Cyberattacke: Moskau unter Verdacht
Rekonstruktion. Hacker schleusten ein Schadprogramm ins Außenministerium ein, um Informationen abzugreifen.
Hacker hinterließen bei der Cyberattacke auf das Wiener Außenministerium dem Vernehmen nach eine ähnliche Handschrift wie bei Angriffen auf den deutschen Bundestag 2015.
Seit mehr als zehn Tagen hält eine Cyberattacke auf das Außenministerium in Wien die halbe Republik in Atem. Gebannt ist die Gefahr jedoch noch immer nicht. „Der Angriff ist nach wie vor im Gang. Unsere Experten arbeiten mit Hochdruck an einer Lösung“, sagt Peter Guschelbauer, der Sprecher des Außenamts. Er hütet sich davor, Details preiszugeben. Die Angreifer sollen nicht erfahren, was die Verteidiger schon über sie wissen. In diesem Spiel geht es nicht nur um Informationen, sondern vor allem ums Tarnen und Täuschen. Auch die mitteilungsbedürftigsten Beamten werden schmallippig, sobald sie nach dem Einbruch ins Datennetz der Diplomaten gefragt werden. Dennoch hat „Die Presse“versucht, den Angriff zu rekonstruieren.
Die Hacker wählten die Zeit zwischen den Feiertagen für die Invasion. Es war Freitag, der 3. Jänner, Alexander Schallenberg noch Außenminister der Übergangsregierung und nicht der türkis-grünen Koalition, als das Alarmsystem am Wiener Minoritenplatz anschlug. Die IT-Abteilung des Außenamts meldete einen massiven Hackerangriff. Noch in den Nachmittagsstunden eilte die Führung des urlaubsbedingt halb verwaisten Hauses zu einer Krisensitzung zusammen. Der Notfallmodus begann zu greifen, ein Wortungetüm namens Netz- und Informationssystemsicherheitsgesetz bekam auf einmal schnelle Beine.
Die Notfallrunde der Republik
Am Samstag, den 4. Jänner, versammelten sich die Cyber-Fachleute der Republik um einen Tisch im Innenministerium. Der Koordinationsausschuss trat zusammen – mit Abgesandten aus dem Verteidigungsministerium, dem Bundesamt für Verfassungsschutz und Terrorismusbekämpfung, aus dem Bundeskanzleramt, der Expertenszene und dem Außenamt. Cert-Verbund nennt sich die Runde; Cert ist die Abkürzung für Computer Emergency Response Team (Computer-Notfall-Eingreiftruppe).
Allen war rasch klar: Den Cyberangriff hatten Profis ausgeführt. Die Eindringlinge hatten ein Schadprogramm (Malware) ins Computersystem geschleust, um Zugang zu Informationen im Datenreich des Außenministeriums zu gewinnen.
Noch in der Nacht des 4. Jänner informierte das Außenamt alle Mitarbeiter. Totale Geheimhaltung wäre rechtlich gar nicht möglich gewesen. Die Chefetage wurde durch die Datenschutzverordnung zur Transparenz gezwungen. „Sehr geehrte Kolleginnen und Kollegen, die IT-Systeme des BMEIA (Bundesministerium für europäische und internationale Angelegenheiten, Anm.) sind derzeit Ziel eines schwerwiegenden Cyberangriffs. Wir informieren Sie, dass auch Ihre personenbezogenen Daten betroffen sein könnten“, hieß es in der E-Mail, gesendet am 4. 1. um 21.46 Uhr.
Knapp eine Stunde später informierte das Außenamt in einer Presseaussendung die Öffentlichkeit. Die Benachrichtigung kann auch so gelesen werden, dass sie eine verschlüsselte Botschaft an den Absender der Malware enthält: „Aufgrund der Schwere und der Art des Angriffs kann nicht ausgeschlossen werden, dass es sich um einen gezielten Angriff eines staatlichen Akteurs handelt.“
Die Handschrift des Fancy Bear
Offiziell hielt und hält sich das Außenministerium bedeckt. Bis heute. Es gebe keine belastbaren Beweise, wer hinter dem Cyberangriff steckt, heißt es gebetsmühlenartig gegenüber Journalisten. Und so wird es wohl auch sein. Doch intern und hinter vorgehaltener Hand fiel der Verdacht schnell auf Russland.
Die Hacker hinterließen dem Vernehmen nach eine ähnliche Handschrift wie bei Angriffen auf den Deutschen Bundestag Anfang 2015. Die Ermittler vermuteten damals eine Cyberspionage-Gruppe namens „Fancy Bear“, die mit dem russischen Militärgeheimdienst GRU verbunden sein soll, hinter dem virtuellen Informationsraubzug. War diese Truppe auch in Wien am Werk?
Am 7. Jänner landete die Mutmaßung auf der Titelseite der „Kronen Zeitung“: „Spionageattacke: Spur nach Moskau“. Das wütende Dementi des russischen Botschafters in Wien, Dmitrij Ljubinskij, ließ nicht lang auf sich warten. „Ein Paradebeispiel der Fake-News-Verbreitung“, schrieb er auf Facebook. Das Außenamt wollte die Headline damals auf Anfrage der „Presse“weder bestätigen noch dementieren. Es werde an der Aufklärung gearbeitet – mit „Hochdruck“, dem Lieblingswort der offiziellen Stellen in diesem Zusammenhang.
Längst hat das Außenamt eine Privatfirma beauftragt, um sein Computersystem zu durchkämmen. Ohne Ausschreibung, weil Gefahr im Verzug war. Dafür musste sich das Ministerium eine Sondergenehmigung bei der Finanzprokuratur holen.
Angriff auf Botschaft in Kiew
Es ist nicht das erste Mal, dass das Außenministerium zum Opfer eines Cyberangriffs wird. Einmal drangen Hacker über Österreichs Botschaft in Kiew ins Computersystem ein. Und auch bei mehreren Spitzendiplomaten in Wien wurden schon einmal große Datenmengen abgesaugt.
Diesmal hat man die Attacke angeblich schnell erkannt. Doch bis der Fall geklärt ist, kann noch viel Zeit verstreichen. In vergleichbaren Fällen in europäischen Ländern habe es sechs Monate gedauert, heißt es im Außenamt.
Und dann bleibt immer noch die Frage, ob Österreich die Angelegenheit aus diplomatischen Erwägungen nicht lieber doch unter den Teppich kehrt.