteme (FAT32, NTFS, EXT2, EXT3, UFS 1.0) auf PC ermöglicht;

·         HOWLERMONKEY: Ein Funksender und Empfänger, der zusammen mit einem anwendungsspezifischen Modul Daten aus IT-Komponenten schmuggelt, beziehungsweise es erlaubt, Geräte fernzusteuern;

·         HEADWATER: Eine permanente Backdoor (PBD) für Huawei Router, die resistent gegenüber FirmwareUpdates im Boot-ROM verbleiben und so die Fernsteuerung des Geräts ermöglichen soll;

·         SCHOOLMONTANA: Software-Implantat für Serie-J-Router der Firma Juniper;

·         SIERRAMONTANA: Software-Implantat für Juniper-Router der M-Serie, das sich laut des NSA-Dokuments resistent gegenüber Softwareupdates im Bios einnistet;

·         STUCCOMONTANA: Offenbar ein Implantat für Juniper T-Series-Router, das als Bios-Modifikation auch Softwareupdates überstehen soll;

·         JETPLOW: Ein Software-Implantat für Cisco PIX- und ASA-Firewalls, das dauerhafte Hintertüren installiert;

·         HALLUXWATER : Offenbar eine Hintertür (Backdoor) für Huawei Eudemon Firewalls in Form eines Software Implantats, das im Boot-Rom verborgen wird;

·         FEEDTROUGH: ein Software-Implantat, das Fremdzugriffe auf die Juniper Firewall Modelle N5XT, NS25, NS50, NS200, NS500, ISG1000 ermöglichen soll;

·         GOURMETTROUGH: Ein konfigurierbares Implantat für eine Reihe von Juniper Firewalls, wie das NSA-Dokument zeigt;

·         SOUFFLETROUGH: Ein im Bios verborgenes Implantat für Juniper SSG300- und SSG500-Geräte, das eine permanente Hintertür (PBD) herstellen soll;

·         DEITYBOUNCE: Eine im BIOS permanente Backdoor für Dell PowerEdge-Server;

·         GODSURGE: Ein Hardware-Implantat für Dell PowerEdge-Server;

·         IRONCHEF: Ein Implantat für HP-Server;

·         DROPOUTJEEP: Ein Implantat für Apples iPhone-Betriebssystem iOS, das die Fernsteuerung über SMS oder Datendienste ermöglichen soll. Laut des NSA-Dokuments soll es diverse Möglichkeiten bieten: Dateien herunter- oder auf das Handy hochladen, SMS auslesen, Adressbuch auslesen, Voicemail abhören, Standortdaten erfassen, Mikrofon und Kamera unbemerkt einschalten, Funkzelle bestimmen. Anfang 2008 war es noch in der Entwicklung;

·         GOPHERSET: Ein Implantat für GSM SIM-Karten, das über verborgene Funktionen das Telefonbuch, Kurznachrichten (SMS) und das Protokoll ab- und eingehender Gespräche ausliest;

·         MONKEYCALENDAR: Eine Angriffs-Software, die es ermöglicht, SIM-Karten dazu zu bringen, Standortinformationen als verborgene SMS zu versenden;

·         TOTEGHOSTLY: Ein Implantat, das die vollständige Fernsteuerbarkeit von Windows Mobile Phones ermöglicht. Es soll diverse Möglichkeiten bieten: Dateien herunter- oder auf das Handy hochladen, SMS auslesen, Adressbuch auslesen, Voicemail abhören, Standortdaten erfassen, Mikrofon und Kamera einschalten, Funkzelle bestimmen;

·         ANGRYNEIGHBOR: Eine Familie von Radarwanzen und Werkzeugen zur Auslesung dieser.

 

Diese Implantate sind teilweise als Software, teilweise als Hardware vorhanden. Bei Software-Implantaten wird die Firmware des Gerätes infiltriert, bei Hardware-Implantaten ist zusätzliche Hardware im Gerät eingebaut.

 

Software-Implantate werden bei PCs und Komponenten nach einem Angriff über das Internet per QFIRE-Technologie eingepflanzt, ohne das physischer Zugriff auf ein Gerät notwendig ist. Router, Firewalls und Server werden über das Internet direkt angegriffen.

 

Hardware-Implantate werden physisch in die Geräte eingebracht (die NSA spricht von „Interdiction“), teilweise beim Versand von bestellten Geräten durch Abfangen von Paketen und Kompromittierung der Hardware.

 

Der veröffentlichte Katalog stammt aus dem Jahre 2008. Es ist davon auszugehen, dass in der Zwischenzeit weitere Implantate für andere Geräte entwickelt worden sind.

