Im Netzwerk de ÖVP
Angriff. Hacker sollen Daten aus dem ÖVP-Computersystem gestohlen und an die Öffentlichkeit gespielt haben. Die Täter sind unbekannt, ihre Tricks nicht. Zumindest im Ausland.
Wien. War es eine gezielte Fehlinformation, ein Maulwurf oder ein unglücklicher Mitarbeiter? Zwei Mal wurden in der vergangenen Woche angebliche interne Daten aus der ÖVP-Zentrale der Öffentlichkeit zugespielt. Immer anonym und immer mit politisch heiklem Material. Die Volkspartei suchte nach einer undichten Stelle – und wurde laut eigenen Angaben nicht bei ihrem Personal, sondern im Cyberbereich fündig: Seit mehreren Wochen sollen Hacker Zugang zum internen Netzwerk der Partei gehabt haben – mit Folgen.
Der Angriff
Je früher der Termin, desto brisanter der versprochene Inhalt: Kurzfristig um acht Uhr früh lud Parteichef Sebastian Kurz am Donnerstag zu einer Pressekonferenz. Und er berichtete, wie er es selbst nannte, von einer „neuen Dimension“der politischen Manipulation. Denn „es gab einen sehr gezielten Hackerangriff auf die ÖVP“, sagte er. Und damit „den klaren Versuch, den Wahlkampf und die Wahl zu beeinflussen“. Ein Teil der gestohlenen Daten wurde laut Kurz auch verfälscht, bevor er dem „Falter“weitergegeben wurde. International sind solche Angriffe zwar keine Neuigkeit – für den österreichischen Wahlkampf allerdings schon. Die Staatsanwaltschaft Wien ermittelt nun wegen des Verdachts des widerrechtlichen Zugriffs auf ein Computersystem sowie der Datenbeschädigung.
Ende August hat die ÖVP die Unternehmen SEC Consult und Cybertrap damit beauftragt, ein mögliches Leck zu überprüfen. Sie sollten auch der Frage nachgehen, ob die Angreifer in- oder ausländische Nachrichtendienste sein könnten. Ihr Fazit: Ausschließen könne man das nicht. Mehr Details gab es nicht. „Wir wollen nicht den Ermittlungen der zuständigen Behörden vorgreifen“, sagte Kurz.
Der Vorgang
Cybertrap-Chef Avi Kravitz erklärte am Donnerstag die ihm bisher bekannte Arbeitsweise der Hacker. Demnach gab es am 27. Juli den ersten erfolgreichen Angriff auf einen Server der ÖVP. Durch den „hoch privilegierten Benutzeraccount“eines Mitarbeiters schafften es die Täter ins System. Über einen Webserver hatten sie später Zugriff auf das interne Netzwerk. Am 11. August konnten die Hacker laut Kravitz „die Netzwerkkomponente infiltrieren“. Fünf Wochen bewegten sie sich unentdeckt im Cyberbereich der Volkspartei. Sie hatten laut ÖVP Zugang zum Mailverkehr der Partei, der Buchhaltung, zu Kampagnenmaterial und anderen geheimen Information. Die Daten wurden auf eine externe Domain kopiert, es soll sich laut „Presse“-Informationen um einen Server in Frankreich handeln.
Wie die ÖVP ihr Computersystem schützt und auf welche Technik sie zurückgreift, wollte sie am Donnerstag nicht sagen.
Die Prüfer
SEC Consult ist eines der führenden Unternehmen für Cyber- und Applikationssicherheit mit Sitz in Wien und weltweiten Niederlassungen. Unter anderem beschäftigt SEC Consult ein sogenanntes White-Hat-Team. Das sind „gute“Hacker, die im Auftrag von Unternehmen die Sicherheit von IT-Systemen auf Herz und Nieren testen. Dabei sollen Schwachstellen entdeckt werden, die im Anschluss beseitigt werden können.
Cybertrap war ursprünglich ein Teil der SEC Consult, arbeitet aber mittlerweile als eigenständiges Unternehmen. Cybertrap ist darauf spezialisiert, bewusst Fallen zu stellen. Anstatt Cyberattacken zu verhindern, werden Angreifer mit Ködern in die Cybertrap-Umgebung gelockt, die von der Produktivumgebung nicht zu unterscheiden ist. In dieser Umgebung können die Kriminellen keinen Schaden verursachen. In der Cybertrap sammeln die Spezialisten Informationen über die Vorgehensweise der Angreifer und können im Idealfall den Ursprung der Attacken zurückverfolgen.
