Am Donnerstag ist ein erpresserischer Angriff von Cyberkriminellen auf die externe Hostingfirma von Kanton und Stadt St.Gallen angekündigt gewesen. Bis am Nachmittag blieb er aus. Es könnte nicht der letzte Versuch gewesen sein.
Das Mail ging an die Online Consulting AG in Wil, die externe Hostingfirma von Kanton und Stadt St. Gallen. Eine Gruppe namens «Fancy Lazarus» kündigte an, am Donnerstag die Server mit Anfragen zu überfluten (DDoS) – ausser das Unternehmen überweise einen Bitcoin. Das sind je nach Kurs um die 30'000 Franken.
Der Auftakt für diesen Erpressungsversuch fand bereits letzten Freitag statt. Es gab eine erste DDoS-Attacke auf die Firma. Eine der Folgen war, dass die Webseiten von Stadt und Kanton St. Gallen über Stunden nicht erreichbar waren. Als Sicherheitsmassnahme wurden sie offline gestellt. Der zweite Angriff am Donnerstag werde viel stärker ausfallen, wurde im Mail gedroht.
In diesem Fall wären die Webseiten erneut abgeschaltet worden. Der Kanton bereitete deshalb eine temporäre Seite mit den wichtigsten Telefonnummern und Kontaktadressen vor. Doch am Donnerstag lief alles normal. Die Seite blieb in Reserve.
«Wir werden kein Lösegeld zahlen», hatte Balz Zürrer, Geschäftsführer der Online Consulting AG, bereits am Mittwoch gegenüber der Nachrichtenagentur Keystone-SDA erklärt. Dies würde nur ähnliche Angriffe auf andere Unternehmen fördern. Zudem: Oft bleibe ein weiterer Angriff aus.
Auf den Donnerstag bereitete sich die Firma vor, in dem sie «die bestehenden Abwehrmassnahmen auf das erkannte Muster» optimiert hätte. Zudem erstattete sie Anzeige: Erpressung sei ein Offizialdelikt.
Die Online Consulting AG ist nicht die einzige Firma, die in letzter Zeit Post von «Fancy Lazarus» erhielt. Dem Nationalen Zentrum für Cybersicherheit (NCSC) beim Bund seien unter dem Namen dieser Gruppe mehrere Erpressungsversuche gemeldet worden, hiess es auf Anfrage.
Mit den Ankündigungen wollten solche Gruppierungen ihre Behauptung untermauern, dass sie in der Lage seien, die angedrohten Angriffe auch tatsächlich durchzuführen, erklärte Max Klaus, stellvertretender Leiter Operative Cybersicherheit im NCSC. Es handle sich um eine klassische Vorgehensweise, die von zahlreichen Gruppierungen angewendet werde.
Am Donnerstagnachmittag sah es so aus, als ob der zweite Angriff ausbliebe. Dafür gibt es Erklärungen: Solche Attacken verursachten für die Cyberkriminellen ebenfalls Kosten, beispielsweise für den Unterhalt der Infrastruktur oder für die Miete eines Botnetzes, wusste Max Klaus.
Keine Angreifergruppe nehme eine Ziel-Webseite «mehrere Tage unter DDoS», wenn kein Lösegeld bezahlt werde, war er überzeugt. Deshalb würden die Angreifer ihr Glück andernorts versuchen, wenn innert nützlicher Frist kein Lösegeld bezahlt worden sei. Ob dies für die Hostingfirma des Kantons zutrifft und tatsächlich keine Angriffe mehr erfolgen, werden erst die nächsten Tage zeigen.
(dsc/sda)