 

Manche der befallenen Geräte sind bereits durch technische Nachfolger der jeweiligen Hersteller ersetzt worden. Die Implantate werden entweder kompatibel sein mit den technischen Nachfolgern, oder aber mit großer Wahrscheinlichkeit von der NSA-Abteilung ANT auf den jeweiligen neueren Stand gebracht worden sein.

 

 

1.         Welche Komponenten (Festplatten, BIOS, Router, Firewalls, Server und Mobiltelefone) der in den veröffentlichten Dokumenten der ANT-Abteilung des NSA genannten Hersteller und Modelle, bzw. der jeweiligen technischen Nachfolger desselben Modells befinden sich in der Landesregierung, Ministerien, Landesbehörden und landeseigenen Betrieben im Einsatz? Nennen Sie Modelle/Geräte und Anzahl pro Behörde bzw. Unternehmen.

 

2.       Wie viele SIM-Karten sind bei der Landesregierung, Ministerien, Landesbehörden und landeseigenen Betrieben im Einsatz? Nennen Sie jeweilige Anzahl pro Behörde bzw. Unternehmen.

 

3.       Welche Maßnahmen wird die Landesregierung unternehmen bzw. hat sie bereits unternommen, um bei jedem dieser Komponenten bzw. Geräte die Firmware nach Befall respektive die Hardware nach einem Hardware-Implantat zu durchsuchen? Nennen Sie jede einzelne Maßnahme für jede Art von Komponente bzw. Gerät mit Zeitplan.

 

4.       Auf welche Weise werden die Ergebnisse von 3.) veröffentlicht? Nennen Sie jeden (ggf. geplanten) Zeitpunkt und Veröffentlichungsort.

 

Die Kleine Anfrage beruft sich auf einen Katalog einer Abteilung des amerikanischen Geheimdienstes NSA aus dem Jahr 2008, die inoffiziell als „Advanced/Access Network Technology“ (ANT) bezeichnet wird. Vergleichbare und vermeintlich aktuellere Kataloge lassen sich jedoch auch heute im Internet recherchieren.

 

Gemeinsam ist all diesen - nach den jeweiligen Quellen stets auf Enthüllungen des Edward Snowden basierenden - Katalogen, dass ihre Authentizität durch die Landesregierung nicht zu beurteilen ist. Anhaltspunkte für eine konkrete Gefährdung der IT-Infrastruktur der Landesverwaltung durch die in der Kleinen Anfrage genannten Implantate gibt es nicht. Allerdings stehen der Landesregierung bisher keine anerkannten und praktikablen Prüfmethoden zur Verfügung, um die in der Landesverwaltung eingesetzten IT-Komponenten - die in der Kleinen Anfrage nur beispielhaft aufgezählt sind - vollständig auf einen möglichen Befall durch Implantate zu prüfen. Deshalb ist eine Beantwortung der Kleinen Anfrage derzeit schon aus zeitlichen und aus technischen Gründen nicht möglich.

 

Die Landesregierung sieht zudem in der mit einer Beantwortung verbundenen Veröffentlichung der in der Landesverwaltung eingesetzten IT-Infrastruktur-Komponenten (nach Zahl und Modell je Behörde bzw. Einrichtung) ein erhebliches Sicherheitsrisiko. Dieses Sicherheitsrisiko besteht - unabhängig vom Wahrheitsgehalt der Snowden-Enthüllungen - alleine in der Offenlegung der entsprechenden Informationen.

 

Die Landesregierung ist sich ihrer Verantwortung für die Sicherheit der in der Landesverwaltung eingesetzten Informationstechnik sehr bewusst. Die CIO-Stabsstelle ist deshalb auch mit Blick auf die Snowden-Enthüllungen schon längere Zeit in Kontakt mit dem Bundesamt für Informationssicherheit (BSI). Aus diesen Kontakten liegen aber derzeit keine gesicherten Erkenntnisse zu den in der Kleinen Anfrage genannten Implantaten vor.

 

 

5.       Welche Hilfestellung wird die Landesregierung Unternehmen, Organisationen, Kommunen und Privatleuten im Land NRW geben, um sie bei der Suche nach und der Entfernung von NSA-Implantaten zu unterstützen?

 

Die Möglichkeiten der Landesregierung, gegenüber Unternehmen, Organisationen, Kommunen und Privatleuten in Nordrhein-Westfalen Hilfestellung im Sinne der Kleinen Anfrage zu leisten, sind begrenzt (s. Antwort auf Fragen 1-4). Mit dem BSI existiert jedoch eine Institution mit entsprechend umfassender Fachkompetenz. Zu den Aufgaben des BSI zählt auch die IT-Sicherheitsberatung der in der Kleinen Anfrage genannten Zielgruppen.

 

 

< Zurück zum Blog
Das Dokument als PDF abrufen: Hier klicken!