Am vergangenen Freitag ist die externe Hostingfirma von Kanton und Stadt St.Gallen von Cyberkriminellen angegriffen worden. Als Folge davon waren die Webseiten offline.
Am Donnerstag könnte die nächste Attacke folgen. Der Kanton hält eine temporäre Seite mit den wichtigsten Telefonnummern bereit.
Als am letzten Freitag die Webseiten von Kanton und Stadt St.Gallen über Stunden nicht mehr abrufbar waren, hiess es zuerst, der Grund seien technische Probleme. Dann folgte die Information, dass es Cyberkriminelle auf die externe Hostingfirma des Kantons abgesehen hatten.
Mit einer «DDoS-Attacke» war versucht worden, die Systeme des Unternehmens durch zahlreiche Anfragen zu überlasten. Zu den Sicherheitsmassnahmen gehörte es, die Webseiten der Kunden präventiv offline zu stellen. Deshalb waren Kanton und St.Gallen davon nur am Rand betroffen: Daten waren laut den Behörden nicht in Gefahr und die Amtsstellen jederzeit über Telefon und E-Mail erreichbar.
Online wurde über Twitter kommuniziert.
Die Website des Kantons St.Gallen https://t.co/aDHAxCwqWo steht seit Mittag wieder vollumfänglich zur Verfügung. Der Grund für den Ausfall war eine sogenannte DDoS-Attacke auf die Providerfirma.https://t.co/MaxAXF360F
— Kanton St.Gallen (@kantonsg) July 16, 2021
Das Problem ist möglicherweise noch nicht ausgestanden. Tagblatt Online veröffentlichte in einem Bericht über den Angriff das Mail einer Gruppe namens «Fancy Lazarus». Diese kündigte für Donnerstag einen weiteren und weitaus stärkeren Angriff auf die Hostingfirma an – ausser es werde 1 Bitcoin überwiesen. Je nach Kurs sollen so rund 30'000 Franken erpresst werden.
Der Angriff richte sich gegen die Hostingfirma – und nicht gegen den Kanton, stellte Clemens Nef von der Kommunikation des Kantons auf Anfrage der Nachrichtenagentur Keystone-SDA fest. Die Gruppe «Fancy Lazarus» sei momentan gegen verschiedene Unternehmen aktiv. Dass es die Firma getroffen habe, mit der der Kanton zusammenarbeite, sei wohl Zufall.
Ob es tatsächlich zu einem weiteren Angriff kommt, ist noch offen. Für den Fall, dass die Webseiten erneut offline gestellt werden müssen, habe der Kanton eine temporäre Seite vorbereitet, erklärte Nef. Unter der Adresse www.sg.ch könnten dann wenigstens die wichtigsten Telefonnummern abgerufen werden.
Die DDoS-Erpressergang «Fancy Lazarus» treibt gemäss Berichten von IT-Sicherheitsexperten seit August 2020 ihr Unwesen und attackiert Organisationen weltweit. Im Mai begann eine neue Angriffswelle, wobei verschiedene Internet Service Provider (ISPs) in Westeuropa, Grossbritannien, Irland und Skandinavien ins Visier genommen wurden.
Die Gruppe trat früher unter Namen wie Fancy Bear, Lazarus, Lazarus Group und Armada Collective in Erscheinung. Nach Einschätzung westlicher Geheimdienste handelte es sich um eine als Hackerkollektiv auftretende Einheit des russischen Militärgeheimdienstes GRU, auch bekannt als Sofacy Group und von IT-Sicherheitsexperten als APT 28 geführt.
(dsc/sda)