Die Technik
Hackerangriffe wie jener, den die ÖVP beschreibt, folgen üblicherweise einem bestimmten Standardvorgehen, sagt Florian Skopik, Experte für Cyber Security am Austrian Institute of Technology zur „Presse“. Den konkreten Fall könne man nur bewerten, wenn man alle Details dazu kenne, aber grundsätzlich folge auch er dem üblichen Muster. Zunächst erkunden Hacker ihr Ziel und versuchen, möglichst viele Informationen zu bekommen. „Nicht nur aus technischer Sicht, sondern auch, was die Benutzer, die Zugänge betrifft“, sagt Skopik. Erst dann versuchen die Angreifer, in das Netz zu gelangen. Sie fangen bei der am einfachsten ausnutzbaren Schwachstelle an, „das ist leider meistens der Mensch“.
Zum Beispiel, wenn das Passwort nicht sicher genug sei. Aber es gibt auch ausgeklügeltere Angriffe, bei denen mit „betrügerischen Maschen gearbeitet wird“. Haben sich die Angreifer Zugang verschafft, versuchen sie, höhere Berechtigungen zu erhalten, weitere Accounts auszuspionieren und technische Schwachstellen zu nutzen. Dass die Angreifer, wie die ÖVP vermutet, über einen Webserver auf das gesamte interne Netz zugreifen, „sollte grundsätzlich nicht möglich sein“, sagt Skopik. Aber: „Es gibt in diesem Bereich nichts, was es nicht gibt.“Fehlkonfigurationen und noch unbekannte technische Schwachstellen könnten dazu führen. Details zum Hergang sollte aber die Untersuchung zeigen, die noch immer läuft.
Der Angriff kann auch über Wochen und Monate unentdeckt bleiben, wenn die Täter vorsichtig agieren. „Es ist eine penibelst geplante Arbeit von Wochen und Monaten.“Jeder Hacker hinterlasse aber auch Spuren. Hoch spezialisierte Teams könnten zum Teil den Vorgang nachvollziehen, einen Angriff „in dem Sinne zu beweisen, ist aber schwierig“. Ein Restzweifel müsse immer bestehen bleiben: Gerade bei Cyberangriffen lassen sich laut Skopik Spuren auch fälschen. Täter können ganz bewusst Täuschungsmanöver durchführen, um ihre Identität zu verschleiern und sogar Dritte einer strafbaren Handlung zu beschuldigen.
Die Informationen
Die ersten internen ÖVP-Daten wurden Ende August an den „Standard“weitergegeben: Es handelte sich um eine Liste von (Groß-)Spendern an die Partei. Als das Medium die Partei mit den Informationen konfrontierte, ging die ÖVP in die Offensive – und teilte in einer Aussendung selbst ihre Geldgeber mit. Kaufhaus-Erbin und Kunstsammlerin Heidi Goess-¨Horten überwies beispielsweise mehrmals 49.000 Euro an die Partei. Ab 50.000 hätte der Rechnungshof die Spende sofort veröffentlichen müssen.
Anfang der Woche veröffentlichte der „Falter“Zahlen und Daten, die aus der ÖVPParteizentrale stammen sollen. Anders als beim „Standard“widersprach die Volkspartei dem Bericht der Zeitschrift und brachte auch eine Unterlassungsklage ein. Die Informationen des Wiener Wochenmagazins seien zum Teil falsch. Was konkret nicht stimmt, gab die Partei allerdings nicht bekannt. Der „Falter“hingegen beharrt darauf, dass die Dokumente echt seien. Man habe deren Authentizität „sehr genau geprüft“. Es würde eine Fülle an Informationen und Daten vorliegen, die in sich schlüssig seien.
Die vom „Falter“veröffentlichten Daten legen unter anderem nahe, dass die ÖVP im Nationalratswahlkampf 2017 bewusst die Kostenobergrenze von sieben Millionen Euro überschritten hat. Auch für die laufende Kampagne seien neun Millionen Euro eingeplant. Dem Rechnungshof will die Partei laut dem Bericht allerdings weniger melden. Das ist im Übrigen nicht illegal, wenn man mit einer kreativen Buchhaltung bestimmte Tricks anwendet und Schlupflöcher findet.