Gerüchte über eine große Hackerattacke beim österreichischen Mobilfunker A1 waren in den vergangenen Monaten immer wieder zu hören. Eine Bestätigung dafür gab es aber nie, und auch das Unternehmen selbst schwieg beharrlich zu diesen Berichten. Nun folgt diese – und es wird klar, dass es A1 ordentlich erwischt hat. Aber auch, dass es noch wesentlich schlimmer hätte kommen können.

Verankerung

Hackern ist es offenbar gelungen, sich mehr als ein halbes Jahr lang in den internen Netzwerken von A1 herumzutreiben – dies obwohl die ersten Anzeichen auf einen Angriff bereits nach wenigen Wochen entdeckt wurde. Doch der Reihe nach: Wie Wolfgang Schwabl, Cyber Security Officer von A1, gegenüber dem STANDARD bestätigt, soll der Einbruch bereits im November 2019 erfolgt sein. Der Angriffsweg war dabei recht profan: Statt einer Sicherheitslücke in den Systemen des Telekomunternehmens wurden schlicht gestohlen Zugangsdaten verwendet. Anschließend gelang es den Angreifern, das Passwort eines Domänenadministrators zu erbeuten, woraufhin sie praktisch uneingeschränkten Zugriff auf das interne Netzwerk des Unternehmens hatten.

Im Dezember entdeckte das interne Sicherheitsteam von A1 offenbar erste Hinweise auf einen Einbruch, hatten die Angreifer doch Hintertüren auf einigen Office-Rechnern des Telekommunikationsunternehmens hinterlassen. In der Folge habe man sich Hilfe von diversen in diesem Bereich tätigen Unternehmen geholt und auch Datenschutzbehörden sowie das Cyberlagezentrum im Innenministerium kontaktiert.

Gegenüber dem Sicherheitsexperten Christian Haschek betonte ein Whistleblower zudem, dass es den Angreifern gelungen ist, die Admin-Accounts jenes "Core-Teams" zu hacken, das für die Administration aller Windows-Systeme zuständig ist. Aber auch das Passwort für die Datenbank-Administratoren soll geknackt worden sein. Der Whistleblower liefert dafür alle möglichen Belege wie private Schlüssel und Teile von Passwörtern.

Langer Kampf

Klar ist jedenfalls, dass A1 länger mit der Bereinigung des Problems zu kämpfen hatte. Erst am 22. Mai ist es schlussendlich gelungen, die letzten Hintertüren zu schließen und die Hacker komplett aus dem System zu werfen. In der Folge mussten in der Vorwoche auch sämtliche Mitarbeiter des Konzerns ihr Passwort ändern. Auch ist nun Zwei-Faktor-Authentifizierung für alle Konten der A1-Angestellten verpflichtend.

Dass es schlussendlich so lange gedauert hat, habe auch externe Faktoren, wie A1 betont. Die Ausgangsbeschränkungen durch Covid-19 hätten die Aufräumaktionen nämlich massiv behindert. Ursprünglich hätte der "Reset" der internen Systeme von A1 schon Mitte März erfolgen sollen. Eine solche Aktion sei aber äußerst komplex und müsse koordiniert an vielen verschiedenen Stellen durchgeführt werden, um die Angreifer wirklich effektiv loszuwerden. Das gehe aber nur dann zuverlässig, wenn die Mitarbeiter auch am selben Ort physisch anwesend seien. Zudem bestehe bei solch einem Großreinemachen natürlich immer die Gefahr, dass es negative Auswirkungen auf andere Systeme gibt. Dies wollte man inmitten der Corona-Krise nicht riskieren.

Also habe man sich zunächst darauf konzentriert, die Angreifer von kritischen Daten fernzuhalten und ihr Treiben zu beobachten, damit sie nicht merken, dass sie aufgeflogen sind. Dies sei übrigens auch der Grund, warum man nicht früher mit dem Vorfall an die Öffentlichkeit gegangen sei, betont Schwabl.

Spurensuche

Laut A1 wurden bei der Aktion keinerlei Kundendaten entwendet, dies könne man durch "umfangreiches Monitoring und Analyse der Tätigkeiten des Angreifers" mit Sicherheit ausschließen. Auch den Versuch, aktiven Schaden anzurichten, habe es nicht gegeben. Stattdessen sei es offenbar "nur" darum gegangen, sich in den internen Servern zu verankern – ein sogenannter Advanced Persistent Threat (APT), wie er üblicherweise von staatlichen Akteuren wie Geheimdiensten durchgeführt wird. Auch hätten sich die Angreifer lange damit beschäftigt, das Netzwerk von A1 zu analysieren und dabei etwa lange mit Datenbanken zu Standorten von Mobilfunksendern herumgeschlagen.

Eine konkrete Zuordnung der Angreifer habe man nicht vornehmen können, heißt es von A1. Die Feststellung der Urheberschaft solcher Attacken ist prinzipiell äußerst schwer, üblicherweise verlässt man sich dabei auf Hinweise wie die verwendeten Tools. In diesem Fall sind aber keine maßgeschneiderten Tools zum Einsatz gekommen, sondern Programme, zu denen prinzipiell jeder Zugang hat. (Andreas Proschofsky, 8.6.2020)