Seit kurzem ist der Online-Service des Gebühren Info Services GIS wieder in vollem Umfang verfügbar. Nach dem Hackerangriff von Anonymous Österreich am 22. Juli war zunächst der gesamte Internetauftritt des Unternehmens offline gewesen. Jetzt sind auch die Formulare für Anmeldungen und Datenänderung wieder online gegangen.

Die Aktion der Hacker zielte nach eigenen Angaben darauf ab, gravierende Sicherheitsmängel der GIS-Webseite aufzuzeigen. Über die Bewertung der Aktion und die Frage, ob die GIS leichtfertig mit Kundendaten umgegangen sei, gab es eine größere Auseinandersetzung. Im Interview äußert sich Herbert Denk, Leiter des Bereiches Marketing der GIS Gebühren Info Service GmbH, zu dem Vorfall und den Konsequenzen.

derStandard.at: Was waren die Schwierigkeiten in der Reaktion auf den Hackerangriff vom 22. Juli?

Denk: Da gab es keine wirklichen Schwierigkeiten. Das Ganze ist an einem Freitag passiert. Wir haben umgehend das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) angerufen, die sich wiederum mit einer IT-Security-Firma zusammengetan haben. Sie sind gemeinsam zum Server gefahren und haben mit der forensischen Analyse angefangen. Das hat die ganze Nacht bis Samstag in der Früh gedauert und dann war Wochenende. Die genaue Analyse und was dabei herausgekommen ist, haben wir erst am Montag bekommen.

derStandard.at: Es hat aber nach der ersten Übernahme der Webseite durch Anonymous Österreich weitere Übernahmen gegeben?

Denk: Es hat noch ein oder zwei Versuche gegeben, dann haben wir die Seite vom Netz genommen. Wir haben gesagt: „Jetzt schauen wir uns an, was wirklich passiert ist und lassen es analysieren. Es muss verkraftbar sein, dass wir eine Zeitlang offline sind."

derStandard.at: Anonymous hat Ihnen ein Ultimatum zur Veröffentlichung einer Erklärung gesetzt?

Denk: Das ist übers Wochenende [nach dem 22. Juli] aufgetaucht. Das hat unsere Entscheidungsprozesse aber nicht beeinflusst. Wir wussten erst am Montag, was wirklich geschehen war. An dem Freitag, als alles passierte, war es uns selber nicht klar. Die Analyse erfolgte Spätnachmittags bis zum Abend und in die Nacht. Den Endbericht erhielten wir am Montag. Wir wären auf jeden Fall mit der Information rausgegangen, egal ob Anonymous ein Ultimatum stellt oder nicht.

derStandard.at: Es war kein Versuch, das geheim zu halten?

Denk: Wir können das nicht geheim halten. Wenn Kundendaten abgezogen werden, sind wir vom Datenschutzgesetz her verpflichtet, zu informieren. Eine klare Information konnten wir aber erst geben, als für uns klar war, was eigentlich passiert ist. Als am Freitag alle möglichen Twitter-, Facebook- und Nachrichtenmeldungen darüber verbreitet wurden, war die Information für uns noch nicht da, da wussten wir selber noch nicht, wie und was passiert ist.

derStandard.at: Hat es im Vorfeld Hinweise auf mögliche Schwachstellen gegeben? Es gibt einen Bericht, in dem über Fehler bei der PHP-Eingabe berichtet wird?

Denk: Nein, keine die mir bekannt sind. Ich habe den Artikel auch gelesen, aber das ist für uns nicht nachvollziehbar.

derStandard.at: Sie haben intern keinen Nachweis gefunden, dass dieser Hinweis bei Ihnen eingelangt ist?

Denk: So ist es. Für uns kam der Angriff aus dem Blauen heraus.

derStandard.at: Der Angriff unterscheidet sich insoweit von anderen Hackeraktionen, da es Anonymous Österreich darum gegangen ist, auf „die eklatanten Verstöße der GIS gegen das Datenschutzgesetz" aufmerksam zu machen. Ist die GIS leichtfertig mit den Daten umgegangen?

