Wien – Die ÖVP ist offenbar Opfer eines großangelegten und professionell ausgeführten Hackerangriffs geworden, bei dem eine große Menge an Daten entwendet und zum Teil auch verfälscht wurde. Das erklärte ÖVP-Chef Sebastian Kurz Donnerstagfrüh vor Journalisten. Der virtuelle Einbruch sei erst am Dienstag festgestellt worden. Die ÖVP hatte eine Sicherheitsfirma beauftragt, nachdem vertrauliche Daten aus der Parteizentrale an Medien gelangt waren. Insgesamt fünf Wochen seien unbekannte Täter im Computersystem der Volkspartei unterwegs gewesen und hätten riesige Mengen an Daten abgezogen.

Kurz sprach davon, dass dies nicht nur ein Angriff auf die Volkspartei, sondern einer auf die Grundfesten der Demokratie, auf freie Wahlen und auf die Meinung der Menschen sei. Das Ziel der Täter sei gewesen, die Daten nicht nur zu entwenden, sondern auch zu manipulieren und zu verfälschen – und damit den Wahlkampf und den Wahlausgang zu beeinflussen. "Hier wurde mit hoher krimineller Energie agiert", sagte Kurz. Daten aus der internen Buchhaltung der Volkspartei, die etwa der "Falter" veröffentlicht hatte, seien teilweise manipuliert worden und somit nicht richtig.

Am Donnerstag wurden die Sicherheitsbehörden eingeschaltet, ein Anwalt der Volkspartei hat die Erkenntnisse, die die Firma Cybertrap im Auftrag der Partei gewonnen hat, dem Verfassungsschutz übermittelt.

Wochenlange Suche

Nach der ersten Veröffentlichung von Daten durch Medien hatte die ÖVP einen Sicherheitsfachmann eingeschaltet. Schon damals gab es den Verdacht, dass die ÖVP gehackt worden sein könnte. Dass jemand aus dem innersten Kern der Volkspartei die Unterlagen weitergegeben habe, schloss man aus.

Avi Kravitz von der Firma Cybertrap, die auf die Bekämpfung von Wirtschafts- und Industriespionage spezialisiert ist, erläutert den Ablauf: Er selbst sei am 23. August verständigt worden, am 28. August habe man mit einer detaillierten Analyse begonnen. Mit 3. September, also erst am Dienstag, habe man konkrete Verdachtsmomente gefunden, die Folgendes belegen sollen: Am 27. Juli sei erstmals ein Server der ÖVP "kompromittiert" worden, wie es Kravitz ausdrückt. Es gab also einen erfolgreichen Angriff auf das Computersystem. Zuvor ist offenbar ein hochrangiger Mitarbeiter der ÖVP gehackt worden, dessen Zugriffscode den Einbruch möglich gemacht hatte. In der Folge sei es den Angreifern gelungen, den administrativen Account der Parteizentrale zu kapern, damit hätten die Täter den "goldenen Schlüssel" zur gesamten Infrastruktur gehabt.

Damit sei es möglich gewesen, Daten anzulegen, zu löschen, zu verfälschen oder zu entwenden. Der entscheidende Angriff sei am 27. August erfolgt. Am 28. August sei dann eine riesige Menge an Daten auf einen externen Server übertragen worden. Dabei handelt es sich offenbar um die komplette Buchhaltung, um den Mailverkehr, um die Wahlvorbereitung, um die Kampagnen der Volkspartei.

Am 3. September sei dann "der Stecker gezogen" worden, wie es Kravitz formuliert, erst da seien die Täter wieder aus dem System ausgesperrt worden. Insgesamt seien die Angreifer fünf Wochen in der Infrastruktur der Volkspartei unterwegs gewesen. Kravitz: "Da waren Profis am Werk, keine Anfänger. Die Vorgangsweise, die Zeit und die Ressourcen lassen auf Profis schließen." Kravitz glaubt, dass die Täter beauftragt worden seien. Noch könne man über Täter und Auftraggeber nichts sagen, andeutungsweise könnten Spuren aber auch ins Ausland führen.

Ob es überhaupt gelingen kann, die Täter auszuforschen, ist offen, Kravitz zeigt sich jedenfalls optimistisch. Die Täter hätten zwar sorgfältig versucht, Spuren zu verwischen, sie hätten aber dennoch Spuren hinterlassen.

Regierung hält Berichte für "besorgniserregend"

Regierungssprecher Alexander Winterstein bezeichnete die Berichte der ÖVP als "zutiefst besorgniserregend". Abgesehen von der strafrechtlichen Relevanz seien Angriffe auf die IT-Infrastruktur öffentlicher oder privater Institutionen "ein Angriff auf die Integrität unserer Demokratie und des Gemeinwesens".

Winterstein betonte, keine über die mediale Berichterstattung hinausgehenden Details über den angeblichen Angriff zu haben. Die Regierung nehme die demokratiepolitischen Implikationen solcher Hackerangriffe sehr ernst. Die für Cybersicherheit zuständigen Stellen der Regierung stünden im regelmäßigen Austausch, um Sicherheit und demokratische Integrität sicherzustellen.

Zugriff auf interne Netzwerke

In einem vorläufigen Bericht von SEC Consult heißt es, dass der Angreifer über einen Webserver Zugriff auf die internen Netzwerke der ÖVP erhielt. Offenbar war es dem Unbekannten gelungen, einen Benutzeraccount zu übernehmen, der über weitgehende Rechte verfügte. Und so auch Dateien kopieren oder abspeichern konnte. Der Angreifer konnte laut Bericht "auf ungewöhnlich viele Dateien" zugreifen, die auf einem Fileshare abgelegt waren. Diese Dateien wurden auch an eine externe Domain kopiert.

SEC Consult spricht aktuell von zumindest fünf kompromittierten Systemen. Wer hinter dem Angriff steckt, ist nicht bekannt. Der Angreifer habe seine Spuren per Tor-Browser und anderen Anonymisierungsdiensten verwischt. Man geht daher von einem "versierten" Angreifer aus, "in- oder ausländische Nachrichtendienste" könnten daher zum jetzigen Zeitpunkt nicht ausgeschlossen werden.

Für Kurz ist klar, dass Daten nicht nur entwendet, sondern auch verfälscht wurden. Darauf habe man den "Falter" bei dessen Recherchen hingewiesen. Und deshalb habe man den "Falter" auch geklagt. Eine Journalistin des "Falter", die Donnerstagfrüh vor der Parteizentrale stand, wurde nicht eingelassen. Sie sei nicht eingeladen gewesen. (völ, red, 5.9.2019)