Kein Angriff auf sensible, personenbezogene Daten

Hanau - Das wichtigstes Ergebnis vorweg: Auf sensible, personenbezogene Daten hatten es die Hacker, die gleich zweimal einen Cyberangriff auf einen Server der Stadt Hanau gestartet hatten, offenbar nicht abgesehen. Von Dirk Iding

Und auch für die PCs der Besucher von Hanau-Seiten bestand nie eine Gefahr. Gleichwohl hatten die Ende Oktober bemerkten Hackerangriffe für einen dreiwöchigen Ausfall der städtischen Internet-Präsenz gesorgt. Computer-Fachmann Sebastian Nerz von der privaten Sicherheitsfirma Syss, die auf forensische Untersuchungen in IT-Systemen spezialisiert ist, hat in den vergangenen Wochen umfassend den Sachverhalt untersucht und jetzt dem Magistrat Bericht erstattet. Danach wurden offenbar „zwei verwundbare Applikationen“ auf dem Webserver der Stadt, auf dem allerdings nur die Daten des städtischen Internetauftritts gespeichert waren, unabhängig voneinander das Ziel von externen Hacker-Angriffen.

Lesen Sie mehr zum Thema: Nach Cyberattacke: „PCs der Bürger infiziert?“ Städtisches Online-Angebot wieder am Netz Bemerkt wurde am 31. Oktober diesen Jahres zunächst nur einer der beiden Angriffe, und zwar nach einem Hinweis des hessischen CERT-Verbundes, einer Einrichtung im hessischen Innenministerium zur Koordinierung und Bearbeitung von IT-Sicherheitsvorkommnissen der Landesverwaltung und der Kommunen. CERT hatte am Nachmittag des 31. Oktober Alarm geschlagen, dass es Hackern gelungen sei, in den städtischen Server einzudringen. Daraufhin folgte die Stadt Hanau sofort der Empfehlung von CERT, alle städtischen Internetseiten und die der städtischen Gesellschaften umgehend zu sperren.

Computer-Fachmann Sebastian Nerz lobte in seinem Bericht an den Magistrat, dass die Stadt ihm umfangreiche Image-Kopien des Servers zur Verfügung stellen konnte. Hier gelte es, der IT-Abteilung der Stadt Hanau „ein Lob für das sehr besonnene Handeln beim Sichern der Datenbestände“ auszusprechen, so Nerz. Deshalb sei es auch sehr schnell möglich gewesen, die erste Sicherheitslücke zu lokalisieren, die bereits im Februar 2015 von Hackern ausgenutzt worden sei, um eine Spam-Seite für einen Medikamenten-Webshop auf dem städtischen Server zu implementieren. „Diese Attacke war aber kein Angriff, der sich gezielt gegen die Stadt Hanau gerichtet hat“, ist sich Nerz sicher. Vielmehr sei diese Cyber-Attacke wohl das Ergebnis eines automatisierten Prozesses gewesen, der jeden öffentlichen Internetauftritt auf Schwachstellen überprüft, um diese für eigene Zwecke zu nutzen. Nerz: „Das ist in etwa so, als läuft jemand durch die Straßen und rüttelt an jeder Haustür. Wenn er auf eine unverschlossene Tür trifft, betritt er das Haus.“

In diesem Fall wollten die Betreiber des Medikamenten-Webshops offenbar von den hohen Klickzahlen der Hanauer Web-Seiten profitieren, damit ihre eigene Seite bei Anfragen über Suchmaschinen im Netz auf vordere Positionen gesetzt wird. Nach diesem ersten bereits im Februar 2015 erfolgten Angriff, der somit über mehr als eineinhalb Jahre nicht bemerkt wurde, folgte im Oktober 2016 eine weitere Cyber-Attacke, die sich gegen eine auf diesem Server gespeicherte Datenbank richtete. Diese Attacke wurde von CERT bemerkt und es wurde entsprechend gehandelt.

Da es sich bei der von dem Angriff im Oktober betroffenen Datenbank lediglich um den städtischen Veranstaltungskalender gehandelt habe, sei die Zahl der unberechtigten Zugriffe ziemlich gering gewesen. Oberbürgermeister Claus Kaminsky (SPD) betonte in diesem Zusammenhang, dass auf dem von den Hackern angegriffenen Server ledig Datenmaterial gespeichert war, das für den Betrieb der ohnehin öffentlich zugänglichen Internetseiten der Stadt notwendig war.

„Sensible Daten der Bürger waren zu keinem Zeitpunkt gefährdet“, versicherte der OB nochmals. Hier habe sich die bei der Stadt Hanau praktizierte strikte Trennung von Webserver und interner Infrastruktur für sensibles Datenmaterial ausgezahlt. IT-Fachmann Sebastian Nerz ergänzte: „Es wurden zwar durch den externen Zugriff unerwünschte Seiten implementiert, es gab aber keine Hinweise auf weitere missbräuchliche Nutzungen jenseits dieses identifizierten Eingriffs.“ Somit bestand auch keine Gefahr, dass sich Besucher der städtischen Internetseiten möglicherweise unbemerkt Schadsoftware auf den eigenen PC herunter geladen haben, betonte eine Sprecherin der Stadt auf Nachfrage unserer Zeitung. Diese Befürchtung hatte zuletzt die CDU geäußert.

Dass es drei lange Wochen dauerte, bis die städtische Internetpräsenz über einen neuen Server wieder ans Netz ging, lag nach Angaben städtischer IT-Fachleute auch daran, dass im Zuge der Neuinstallation auch ein Wechsel im Betriebssystem von „Suse Linux“ auf „Ubuntu“ vorgenommen wurde. Das habe dazu geführt, dass die Seiteninhalte nicht eins zu eins neu eingespielt werden konnten, sondern viele Scripte zuvor „per Hand“ angepasst werden mussten. Erst als alle Inhalte fehlerfrei liefen, konnten die notwendigen Sicherheitstests vorgenommen werden, ehe die Seiten wieder freigeschaltet wurden.