Denk: Wir sind nicht leichtfertig mit den Daten umgegangen. Ich möchte betonen, es handelte sich um eine Protokolldatei. Es war keine Datenbank der GIS. Es war die Protokolldatei, die aufzeichnet, welche Eingaben Personen in unseren Online-Formularen gemacht haben. Die Datenbank ist mit dem Internet überhaupt nicht verbunden. Die IT-Umgebung der GIS mit den internen Datenbanken war von dem Angriff nicht betroffen. Der gesamte Webbereich, das gesamte Internet ist von unserer IT-Landschaft total getrennt. Da gibt es keinerlei Verbindung.

Auch die Angaben, die jemand in die Online-Formulare macht, laufen nicht ungeprüft in unser System, sondern müssen manuell bearbeitet werden und werden dann erst eingepflegt.

derStandard.at: War die Protokolldatei ausreichend geschützt?

Denk: Die war an und für sich ausreichend geschützt. Durch den Hackerangriff ist eine Schwachstelle aufgetaucht und über die war es dann möglich, auf den Server zu gelangen.

derStandard.at: War es für Sie ein krimineller Hackerangriff oder eine politische Aktion?

Denk: Das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung hat bei der Staatsanwaltschaft Anzeige gegen Unbekannt eingebracht. Es ist uns ein Schaden dadurch entstanden.

derStandard.at: Wie haben Sie die geschädigten Personen informiert?

Denk: All jene Personen, deren Angaben in dieser Protokolldatei enthalten waren, wurden von uns schriftlich informiert. Bei denen, die eine E-Mail-Adresse dabei hatten, konnten wir sogar im Vorfeld per E-Mail informieren und auch noch einmal postalisch. Mit dem Hinweis darauf, welche Daten betroffen waren – es waren im Wesentlichen Name und Adresse und bei ungefähr der Hälfte auch eine Kontonummer. Bei den Kunden, bei denen die Kontonummer dabei war, haben wir darauf hingewiesen, dass sie ihre Kontobewegungen genauer ansehen und bei Unregelmäßigkeiten Kontakt mit dem Kreditinstitut aufnehmen sollten. Mit dem Hinweis darauf, dass das Zahlungsdienstegesetz vorsieht, dass bei ungerechtfertigten Abbuchungen eine Rückbuchung möglich ist. Von Schäden bei Kunden ist uns nichts bekannt.

derStandard.at: Gab es Fragen oder Beschwerden von Kunden?

Denk: Es hat natürlich Anfragen gegeben. Auch von Kunden, die nicht betroffen waren. Es hat sich sehr in Grenzen gehalten. Möglicherweise lag das an der Sommerzeit, das weiß ich nicht.

derStandard.at: Wie haben Sie Ihr Sicherheitskonzept überarbeitet?

Denk: Wir reden ausschließlich von der Webseite. Alle anderen IT-Systeme finden in einer ganz anderen Umgebung statt. Diese zwei Sachen sind total voneinander getrennt. Was die Webseite betrifft: Server und FTP-Client wurden neu konfiguriert, Firewalls angepasst und eine sehr strenge Auditierung durch ein externes IT-Security-Unternehmen auf eventuelle Schwachstelle durchgeführt, bevor alles wieder Online gegangen ist.

derStandard.at: Gab es darüber hinaus Maßnahmen für eine zukünftige Verbesserung der Sicherheit?

Denk: Es wird weitere Schritte geben. Es wird in Zukunft permanent Auditierungen und Penetrationstest von externen Spezialisten geben, um eventuelle Schwachstellen und Sicherheitsrisiken zu prüfen und festzustellen. Es wird gerade ein neues Konzept aufgesetzt, das diese Punkte vorsieht. Wir sind nicht im Mindesten daran interessiert, dass so etwas noch einmal passiert.
Für uns ist ganz vordringlich, dass die Kunden beruhigt sind und dass garantiert ist, dass Sicherheitsstandards da sind und eingehalten sind. Das ist eine ganz wichtige Sache. Wir sind ein Unternehmen, das sehr stark auf Datensicherheit ausgerichtet ist. Der GIS eine generelle Leichtfertigkeit zu unterstellen, ist wirklich ungerechtfertigt. (Markus Drenckhan, derStandard.at, 27.9.)