© sp4764 - Fotolia

Türke in USA
02/27/2017

Cyber-Terrorist nach Angriffen auf Österreich enttarnt

Das Heeresnachrichtenamt klärt Angriffe auf Flughafen, Ministerien, Nationalrat und Nationalbank auf. Ein in den USA lebender türkischer Nationalist wurde entlarvt.

von Wilhelm Theuretsbacher

Massive Computer-Attacken auf Einrichtungen der kritischen Infrastruktur und der Regierung in den letzten Monaten waren erste Versuche von Cyber-Terrorismus gegen die Republik Österreich. Weitere Anschläge wurden angekündigt. Doch damit ist es nun vorbei. Das Heeresnachrichtenamt hat laut KURIER-Recherchen den mutmaßlichen Haupttäter, einen türkischen Aktivisten, im US-Bundesstaat Kentucky enttarnt. Jetzt kümmern sich die amerikanischen Behörden um den Mann, auch die österreichische Justiz ermittelt.

Flughafen

Die Angriffsserie begann im Vorjahr am Freitag, dem 2. September, mit einer Hacker-Attacke gegen den Flughafen Wien. In Form von DoS (Denial of Service) oder DDoS (Distributed Denial of Service) versuchen vorerst unbekannte Täter, den Server des Flughafens lahm zu legen.

Die DoS-Angriffsmethode: Zuerst wird eine große Anzahl von Computern weltweit mit Schadprogrammen infiziert. Diese Computer können dann ferngesteuert ein Angriffsziel mit einer derart hohen Zahl von Anfragen bombardieren, bis der angegriffene Server quasi erstickt.

Der Flughafen Wien konnte die Attacke mit seinem Sicherheitssystem abwehren.

Nationalbank

Am Freitag, dem 9. September 2016, versuchte das unbekannte "Botnet" mit fünf Millionen eMails pro Minute den Server der Nationalbank lahmzulegen. "Die größte Attacke der letzten Jahre", erklärte dazu ein Nationalbanksprecher.

Außenministerium

Am Freitag, dem 25. November 2016, war das Außenministerium Ziel einer DDoS-Attacke, konnte diese aber ebenfalls abwehren.

Verteidigungsministerium

Zwei Tage nach dem Angriff auf das Außenministerium war das Verteidigungsministerium dran. Die Website des Bundesheeres war eine Nacht lang nicht erreichbar.

Parlament

Der letzte Angriff erfolgte am 5. Februar 2017 auf das Parlament.

Zu den Angriffen bekannte sich eine anonyme, türkische Hackergruppe. Motiv sei die "türkeifeindliche" Haltung Österreichs. Beim Flughafen Wien mokierten sich die Angreifer darüber, dass nach der außerplanmäßigen Zwischenlandung einer türkischen Maschine 49 türkischen Staatsbürgern kein Not-Visum ausgestellt wurde, weshalb diese in der Transitzone des Flughafens übernachten mussten. Motiv für die Netz-Attacke auf die Nationalbank war die Verhängung eines Waffenembargos gegen die Türkei durch Österreich.

Nachrichtendienst

Der Verfassungsschutz begann zu ermitteln. Gleichzeitig war es aber auch eine Aufgabe für das Heeresnachrichtenamt (HNaA). Das ist der Auslandsnachrichtendienst der Republik. Nachdem die Täter eindeutig aus dem Ausland kommen und sensible Einrichtungen der Republik angriffen, war hier eine klare Zuständigkeit des Bundesheeres gegeben.

Die HNaA-Analysten wurden fündig – und zwar nicht in der Türkei, sondern im US-Bundesstaat Kentucky. Dort stießen sie im Ort Bowling Green auf eine höchst schillernde Figur: Arslan A. alias Osman T. alias General Osman. Ein angeblicher Amerikaner, der mit seinem Bruder und einem Cousin einen komfortablen Bungalow mit drei Schlafzimmern und zwei Bädern bewohnt.

Beruflich gibt er sich als Cyber-Sicherheitsfachmann aus. Sonst verbindet ihn aber mit den USA offenbar nicht allzu viel. Seine zahllosen Facebook-Freunde sind fast ausschließlich Türken. Und er präsentiert gerne Fotos, die ihn in der Uniform eines türkischen Fallschirmjägers mit Sturmgewehr auf einem türkischen Truppenübungsplatz zeigen. Bemerkenswert: Die anonymen Hacker bezeichneten sich selbst als "Soldaten".

