kurier.at events.at kuriermitschlag.at motor.at film.at schautv.at
© Bild: Kurier / Franz Gruber
Netzpolitik
05.09.2019

ÖVP-Hack: Das sagen drei unabhängige IT-Experten

Nachdem die Server der ÖVP offenbar angegriffen wurden, sind noch viele Fragen offen. Wir haben IT-Sicherheitsexperten dazu befragt. 

Nach der SPÖ im Wahlkampf 2017 ist nun offenbar die ÖVP mit einem Datenleck konfrontiert. Nachdem "Standard" und "Falter" interne Unterlagen über die Parteifinanzen zugespielt wurden, hat Ex-Kanzler Sebastian Kurz am Donnerstag einen "Hackerangriff" auf die Server der Volkspartei beklagt. Laut Kurz wurden Daten nicht nur entwendet, sondern auch verfälscht, berichtet die APA. Die Staatsanwaltschaft ermittelt.

Entdeckt wurde das Datenleck nach Angaben der ÖVP am Dienstag dieser Woche. Laut einem Zwischenbericht der Cyber-Security-Firmen SEC Consult und Cybertrap hat ein Angreifer über einen Webserver der ÖVP Zugriff auf das interne Computernetz erhalten. Mit einem "hochprivilegierten Benutzeraccount" seien dann zahlreiche Dateien abgezogen worden.

Manipuliert oder nicht manipuliert?

Zur Unterstützung hatten Kurz und ÖVP-Generalsekretär Karl Nehammer bei ihrer Pressekonferenz Avi Kravitz von CyberTrap eingeladen. Er erklärte, dass die mutmaßlichen Angreifer über ihren "goldenen Schlüssel" theoretisch auch in der Lage gewesen wären, Daten zu manipulieren. Dass tatsächlich Daten manipuliert wurden, sagte der Cyber-Security-Experte allerdings nicht.

Dennoch geht Kurz genau davon aus. "Es gab einen sehr gezielten Hackerangriff auf die Server der Volkspartei mit dem Ziel, Daten zu entwenden, zu platzieren, zu manipulieren und zu verfälschen. Das ist nicht nur ein Angriff auf die Volkspartei, sondern auch ein Angriff auf das demokratische System", sagte der ÖVP-Chef.

Gegensätzliche Aussagen der ÖVP

"'Hier wurde mit hoher krimineller Energie agiert', sagte Kurz. Daten aus der internen Buchhaltung der Volkspartei, die etwa der 'Falter' veröffentlicht hatte, seien teilweise manipuliert worden und somit nicht richtig", heißt es im Standard

In der Tageszeitung Österreich wird ÖVP-Generalsekretär Karl Nehammer allerdings mit einer gegensätzlichen Aussage zitiert: "Jener Buchhaltungsbereich, der vom ,Falter' präsentiert worden ist, ist auch unter den gestohlenen Daten, das wissen wir bereits. Leider durften wir nicht diese Dateien sehen und konnten so nicht klären, ob und wie sie verfälscht worden sind." Den Verfassungsschutz hat die Partei jedenfalls informiert, die Staatsanwaltschaft ermittelt.

Was unabhängige IT-Exerten dazu sagen:

Ist ein solcher Angriff überhaupt plausibel?

"Das klingt nach einer ganz normalen Cyberattacke und ist insofern absolut plausibel", erklärt Martin Schmiedecker, gerichtlich zertifizierter Sachverständiger für IT-Security im Gespräch mit der futurezone. Ein Angriff über einen Webserver ins interne Netzwerk (Intranet) sei gängige Praxis von Cyberkriminellen.

"Bei den Unternehmen, die den Vorfall untersuchen, handelt es sich um zwei seriöse Firmen. Es gibt also keinen Grund deren Aussagen anzuzweifeln", sagt Michael Veit, Sicherheitsexperte bei der deutschen Niederlassung des britischen IT-Sicherheitsunternehmen Sophos.

Hat die ÖVP ihre Server nicht ausreichend gesichert?

"Wenn es den Angreifern, wie im Zwischenbericht angedeutet, tatsächlich gelungen ist, vom Webserver aus in das interne Netzwerk einzudringen, wäre das ein Indiz, dass hier Versäumnisse in der IT-Security vorliegen", erklärt Veit.

Hätte der Angriff verhindert werden können?

"Es gibt technische Möglichkeiten, die Ausmaße derartiger Angriffe zu minimieren, aber einen hundertprozentigen Schutz gibt es nicht", sagen Security-Experten des Forschungszentrums SBA Research zur futurezone. Es kommt durchaus regelmäßig vor, dass ein solcher Angriff längere Zeit unentdeckt bleibt.

Dies bestätigt auch eine aktuelle Studie des Cybersecurity-Unternehmens Trustwave. Demnach dauert es bei einem derartigen Angriffsszenario durchschnittlich elf Tage bis die Angreifer entdeckt werden.

Kann man feststellen, ob ÖVP-Dokumente manipuliert wurden?

Da in einem Netzwerk quasi jeder Klick eine digitale Spur hinterlässt, müsste es leicht feststellbar sein, welche Dokumente abgesaugt oder manipuliert wurden, sagt IT-Sachverständiger Schmiedecker.

