Cracker knacken bis zu 65.000 Mail-Konten bei Salzburg AG

Die Täter haben sich auf bislang nicht genau geklärte Weise Zugriff auf einen CableLink-Serververbund verschafft. Wie viele der 65.000 CableLink-Kunden betroffen sind, ist derzeit unklar. Insgesamt liegen auf dem betroffenen Server Zugangsdaten von 130.000 E-Mail-Adressen. "Wir schließen derzeit aus, dass die gesamte Datenbank mit E-Mail-Zugangsdaten nach draußen kopiert worden ist", sagt Herbert Stranzinger von CableLink. Dass die Cracker keine Daten kopiert haben, ist aber wohl ebenfalls auszuschließen. "Einzelne Datensätze können sehr wohl entwendet worden sein, welche und wie viele wissen wir noch nicht", so Stranzinger. Betroffen sind vor allem Kunden, deren E-Mail-Adresse auf @sbg.at, @sol.at oder @cablelink.at enden.

Daneben gibt es noch einige kleinere, regionale Domains, die betroffen sein könnten. Die Zugangsdaten sind zwar in verschlüsselter Form - jedoch nur mit 64-Bit-Schlüssel - in der betroffenen Datenbank hinterlegt. Durch das symmetrische Verschlüsselungsverfahren können sie aber mit einem Generalschlüssel entsperrt werden. Auf diesen Schlüssel hatten die Einbrecher ungünstigerweise vermutlich ebenfalls Zugriff, da er im betroffenen Server-Verbund gespeichert wurde. "Dass die Einbrecher auch Zugriff auf den Generalschlüssel hatten, ist nicht auszuschließen. Wir stellen jetzt gerade auf ein asymmetrisches Verfahren um, damit das nicht mehr passieren kann", sagt CableLink-Techniker Markus Berger gegenüber der futurezone. Neben den E-Mail-Accounts wurde laut Salzburg AG auch auf das Service Center von CableLink zugegriffen. Das System wurde daher offline genommen und soll nach gründlicher Prüfung erst am Montag wieder online gehen.

Kunden sollen handeln

Auf andere Daten von Salzburg-AG-Kunden - auch aus den Bereichen Verkehr und Energie - hat es laut Presseaussendung keinen Zugriff gegeben, Bankdaten und andere Informationen sind nicht entwendet worden. Der unerlaubte Zugriff auf den Server wurde in der Nacht von Samstag auf Sonntag erstmals festgestellt. "Nach einer genauen Prüfung haben wir am Mittwoch um neun Uhr früh sicher festgestellt, dass es sich um einen unberechtigten Zugriff handelt. Die Kunden haben wir erst heute informiert, da wir erst prüfen mussten, ob unser System kompromittiert wurde. Da hätte auch eine Passwort-Änderung nichts gebracht", sagt Stranzinger. Ein Bekennerschreiben oder Erpresserbriefe an betroffene Nutzer hat es bislang nicht gegeben. "Uns sind derzeit keine Missbrauchs-Versuche bekannt", sagt Sigi Kämmerer, Sprecher der Salzburg AG. Heute wurden vorsorglich trotzdem alle Kunden von CableLink informiert und gebeten, schnellstmöglich die Passwörter ihrer E-Mail-Accounts zu ändern. Die Salzburg AG weist darauf hin, dass die neuen Zugangsdaten möglichst sicher sein sollten.

Besorgte Kunden können sich unter der Telefonnummer 0800/660662 zusätzliche Informationen sichern. Laut CableLink gelang der virtuelle Einbruch nicht aufgrund einer Sicherheitslücke, sondern weil die Täter hochspezialisiert waren. "Wir sind sicherheitstechnisch immer am neusten Stand, aber das ist wie ein Wettrüsten. Ein Netzwerk, das heute noch sicher ist, kann morgen schon gefährdet sein. Wir werden weiter an Verbesserungen arbeiten", erklärt Stranzinger. Ob die Sicherheitsmaßnahmen der Salzburg-AG sich wirklich auf höchstem Niveau bewegen, ist unklar, da derzeit keine Details averöffentlicht werden. Bei einer früheren Überprüfung einiger Systeme hat die Salzburg AG jedenfalls schlecht abgeschnitten. Die Ermittlungen gegen die Cyber-Kriminellen laufen derzeit noch, weshalb keine Angaben zur Vorgehensweise der Datendiebe gemacht werden. Die Polizei arbeitet mit Technikern der Salzburg AG zusammen. In den kommenden Tagen sollen genauere Inforamtionen veröffentlicht werden.

UPDATE: (14:45) Der nicht gebräuchliche Ausdruck "synchrone/asynchrone Verschlüsselung" wurde durch "symmetrisch/asymmetrisch" ersetzt. Der Link zur alten Sicherheitsbewertung wurde eingefügt.