Wie Kriminelle A1 sechs Monate lang in Atem halten konnten

Begonnen hat alles im November 2019. Zu diesem Zeitpunkt schleusten sich unbekannte Angreifer über Microsoft-Office-Zugänge in das Firmennetzwerk von A1, wie am Montag bekannt wurde. Der gut getarnte Angriff wurde zwar noch vor Weihnachten von A1 entdeckt. Es sollte allerdings bis 22. Mai dauern, bis in einem konzertierten Befreiungsschlag alle Systeme gesäubert und die Passwörter aller Mitarbeiter sicher zurückgesetzt werden konnten.

"Die DDOS-Attacke war primitiv dagegen"

"Wir zählen zur kritischen Infrastruktur in Österreich. Wir konnten ja nicht einfach den Schalter umlegen und all unsere Mitarbeiter offline nehmen", erklärt Wolfgang Schwabl, Cybersecurity Officer von A1, im Gespräch mit der futurezone. Als im Dezember des Vorjahres und also einen Monat nach Beginn des Angriffs seltsame Software in Office-Umgebungen entdeckt wurde, habe man zunächst eruieren müssen, um was für eine Art von Attacke es sich überhaupt handle.

Mit Angriffen auf die eigenen Systeme ist A1 eigentlich vertraut, etwa 10.000 verzeichnet der Konzern eigenen Angaben zufolge pro Jahr. Aber selbst die massive DDoS-Attacke im Jahr 2016, die über Tage zu Ausfällen im A1-Netz führte und mit einem Erpresserschreiben der Angreifer einher ging, sei eine ganz andere Liga gewesen. "Das 2016 war im Grunde ein primitiver Angriff mit dem Holzhammer. Bei dieser Attacke gingen die Angreifer sehr viel behutsamer und leiser vor. Sie wollten unentdeckt bleiben", sagt Schwabl.

Rätselraten über Beweggründe

Da man die Kriminellen zunächst beobachten wollte, um die Beweggründe zu verstehen und Gegenmaßnahmen vorzubereiten, habe man alle kritischen Systeme wie Mobilfunk, Festnetz, Internet, aber auch Dienste wie Bankomat- und Kassensysteme sofort entkoppelt und zusätzlich abgesichert. Sie seien zu keiner Zeit gefährdet gewesen. Aus dem Verhalten der Angreifer und dem Zugriff auf diverse Datenbanken habe man sich zunächst aber keinen Reim machen können. So seien etwa Kundendaten überhaupt nicht von Interesse gewesen, beteuert A1.

„Wir können ausschließen, dass Kundendaten entwendet wurden. Die Angreifer haben sich aber etwa für die Standortdaten unserer Sendestationen und andere Organisationsdaten interessiert. Darüber hinaus haben sie sich maulwurfsartig Wege gebaut, um weitere Spionage-Aktivitäten vorzubereiten. Die genauen Hintergründe dieser gezielten Attacke sind uns aber bis heute nicht klar“, sagt Schwabl. Denkbar sei auch, dass sie wichtige strategische Informationen zu einem späteren Zeitpunkt weiterverkaufen oder A1 damit erpressen wollten.

Corona-Krise verhindert Gegenmaßnahme

Dass es ein halbes Jahr dauerte, um zum Gegenschlag ausholen zu können, war A1 zufolge der Corona-Krise geschuldet. Denn die für März geplante Aktion inklusive komplettem Reset aller Office-Accounts und Passwörter musste aufgrund des Corona-Shutdowns abgeblasen werden.

Dem 100-köpfigen Sicherheitsteam bleib folglich nichts anderes übrig, als die Angreifer weiterhin aufmerksam zu beobachten und zu hoffen, dass diese davon weiterhin nichts mitbekamen. Auch das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) sowie das österreichische CERT waren involviert.

Auch andere Mobilfunker informiert

Am 22. Mai war es schließlich soweit. Sämtliche Passwörter wurden ausgetauscht, die Accounts zusätzlich mit Zwei-Faktor-Authentifizierung gesichert - was bisher offenbar nicht firmenweiter Standard war. Damit ein derartiger Angriff noch früher abgewehrt werden kann, habe man die Alarmsysteme zusätzlich verschärft. Dass die Infiltrierung des Netzwerks erst nach einem Monat erkannt wurde, wertet man bei A1 sogar als positiv.

Denn derartige gezielte Angriffe würden internationalen Studien zufolge im Schnitt oft erst nach 18 oder gar 24 Monaten entdeckt. Dass die Angriff bereits nach wenigen Wochen auffiel, spreche eigentlich für die Sicherheitsmaßnahmen von A1, teilte der Konzern mit.

Mit den gemachten Erfahrungen und Erkenntnissen verspricht A1 transparent umzugehen. So seien nicht nur die anderen Mobilfunker, sondern auch andere Betreiber kritischer Infrastruktur informiert worden. Dieser Austausch solle intensiviert werden, sagte A1 auf futurezone-Nachfrage. Der Angriff sei auf Österreich beschränkt gewesen. Die internationalen Töchterunternehmen des Konzerns waren laut A1 nicht betroffen.