ÖVP-Zentrale gehackt: Regierung nimmt Angriff "sehr ernst"

Die ÖVP sieht sich im Wahlkampf zur Nationalratswahl am 29. September als Opfer eines groß angelegten Cyber-Angriffs.

"Es gab einen sehr gezielten Hackerangriff auf die Server der Volkspartei mit dem Ziel, Daten zu entwenden, zu platzieren, zu manipulieren und zu verfälschen. Das ist nicht nur ein Angriff auf die Volkspartei, sondern auch ein Angriff auf das demokratische System", erklärte ÖVP-Chef Sebastian Kurz in einer Pressekonferenz Donnerstagfrüh an Seite von ÖVP-Generalsekretär Karl Nehammer und Cyber-Security-Experte Avi Kravitz von der Firma CyberTrap.

Die Bundesregierung nehme den Hackerangriff auf die ÖVP "sehr ernst“, wie Regierungssprecher Alexander Winterstein bei einem Pressebriefing am Donnerstag erklärte. Die zuständigen Stellen im Bundeskanzleramt und im Verteidigungsministerium seien im ständigen Austausch, um die Cyber-Sicherheit im Bereich des Bundes, "die Integrität unserer IT-Infrastruktur“ sicherzustellen“. Man sei "extrem wachsam", sagte Winterstein.

FPÖ-Generalsekretär Harald Vilimsky forderte in einer Reaktion volle Aufklärung und rief die ÖVP auf, umgehend mit voller Transparenz auf die Behörden zuzugehen und der Staatsanwaltschaft alle Daten zur Verfügung zu stellen.

Anomalien

Experten der Cyber-Security-Firmen SEC Consult und CyberTrap hatten in den vergangenen Tagen die IT der Volkspartei überprüft und dabei mehrere "Anomalien" erkannt, die auf einen groß angelegten Hackerangriff hinweisen. Bisheriger Erkenntnisstand: Am 27. Juli soll der erste erfolgreiche Angriff auf den ÖVP-Server erfolgt sein, um den 11. August herum sei es den Hackern dann gelungen, eine Netzwerkkomponente zu infiltrieren einen administrativen Account zu knacken.

Insgesamt soll das System fünf Wochen lang gehackt gewesen sein - am 28. August schließlich sollen große Datenmengen von den Hackern auf einen externen Server im Ausland kopiert worden sein. Am 3. September sei es den Cybersecurity-Experten erst gelungen, die Lücke zu schließen. Entdeckt wurde das Datenleck am Dienstag dieser Woche.

Werk von Profis

Der Hack ist laut Kravitz Werk hochversierter Profis und rieche stark nach Auftragsarbeit. Der finanzielle Aufwand für einen Hackerangriff dieser Dimension liege im sechsstelligen Bereich. Der oder die Hacker hätten sich Zugriff auf die Infrastruktur der ÖVP verschafft und über eine Art "goldenen Schlüssel" verfügt. Damit sei es theoretisch auch möglich gewesen, Daten zu manipulieren. Entsprechend hätten die Hacker Daten abziehen, löschen, manipulieren oder auch hinzufügen können.

Die ÖVP sieht nach ersten Einschätzungen kein ökonomisches Motiv hinter der Attacke. Es könne nicht ausgeschlossen werden, dass die Auftraggeber aus dem politischen Umfeld kommen oder ausländische Geheimdienste dahinterstehen und der Versuch der Wahlbeeinflussung vorliege. Die ÖVP hat inzwischen den Verfassungsschutz informiert.

Der Angriff ist laut Kurz vergleichbar mit jenen auf die Kampagne des französischen Staatspräsidenten Emmanuel Macron oder im vergangenen US-Wahlkampf. In Österreich habe es bisher im politischen Kontext noch nie eine solche Attacke gegeben, erklärte Kurz.

In den vergangen Wochen wurden zweimal interne Unterlagen aus der Parteizentrale in Medien veröffentlicht. Zunächst landete eine Liste von Parteispendern via anonymem Absender im digitalen Briefkasten des Standard. Der Veröffentlichung durch die Tageszeitung war die ÖVP zuvorgekommen, indem man die Spenderdaten selbst via Aussendung veröffentlichte.