Theoretisch wäre es aber auch möglich, dass die Angreifer sämtliche digitale Spuren verwischen. Das sei allerdings "sehr, sehr aufwendig", so der deutsche Sicherheitsexperte zur futurezone: "Wäre es den Angreifern darum gegangen, keine Spuren zu hinterlassen, hätten sie wohl ein anderes Angriffsszenario gewählt."

Sollte es trotzdem nicht möglich sein, angebliche Manipulationen auf digitalem Weg nachzuweisen, bleibt noch eine weitere Möglichkeit – nämlich über Back-ups der originalen Dokumente aus der Zeit vor dem Angriff.

Insofern müsste man nur die Originaldokumente mit jenen Dokumenten vergleichen, die den Medien zugespielt wurden, um zu sehen, ob etwas Gefälschtes weitergegeben wurde.

Cyber-Security-Experte Avi Kravitz von Cybertrap mit einer schematischen Darstellung des Cyber-Angriffs im Rahmen eines Hintergrundgespräches der ÖVP

© Bild: APA/JOHANNES BRUCKENBERGER / JOHANNES BRUCKENBERGER

Interne Unterlagen an Medien weitergegeben

Die Suche nach dem Datenleck begann offenbar, nachdem dem "Standard" und der Wochenzeitung "Falter" interne Unterlagen über die Finanzen der ÖVP zugespielt worden waren. Daraus geht unter anderem hervor, dass die ÖVP auch 2018 und 2019 millionenschwere Spenden erhalten hat - und zwar derart gestückelt, dass die für Großspenden vorgesehene sofortige Meldung an den Rechnungshof umgangen wurde.

Außerdem zeigen die Unterlagen, dass die ÖVP 2017 entgegen ihrer eigenen Angaben schon Monate vor der Wahl wusste, dass die Wahlkampfkostengrenze massiv überschritten wird. Und heuer soll die Einhaltung der Sieben-Millionen-Euro-Grenze den Daten zufolge unter anderem dadurch gelingen, dass hohe Kosten knapp vor dem Stichtag für die Kostenbegrenzung verbucht wurden.

Noch keine Klage gegen den Falter

Die ÖVP behauptet, dass ein Teil dieser Unterlagen manipuliert wurde. Als Beispiel nannte die Partei am Donnerstag 2017 gekaufte Kugelschreiber, die anders verbucht worden seien, als in den veröffentlichten Unterlagen. Weitere Beispiele nannte man bisher aber nicht. Und auch die veröffentlichte Kostenaufstellung für den Wahlkampf - 6,3 Mio. Euro innerhalb der Kostenbegrenzung und 2,6 Mio. Euro außerhalb - wurde von der Partei bisher weder bestätigt noch dementiert.

Kurz betont diesbezüglich nur, dass die Vorgangsweise der ÖVP rechtlich korrekt sei und man die gesetzliche Obergrenze einhalte. Eine Klage gegen den "Falter" wurde zwar angekündigt, liegt bisher aber nicht vor. Für Aufregung sorgte am Donnerstag jedoch, dass eine "Falter"-Redakteurin zum Medientermin in der ÖVP-Zentrale nicht zugelassen wurde.

Erinnerungen an 2017

Die Causa weckt jedenfalls Erinnerungen an den Wahlkampf 2017. Damals wurden Interna aus der SPÖ an die Öffentlichkeit gespielt - unter anderem über die verdeckten Facebook-Gruppen des SP-Wahlkampfberaters Tal Silberstein, aber auch über Konflikte in der Parteizentrale. Die SPÖ vermutete anfangs ebenfalls von einem Hackerangriff. Später hatte sie einen ÖVP-nahen PR-Berater im Verdacht, die Unterlagen an die Medien gespielt zu haben.

Reaktionen von SPÖ, FPÖ und Grünen

Zu den aktuellen Turbulenzen der ÖVP meldete sich die SPÖ am Donnerstag nicht zu Wort. Die FPÖ sprach von einem "Skandal", sollte der behauptete Hackerangriff wirklich stimmen. Wie beim Ibiza-Video im Vorfeld der EU-Wahl werde nun zum zweiten Mal mit einem Riesenaufwand versucht, Wahlen via Medien zu beeinflussen, meinte Generalsekretär Harald Vilimsky.

Die Grünen forderten die Behörden auf, den angeblichen Hacker-Angriff aufzuklären und die Öffentlichkeit rasch über die Ermittlungsergebnisse zu informieren. Als interessant bezeichnete Wahlkampfleiter Thiemo Fiesel aber auch, dass die ÖVP die Echtheit der geleakten Unterlagen zur "doppelten Buchhaltung" im Wahlkampf nicht in Frage gestellt habe: "Eine Partei, die den Kanzleranspruch stellt, kann sich nicht auf vermeintlich schlechte Gesetze zurückziehen, sondern hat auch moralischen Mindeststandards zu genügen." Regierungssprecher Alexander Winterstein bezeichnete die Berichte der ÖVP als "zutiefst besorgniserregend".