Infizierte Computer

Dem HNaA ist es gelungen, dem Mann alle Netzaktivitäten nachzuweisen. Über Social Media-Kanäle wie Twitter, YouNow und Instagram kommunizierte er mit seiner Fangemeinde. Für Netzattacken steht ihm aber ein illegales Botnet zur Verfügung. Das ist ein Netz mit 600 infizierten Computern in 150 Staaten. Computer, bei denen es gelungen ist, ein Schadprogramm für Angriffe zu installieren. Es ist im Vergleich zu anderen Botnets ein relativ kleines Netz. Bei vorangegangenen Attacken im Februar des Vorjahres auf A1 wurde von anderen Tätern die zehnfache Kapazität eingesetzt. Auch A1 konnte den Angriff abwehren.

Dass es ein vergleichsweise kleines Netz ist, wussten auch Arslan T. und seine Sympathisanten. Einer fragte ihn bei einer Diskussion, wann er sich endlich ein größeres Netz zulegen wolle.

Das tat aber dem Kampfgeist keinen Abbruch. Attackiert wurde in den letzten Monaten aus Kentucky in Form eines Rundumschlages alles, was als türkeifeindlich empfunden wurde. Neben den österreichischen Angriffszielen wurden auch Server in Israel, im Irak und selbst in den USA angegriffen – unter anderem die Ratingagentur Moody‘s. Auch Server der kurdischen PKK wurden attackiert.

Es ist nun müßig zu diskutieren, ob der nationalistische Fallschirmspringer ein Cyber-Agent des türkischen Geheimdienstes MIT ist – und somit im staatlichen Auftrag handelt – oder ein selbsternannten "Retter" seines Heimatlandes. Die wahren Hintergründe werden sich nur sehr schwer oder gar nicht klären lassen.

US-Behördenaktion

Das HNaA hat die Informationen über den Cyber-Aktivisten an die US-Behörden weiter gegeben. Nach und nach verschwinden plötzlich seine Profile aus dem Netz. Und der Bungalow in Bowling Green wird von einer Immobilienfirma zum Verkauf angeboten. Außerdem wird das Bundesheer die Erkenntnisse auch an die Staatsanwaltschaft Wien weitergeben. Denn dort landen auch die Ermittlungsergebnisse des Verfassungsschutzes. Ein internationaler Haftbefehl hat durchaus Aussicht auf Erfolg. Erst dieser Tage wurde ein Cyber-Krimineller in London gefasst. Der 29-jähriger Brite wollte einen Telekom-Rechner in ein bereits existierendes Botnet aus ferngesteuerten Rechnern eingliedern.

Funktionierende Abwehrstrategie

Der aktuelle Abwehrerfolg bestätigt Österreichs Gesamtstrategie für die Umfassende Sicherheitsvorsorge (USV) und die daraus abgeleiteten Teilstrategien – darunter auch die Cyber-Strategie. Immerhin ist es gelungen, über Monate andauernde Angriffe auf Einrichtungen der Regierung abzuwehren und letztendlich sogar die Täter in den USA ausfindig zu machen; dadurch scheint die Angriffsserie beendet.

Die "Österreichische Strategie für Cyber Sicherheit" (ÖSCS) verlangt die enge Zusammenarbeit aller Ressorts, um ein aktuelles Cyber-Sicherheit-Lagebild zu erstellen. Wesentlich ist es, die Wirtschaft ins Boot zu holen. Vor allem jene Unternehmen, die Teil der sogenannten kritischen Infrastruktur sind. Das sind vor allem Energie- und Wasserversorger, sowie der Verkehr.

Nur durch einen intensiven Erfahrungsaustausch und Wissenstransfer zwischen Behörden und Wirtschaft sind die Unternehmen in der Lage, sich gegen Angriffe zu schützen. Kurz vor dem erfolgreichen Abwehreinsatz hatte beispielsweise der Flughafen Wien an einem Planspiel mit dem Innenministerium teilgenommen.

Die Koordinierung nimmt das Bundeskanzleramt vor. Im Innenministerium wurde ein Cyber-Krisenmanagement (CKM) installiert. Der Verfassungsschutz verfügt über ein Cyber-Security-Center (CSC), und das Heeresnachrichtenamt durchforstet den virtuellen Raum weltweit nach Bedrohungen.

Cyber-Verteidigung

Zur Abwehr von militärischen Cyber-Angriffen wurde beim Abwehramt ein Cyber-Verteidigungs-Zentrum geschaffen. Dieses dient aber nicht nur der Abwehr. Angedacht werden auch mögliche Gegenschläge des Militärs gegen die Rechner von Angreifern. Technisch wäre das Abwehramt dazu bereits in der Lage. Völkerrechtliche und neutralitätsrechliche Fragen müssen aber noch geklärt werden.