Hackerangriff hier, Hackerangriff da? Nein.
Ein Kommentar zur aktuellen Berichterstattung rund um DDoS-Angriffe gegen die Webseiten politischer Parteien in Österreich
Aktuell häufen sich in den österreichischen Medien Berichte darüber, dass es zu “Hackerangriffen” gegen die Webseiten politischer Parteien kommt. Betroffen sind beispielsweise die ÖVP, die Grünen, die KPÖ oder die SPÖ. Je nachdem welche Quelle man bedient wird man mit einem unterschiedlichen Niveau an Berichterstattung konfrontiert.
Mein persönlicher Favorit, im negativen Sinn, ist jedoch der auf krone.at erschienene Beitrag über “Hacker mit Putin-Nähe” welche die “Wahl sabotieren wollen”.
Darin lassen die Journalist:innen der “Krone” den Experten Cornelius Granig zu Wort kommen, welcher die Geschehnisse für uninformierte Laien in’s rechte Licht rückt und uns darüber aufklärt, was wirklich vor unseren Augen geschieht.
Oder sagen wir: Er erklärt uns etwas. Dass dies wirklich das ist, was hier geschieht halte ich für zweifelhaft. Aber der Reihe nach ..
Waren diese Attacken vielleicht nur Probeangriffe, für einen viel größeren Übergriff am Sonntag? Ein Experte schlägt Alarm.
Auch wenn die Frage nicht in einer Überschrift gestellt wird ist das in meinen Augen trotzdem ein ausgezeichnetes Beispiel für “Betteridge’s law of headlines”. Dieses besagt, dass jede Überschrift welche mit einem Fragezeichen endet - also eine Frage ist - mit “Nein” beantwortet werden kann.
Das ist hier definitiv der Fall. Und auch wenn es verlockend ist nicht weiter darauf einzugehen und die Dinge mysteriös zu halten wird sich dem geneigten Leser im Laufe dieses Beitrages erschließen warum dem nicht so ist.
„Dahinter steckt ein Cyber-Angreifer mit Moskau-Nähe“, weiß Cornelius Granig, Leiter des Universitätsinstituts für Sicherheitsforschung und Krisenmanagement an der Sigmund Freud PrivatUniversität.
Ich bin beeindruckt von dieser Aussage. Herr Granig hat verfügt anscheinend über mehr Informationen als die meisten Sicherheitsfirmen und Expert:innen. Selbst Menschen die sich teilweise seit dem erstmaligen Auftauchen der Gruppe im März 2022 mit ihr und ihren Aktivitäten beschäftigen waren bisher nicht in der Lage (oder haben nicht öffentlich darüber gesprochen) die Identität der meisten Mitglieder zu enttarnen.
Gruppe? Ja, Gruppe. Bei “NoName057(16)” handelt es sich nämlich nicht wie behauptet um einen einzelnen Angreifer, um einen “Hacker” welcher unter diesem Pseudonym auftritt.
Um dies zu wissen muss man übrigens kein Cybersicherheitsexperte sein. Dafür reicht es das Wort “NoName057(16)” der Suchmaschine des geringsten persönlichen Misstrauens vorzuwerfen. Schon die ersten Ergebnisse sind sehr klar und deutlich - es handelt sich um eine Gruppierung.
Laut Granig schieße sich der Hacker kurz vor der Wahl auf die politischen Parteien in Österreich ein. „Ich halte das für ein Ablenkungsmanöver, offenbar will jemand Verwirrung stiften. Wer weiß, was bis Sonntag sonst noch alles kommt“, erklärt Granig.
Auch hier wieder: Es ist nicht “der Hacker”. Es gibt hier keine:n einzelne:n Täter:in. Es handelt sich um eine Vielzahl von Personen die an den Angriffen beteiligt sind. Diese Tatsache ändert sich nicht, egal wie hartnäckig Herr Granig diese anscheinend verdrängen möchte. Aber Details. Viel wichtiger in meinen Augen:
Die Verwirrung wird hauptsächlich durch Medienberichte erzeugt, welche die Angriffe künstlich aufbauschen und ihre Bedeutung verklären.
Ohne die Berichterstattung (welche ich nicht grundsätzlich in Frage stelle, die Aufgabe des Journalismus ist es über Dinge zu berichten, auch wenn es mir vielleicht nicht gefallen mag) wäre dem allergrößten Teil der österreichischen Bevölkerung niemals aufgefallen, dass es diese Angriffe gegeben hat.
Das Innenministerium ist informiert, die heimischen Behörden sind spätestens ab jetzt gewarnt.
Ich habe keine Insiderinformationen, keinen Einblick in die Geschehnisse innerhalb der relevanten Behörden und Organisationen. Aber ich wäre zutiefst überrascht wenn die zuständigen Stellen in Österreich erst jetzt von den DDoS-Angriffen gegen österreichische Ziele erfahren hätten.
Was Herr Dr. Granig nämlich wohlweißlich verschweigt - das würde die Dramaturgie seines medialen Auftrittes nämlich mindern und die Sensationalität seiner Informationen verpuffen lassen - ist, dass diese Angriffe bereits seit Wochen gegen österreichische Ziele laufen. Und das nicht zum ersten Mal in diesem Jahr.
Bevor die Webseiten der Parteien in’s Visier genommen worden waren andere Organisationen von den Angriffen betroffen. Die Liste ist lang. Neben der Stadt Linz und dem Bundesrechenzentrum traf es die ÖBB und A1, die Webseite des österreichischen Computernotfallsteams (CERT.at) wurde belästigt und viele andere Ziele.
