Der Cyberangriff auf das österreichische Außenministerium ist noch immer im Gange. Dies bestätigt Peter Guschelbauer, Pressesprecher des Außenministeriums, gegenüber der futurezone. „Es hat sich nichts Grundlegendes geändert. Das Problem besteht nach wie vor. Es wird weiterhin mit Hochdruck an einer Problemlösung gearbeitet“, fügt Guschelbauer hinzu. Am 3. Jänner 2020 hat man den Angriff entdeckt – laut Ministerium „sehr schnell“.

Oft liefen solche Angriffe unbemerkt, sagte am Mittwoch auch Außenminister Alexander Schallenberg im Nationalrat. In diesem Fall sei der Angriff aber früh aufgefallen und konnte entsprechend effektiv bekämpft werden. Das dauere aber noch, denn die Problemlösung sei kompliziert.

Verdacht führt nach Russland

Anders als beispielsweise bei einem Parlament, das mehrere Wochen „Sommerpause“ hat, kann man bei einem Ministerium nicht alle Rechner austauschen und die komplette IT-Infrastruktur runterfahren. Das wurde etwa beim deutschen Bundestag im Jahr 2015 gemacht. 20.000 PCs wurden getauscht, weil „niemand garantieren konnte, dass sich nicht ein Stück Schadsoftware in Flashspeichern der Hardware eingenistet hatte“, schreibt Erich Möchel auf FM4. Der Austausch der Hardware und die Neuaufsetzung des Systems dauerte damals gute zwei Wochen.

Möchel geht davon aus, dass hinter der Attacke auf das Außenministerium die russische „Turla Group“ steckt. „Turla greift ausschließlich hochkarätige politische Ziele an und ist bekannt dafür, dass sie den Verteidigern nach ihrer Entdeckung schwere Cybergefechte liefert“, heißt es in dem FM4-Bericht. Das Außenministerium will oder darf dazu auf Anfrage der futurezone „nichts Offizielles sagen“ – es gibt also weder ein Dementi, noch eine Bestätigung dieses Verdachts.

Während es in der ersten Aussendung des Außenministeriums zum Cyberangriff noch hieß, dass man einen „staatlichen Akteur“ hinter der Attacke vermute, heißt es jetzt – nach 20 Tagen – von offizieller Seite lediglich: „Es gibt noch nicht genug Informationen, um klar und zweifelsfrei von einer Urheberschaft sprechen zu können.“ Weitere Details wollte der Außenminister aus ermittlungstaktischen und technischen Gründen auch nicht in der Nationalratssitzung nennen.

Globales Netzwerk

Warum der Angriff noch immer im Gange ist, leuchtet allerdings ein, wenn man sich ein bisschen mit der Struktur beschäftigt. Gerade bei einem Ministerium mit Kontakten in die „Außenwelt“ handelt es sich um ein globales Netz mit zahlreichen, einzelnen Rechnern in Botschaften weltweit und nicht um eine örtlich kompakte Einrichtung. Der jetzige Angriff ist womöglich deshalb noch immer im Gange, weil man nicht so einfach und so schnell IT-Techniker zu jedem Standort in jeder Botschaft schicken kann, um die Systeme zu untersuchen und gegebenenfalls auszutauschen. Das bestätigte auch eine mit der Angelegenheit vertraute Person gegenüber der futurezone. Konsularische Services seien aber zu „keinem Zeitpunkt gefährdet“ gewesen, so der Außenminister.

„Solche Angriffe sind nichts Ungewöhnliches, viele Institutionen haben damit zu kämpfen“, heißt es dazu eher allgemein formuliert seitens des Außenministeriums. „In der Vergangenheit sind bereits mehrere europäische Länder und staatliche Institutionen zum Ziel solcher Attacken geworden“, sagt Guschelbauer. In Deutschland wurde etwa das Datennetz des Innenministeriums im Jahr 2016 angegriffen.

Motiv bleibt spekulativ

An der „Problemlösung“ arbeiten derzeit Experten mit dem Innenministerium, der Landesverteidigung, dem Bundeskanzleramt und dem govCERT zusammen, sagt Guschelbauer. Ein Koordinationsausschuss arbeitet diesbezüglich basierend auf dem Netz- und Informationssystemsicherheitsgesetztes zusammen. Auch mit „europäischen Partnern“ stehe man in „engem Kontakt“.

Übrig bleibt nun vor allem die Frage nach dem Motiv der Angreifer. Dazu verlautbart das Außenministerium offiziell nichts – nicht einmal indirekt. Der Cyberangriff begann zeitlich betrachtet wenige Tage vor der offiziellen Angelobung der neuen Regierung. Einer Regierung, die bei seiner Außenpolitik einen anderen, neuen Kurs verfolgen wird als bisher. Es ist daher durchaus legitim zu mutmaßen, dass einen „staatlichen Akteur“, der hinter so einem Angriff steckt, sich hier in Systeme einnisten wollte, um den neuen politischen Kurs zu bestimmten außenpolitischen Themen der österreichischen Regierung auszuspionieren.