Luxemburg wehrt sich gegen erste größere Cyberattacke
Webseiten der Regierung waren gestern zeitweise nicht abrufbar. Prorussische Hacker beanspruchen den Angriff für sich. Noch wurde aber keine Entwarnung gegeben
Verschiedene IT-Systeme des Landes waren am Donnerstag Ziel eines Cyberangriffs. Mehrere Webseiten des Staates waren von Donnerstagmorgen bis frühen Abend zeitweise nicht verfügbar, darunter myguichet.lu und auch gouvernement.lu. Sie sind seit dem frühen Abend teilweise wieder erreichbar. Auch Internetseiten aus dem Privatsektor waren betroffen.
Bei dem Angriff handelte es sich nach staatlichen Angaben um eine sogenannte CyberDDOS-Attacke (Distributed Denial of Service). Ein DDOS-Angriff besteht darin, die Computerressourcen der Ziele zu überlasten. Die Website der Chamber wurde gezielt angegriffen, das bestätigte der Generalsekretär des Parlaments Laurent Scheeck gegenüber wort.lu.
Premierminister Luc Frieden berief einen Krisenstab unter Leitung der Ministerin für Digitalisierung, Stephanie Obertin, ein, um über „angemessene Maßnahmen“zu beraten. Er besteht aus Vertretern des Digitalisierungsministeriums, der Verteidigungsdirektion, des „HautCommissariat à la protection nationale“ (HCPN), der Polizei, der Armee, des Luxemburger Geheimdienstes, des „Service de la communication de crise“(SCC), des „Centre des technologies de l’information de l’État“(CTIE), des „Service information et presse“(SIP), des „Service des médias, de la connectivité et de la politique numérique“(SMC), des „Computer Incident Response Center Luxembourg“(CIRCL) und des „Institut luxembourgeois de régulation“(ILR).
Die staatlichen Stellen ergriffen laut einer offiziellen Mitteilung „alle erforderlichen Maßnahmen, um die Auswirkungen des Vorfalls zu begrenzen und die Dienste so schnell wie möglich wieder zur Verfügung zu stellen“.
Politischer Hintergrund oder nicht?
Laut einer Mitteilung, die auf Twitter und auf Telegram kursiert, handelt es sich bei der Attacke um einen Angriff einer prorussischen Hacker-Gruppe. Diese reklamiert die Aktion für sich. Das Statement nennt Luxemburg einen „Zwergstaat“, der „wie seine Nachbarn in der EU“, beschlossen habe, „sich an der tschechischen Initiative zu beteiligen, Munition für Bandera-Anhänger zu kaufen.“Das Schreiben endet mit den Worten „Glory to Russia“.
Die Tschechische Republik hatte eine internationale Kooperation lanciert, um insgesamt 800.000 Schuss Artilleriemunition aus ehemaligen Sowjetbeständen in Nicht-EU-Ländern einzukaufen und der Ukraine zugänglich zu machen. Luxemburg hatte zugesagt, sich finanziell an diesem Vorhaben zu beteiligen, derzeit läuft die Abstimmung mit Belgien und den Niederlanden.
Der Piraten-Abgeordnete Sven Clement vermutete auf Radio 100,7 ebenfalls russische Kreise hinter dem Angriff. Die Krisenzelle dagegen dementierte gegenüber wort.lu einen Bezug der Attacken zum Besuch des ukrainischen Premiers am Dienstag. Die Luxemburger Armee verwies auf Anfrage an das HCPN.
Tatsächlich waren Angriffe auf die Internetseite der Armee als Erstes bemerkt worden, die DDOS-Attacke hatten neben staatlichen Internetseiten, auch die von luxemburgischen Privatfirmen im Visier, erklärte Patrick Houtsch, Direktor des Zentrums für Informationstechnologien des Staates (CTIE), dem „Luxemburger Wort“.
Ziel von Hackern sei oftmals, Angriffe für sich zu beanspruchen. Das CTIE nannte keine Details zur Quelle oder zu den Urhebern der Attacken. „Das sind Attacken, die aus verschiedenen Quellen des Internets kommen“, so Houtsch. Allerdings sei es den CTIE-Experten gelungen, im Laufe des frühen Abends die Angriffe abzuwehren. „Was wir hauptsächlich machen ist, diese Quellen zu identifizieren und zu blockieren.“Die Hacker würden sich permanent anpassen, weshalb man verschiedene Bekämpfungsmethoden anwenden müsse.
Ob es sich um einen eintägigen Hackerangriff handelt oder die Aktionen womöglich in den kommenden Tagen und Wochen weitergehen, kann Houtsch nicht sagen: „Wir wissen nicht, wie lange das dauert. Wir werden solange darauf reagieren, wie es nötig ist.“Er erläuterte: „Solche Attacken sind nicht selten, das kommt vor und meistens wird nicht darüber gesprochen, weil sie nicht so breit gefächert sind.“Weil in diesem Fall zahlreiche staatliche Internetseiten sowie jene aus dem Privatsektor betroffen waren, sei der Fall öffentlich sichtbar geworden. „Es ist wichtig, dass man darauf vorbereitet ist, solche Attacken abzuwehren. Das ist unsere Aufgabe, uns darauf zu präparieren. Und natürlich lernt man bei jeder Attacke ein bisschen dazu“, so Houtsch.
Solche Angriffe mit politischer Motivation von russischen oder prorussischen Akteuren hat es in der Vergangenheit öfter gegeben, manchmal werden Zuständigkeiten aber auch nur behauptet; Anfang März zum Beispiel in Schweden und Moldawien.
Auf Telegram findet sich eine Liste mit Zielen, die die Hacker angreifen wollen, darunter das Autobusnetz der Hauptstadt AVL – oder das, was die Hacktivisten dafür hielten: getroffen haben sie stattdessen die Website www.avl.lu vom „Akademischern Verein d‘Lëtzebuerger“an der RWTH Aachen. Die Seite des Studentenclubs ist down. Ebenfalls
: Der Premierminister hat einen Krisenstab einberufen, um über Maßnahmen zu beraten.
im Telegram-Chat erwähnt wurde die Seite der Luxemburger Tageszeitung Tageblatt – auch hier geht momentan nichts, wie Chefredakteur Armand Back bestätigte.
Auf Nachfrage beim „Akademischern Verein d‘Lëtzebuerger“bestätigte Präsidentin Anita Barthelmy gegenüber dem Luxemburger Wort den Angriff auf die Website des Vereins. Demnach habe der Vorstand gegen 13 Uhr von dem Vorfall erfahren, aber zunächst keine Ahnung von einem Cyberangriff gehabt. Vermutet wurde zu diesem Zeitpunkt noch ein für Donnerstag geplanter Wechsel des Webmasters der AVL-Homepage. Gewissheit kam erst mit den ersten Berichten in den Luxemburger Medien.
Die Sorge des Verbandes hält sich derzeit jedoch in Grenzen, da außer der nicht funktionierenden Homepage niemandem ein Schaden entstanden ist. Der verantwortliche Webmaster der Seite und die AVL-Mitglieder hätten zunächst über die Situation und die Verwechslung gelacht, so Barthelmy. Man finde den Vorfall einfach absurd und habe sich überlegt, den Twitter-Post der Hacker zu kommentieren, damit diese die Seite wieder freigeben.
Weitere Ziele waren die Seite der Luxemburger Armee, das Transportministerium und das Wasserwirtschaftsamt.