Hacker hatten mehrere Monate Zugriff auf Systeme der Telekom Austria, berichtet OE1.orf.at. Das Unternehmen hat den Angriff und die erfolgreiche Abwehr bestätigt. Das Interesse der Hacker galt besonders einer Datenbank die zeigt, wo in Österreich Funkmasten von A1 stehen, auf die Kundendatenbanken soll nicht zugriffen worden sein.
Durch den Tipp eines anonymen Informanten war die ORF-Journalistin Sarah Kriesche bereits seit Februar über den laufenden Cyberangriff informiert, veröffentlichte die Causa aber erst heute, um die Verteidigung nicht zu gefährden und den Tätern keine Möglichkeit zu geben über die Öffentlichkeit zu erfahren, dass sie bereits beobachtet wurden. Unbekannte Angreifer hatten seit November 2019 Zugriff auf Systeme der Telekom Austria. Die Attacke wurde im vergangenen Dezember durch gekaperte Konten in den Office-Systemen entdeckt, sagte Telekom-Sicherheitschef Wolfgang Schwabl in einem Gespräch mit Journalisten. Es hat sich um eine gezielte, manuelle Attacke gehandelt, nicht um einen Virus, einen Erpressungstrojaner oder ein anderes automatisiertes Schadprogramm. Die unbekannten Angreifer haben sich sehr für die Sendekatasterdatenbank interessiert, in der die Standorte der Funkmasten des Mobilfunkanbieters A1 gespeichert sind. Dass nicht auf Kundendatenbanken zugegriffen wurde, sei anhand der Systemprotokolle (Logfiles) ersichtlich.
Da über die Netze der A1-Telekom jedoch unter anderem auch Finanztransaktionen von Banken, das Gesundheitsnetz mit E-Card, oder der Behördenfunk laufen, musste neben der Abwehr der Attacke, die einige Dutzend Server betroffen hatte, außerdem der störungsfreie Betrieb der kritischen Infrastruktur gesichert werden. "Sobald wir von dem Angriff erfahren haben, insbesondere, dass die Angreifer in der Lage sind, Administrative Accounts anzulegen, haben wir begonnen, die kritische Infrastruktur abzuhängen, sodass sie auch mit einem Administrator-Account nicht erreicht werden konnte," so Schwabl. Die Behörden seien von Anfang an involviert gewesen, betont das Unternehmen.
Der Erstverdacht, dass die Angreifer Malware in die Systeme schleusen, um dann erpresserische Forderungen stellen zu können, erhärtete sich nicht. Sie entwickelten viel mehr ein reges Interesse für die Infrastruktur des Telekommunikationsbetreibers und begannen, über zuvor gekaperte Accounts, gezielte SQL-Statements abzusetzen, um zu lernen, wie die Datenbanken strukturiert sind. Das "Blue Team", ein rund 100-köpfiges IT-Experten-Team, das zur Verteidigung der Infrastruktur aufgestellt wurde, konnte jeden Schritt der Angreifer beobachten und analysieren. Forensische Analysen, tägliche Statusupdates, ein Nachrüsten der Verteidigungstools, sowie whitebox testing, ein Nachstellen der Ereignisse in geschützter Umgebung, wurden zur täglichen Routine. Am Tag x wurden schließlich sämtliche Passwörter bei allen Systemen zurückgesetzt, sodass die Angreifer aus dem Netz geworfen wurden. Es wurden auch technische Aufrüstungen vorgenommen (die nicht näher beschrieben wurden), um ein mögliches Wiedereindringen der – oder anderer – Angreifer zu verhindern. Das Corona-Virus hat dazu beigetragen, dass der im April geplante Tag X erst jetzt stattfinden konnte, da sich die meisten Mitarbeiter im Home-Office befunden hatten.
Die Ö1-Sendung dazu: https://oe1.orf.at/programm/20200608/601046