Weiters berichtete die Wiener Wochenzeitung Falter zu Beginn der Woche mit Verweis auf interne Dokumente aus der Partei, die ÖVP würde mit einer doppelten Buchführung einen Teil ihrer aktuellen Wahlkampfkosten verschleiern und so die in diesem Wahlkampf geltende Obergrenze von sieben Millionen Euro umgehen wollen. Die ÖVP wies diese Darstellung als falsch zurück und erklärte, dass das Falter-Dossier teils echte und teils verfälschte Unterlagen enthalte.

Vilimsky: "Volle Aufklärung"

FPÖ-Generalsekretär Vilimsky fordert in einer Reaktion die ÖVP auf, umgehend mit voller Transparenz auf die Behörden zuzugehen und der Staatsanwaltschaft alle Daten umgehend zur Verfügung zu stellen. Zur Klärung der Vorwürfe sei es unbedingt erforderlich, dass die Staatsanwaltschaft die relevanten Daten sichert. "Es braucht eine volle und rasche Aufklärung, auch ob die geleakten Daten stimmen oder nicht."

Wenn die von der ÖVP heute behauptete Hacker-Attacke tatsächlich stimmen sollte, wäre es wirklich ein Skandal und besorgniserregend, dass in Österreich nicht linke Parteien mittels illegaler Aktionen beschädigt und vernichtet werden sollen. Nach dem Ibiza-Video wenige Tage vor der EU-Wahl wird jetzt möglicherweise zum zweiten Mal mit einem Riesenaufwand versucht, Wahlen via Medien zu beeinflussen“, so Vilimsky zu den aktuellen Entwicklungen.

Auszüge aus dem Zwischenbericht

Nachfolgend Auszüge aus dem Zwischenbericht der Cyber-Security-Experten von SEC Consult und Cybertrap:

Am 03.09.2019 um 13:30 wurde das SEC Consult SEC Defence Team über unser Partnerunternehmen Cybertrap bezüglich eines Data Breaches beim eigentlichen Auftraggeber verständigt. Um 14:00 wurde mit der forensischen Untersuchung des vermuteten Data Breaches begonnen.

Kurzzusammenfassung Stand 04.09.2019 15:45

Auf zentralen Loggingsystemen wurden von der IT-Abteilung des Auftraggebers mehrere Anomalien in den IT-Systemen entdeckt. Weiters konnte herausgefunden werden, dass Dateien aus einem internen Fileshare unautorisiert auf externe Server exfiltriert wurden. Der Angreifer hat sich über mehrere Systeme hinweg Zugang zum Fileserver und hochprivilegierten Benutzeraccounts verschafft und so die Dateien an einen externen Server kopiert.

Ergebnisse Stand 04.09.2019 15:45

Der Angreifer erlangte über einen Webserver Zugriff auf das interne Computernetzwerk.

Mit einem hochprivilegierten Benutzeraccount wurde auf ungewöhnlich viele Dateien auf einen Fileshare zugegriffen.

Die Dateien des Fileshares wurden letztendlich über einen weiteren internen Server via FTP an eine externe Domain exfiltriert.

Mit den vom Angreifer übernommenen Benutzeraccounts könnte dieser: Daten kopieren, verfälschen oder platzieren.

Insgesamt konnten so bis zum aktuellen Zeitpunkt (04.09.2019 - 15:45) zumindest fünf kompromittierte Systeme ausfindig gemacht werden.

Die identifizierten Spuren deuten auf einen nicht-automatisierten Angriff. Ausgeführt von einem externen und versierten Angreifer.

Der Angreifer konnte bis zum jetzigen Zeitpunkt nicht zurückverfolgt werden, da Anonymisierungsdienste, unter anderem Tor, für seine Kommunikationskanäle verwendet wurden.

Laut aktuellem Kenntnisstand lässt sich der Angriff bis zum 27.07.2019 12:13 CET rekonstruieren. Die Dauer der Vorbereitungszeit wird auf etwa ein bis zwei Monate geschätzt.

Die konkrete Frage unseres Auftraggebers "Können in- oder ausländische Nachrichtendienste als Angreifer ausgeschlossen werden?" Muss zum jetzigen Zeitpunkt mit "Nein." beantwortet werden.