Oh, und ein kleines Modellbaugeschäft aus Wien. Was auch immer Letzteres verbrochen hat. Aber ich bin mir sicher, dass die Angriffe absolut gerechtfertigt waren. Oder so.
Nicht, dass hier ein falscher Eindruck entsteht: Ich veröffentliche hier keine geheimen Informationen oder technische Details die nur Eingeweihte wissen können.
Die Liste an von “NoName057(16)” in’s Visier genommenen Webseiten ist für jeden Menschen frei im Internet verfügbar. Eine Webseite mit dem kreativen Namen “witha.name” bietet die Liste, kontinuierlich aktualisiert, als JSON-Datei zum Download an. Das luxemburgische CSIRT betreibt sogar einen Fediverse-Bot welcher die Ziele in die Welt hinausposaunt.
Technische Themen für eine breite Öffentlichkeit aufzubereiten ist oftmals schwierig. Gerade Cyberangriffe sind komplexe, facettenreiche Ereignisse. Ich beneide Journalist:innen nicht um ihre Arbeit. Aber gerade bei diesen DDoS-Angriffen wäre es mit minimalem Rechercheaufwand so einfach gewesen fachlich korrekt und informativ zu berichten. Und den Angreifer:innen nicht die Aufmerksamkeit zu schenken, auf die sie so bedacht sind. Und die sie jetzt bekommen haben.
Nur, um das nochmal in aller Deutlichkeit klarzustellen: Es gab hier keinen relevanten Cyberangriff. Die Angreifer:innen haben keine Daten jedweder Art entwedet. Es kam keine Schadsoftware zum Einsatz, niemand wurde mit Ransomware erpresst. Die Integrität und Sicherheit von Daten war zu keinem Zeitpunkt gefährdet. Und auch die Verfügbarkeit war über weite Strecken nur minimal beeinflusst, wenn überhaupt.
Die Absicht der Angreifer:innen war und ist es, Webseiten durch Überlastungsangriffe offline zu nehmen und so Aufmerksamkeit zu erregen, mit welcher sich die Täter:innen wiederum auf Telegram und sonstigen sozialen Netzwerken rühmen können.
Dieses Ziel haben sie in den vergangenen Tagen und Wochen nicht erreichen können, weil die bisher betroffenen Behörden, Unternehmen und Organisationen die Angriffe entweder mitigiert oder ignoriert haben & in ohne viel Aufsehen in’s Tagesgeschäft zurückgekehrt sind.
Es war absehbar, dass irgendwann der Punkt kommen würde, an denen medial über diese Angriffe berichtet werden würde. Insbesondere weil die aktuellen Ziele deutlich mehr Relevanz für die breite Öffentlichkeit haben als beispielsweise der interne Helpdesk der Wiener Börse, welcher letzte Woche in’s Visier der Bösewichte geraten ist.
Womit ich nicht gerechnet hatte war, dass die Berichterstattung durch vermeintliche Expertenbeiträge ergänzt wird welche, in wirklich wohlwollendem Licht betrachtet, exotische Hypothesen vorbringen. Realistisch betrachtet aber wohl eher in die Kategorie “Falschinformation” fallen. Was in meinen Augen in Anbetracht der in wenigen Tagen stattfindenden Nationalratswahlen fahrlässig ist.
Ich bin mir sicher, dass Dr. Granig über Expertise in seinem Fachgebiet verfügt, als promovierter Politikwissenschaftler und mit einem Abschluss in New Public Management der Donau-Universität Krems. Hier möchte ich ihm seine Kompetenz nicht absprechen, das steht mir auch nicht zu.
Aber persönlich würde ich es doch sehr präferieren, wenn Journalist:innen bei Beiträgen und Fragen zu Themen der IT-Sicherheit und Sicherheits- bzw. Geopolitik auf Expert:innen aus den relevanten Bereichen zurückgreifen würden. Weil reißerische, fachlich (vorsichtig formuliert) fragwürdige Artikel wie der angesprochene Text aus der “Krone” helfen außer den Angreifer:innen absolut niemandem.
Post Scriptum: Die Berichterstattung des Standard zu der Causa bestätigt meine Einschätzung der Betrachtungsweise der Behörden:
Auf Anfrage des STANDARD reagierte das BMI abgebrüht: Prorussische Gruppierungen greifen seit Beginn des russischen Angriffskrieges gegen die Ukraine täglich Webseiten von westlichen Nationen in Europa mit DDoS-Attacken an, heißt aus dem Innenministerium. Aber: Seit Mitte September werden Angriffe auf Webseiten von Ministerien, Verwaltungsbehörden, Energieversorgern, Verkehrssystemen und Parteien registriert. Seit Montag stünden eben die Webseiten von politischen Parteien im Visier der Gruppierungen, wobei ein Zusammenhang mit prorussischen Tätern naheliegt.
Nachdem ich den Post hier fertig verfasst hatte wurde ich von einem Bekannten darauf hingewiesen, dass auch oe24.at über die Angriffe berichtet.
Vielleicht finde ich in den nächsten Tagen noch die Muße auch auf diesen Artikel im Detail einzugehen. Aber nachdem ich bereits beim Überfliegen Kopfschmerzen bekommen habe lasse ich es für heute dann doch lieber sein. Den Angreifer:innen ist es nicht (wirklich) gelungen diverseste Webseiten abzuschießen. Aber der Vogel .. der Vogel ist dank dem intensiven Beschuss durch den Artikel auf oe24.at definitiv abgeschossen.