2020 war die Hostingfirma von Kanton und Stadt St.Gallen gleich mehrmals ein Ziel von Ransomware-Attacken. Als Folge davon mussten jeweils die Webseiten der beiden Verwaltungen vom Netz genommen werden. Nun wurden Vorkehrungen für künftige Angriffe getroffen.
2020 gingen bei der St.Galler Kantonspolizei rund 20 Anzeigen von Firmen ein, die von kriminellen Hackern angegriffen worden waren. Die Tendenz für 2021 sei «deutlich steigend», erklärte Polizeisprecher Pascal Häderli auf Anfrage der Nachrichtenagentur Keystone-SDA. Dazu komme eine grosse Dunkelziffer. Ein Teil der Angriffe werde jeweils nicht gemeldet.
Die weitaus meisten Anzeigen betreffen sogenannte Ransomware-Angriffe. Dabei versuchen die Hacker, wichtige Daten von Firmen mit einem Trojaner zu verschlüsseln. Danach folgt jeweils eine Erpressung: Die Daten werden erst wieder freigegeben, wenn dafür Lösegeld bezahlt wird.
Von solchen Angriffen betroffen waren zuletzt etwa das Hotel Waldhaus in Flims, die Aargauer Gemeinde Mellingen, die beiden Waadtländer Kommunen Montreux und Rolle oder das Casinotheater Winterthur sowie der Vergleichsdienst Comparis.
Nicht immer waren die Attacken erfolgreich. Die Hostingfirma von Stadt und Kanton St.Gallen wehrte im Frühjahr einen solchen Angriff ab. Trotzdem mussten damals die Webseiten der öffentlichen Hand als Vorsichtsmassnahme zeitweise vom Netz genommen werden.
Zu einem weiteren Angriff kam es dann im Sommer – allerdings mit einer anderen Methode: Die Hacker versuchten mit einer «DDoS-Attacke» den Server der Hostingfirma mit Anfragen zu überlasten. Wieder waren die Webseiten von Stadt und Kanton über Stunden offline.
Danach erhielt das Unternehmen eine Erpresser-Mail: Falls nicht ein Bitcoin gezahlt werde, folge ein weiterer, weitaus heftiger DDoS-Angriff. Das Unternehmen zahlte nicht, machte eine Anzeige, erhöhte die Sicherheitsmassnahmen – und der angedrohte Angriff blieb aus.
Auch im Herbst waren dann die Webseiten von Stadt und Kanton zeitweise nicht erreichbar. Erneut war die Hostingfirma angegriffen worden. Dieses Mal gab es ein eher obskures Erpressungsschreiben, das weder beim Kanton noch bei der Hostingfirma landete – sondern bei «20min». Auch diese Drohung blieb letztlich folgenlos.
Die verschiedenen Angriffe führten bei Kanton und Hostingfirma zu Abklärungen, wie die Sicherheit erhöht werden könnte. Man sei nun aktiv daran, das System weiter zu verbessern, erklärte Thomas Schönenberger von der Abteilung Informatik und Infrastruktur in der St.Galler Staatskanzlei. Eine hundertprozentige Sicherheit gebe es aber ohnehin nicht.
Die Hostingfirma hat technisch bereits aufgerüstet. Beim Kanton gehe es vor allem um organisatorische Fragen: Etwa um ein Alarmierungssystem, mit dem auf Hackerangriffe auch dann rasch reagiert werden kann, wenn sie mitten in der Nacht oder am Wochenende erfolgen.
Bereits vorbereitet wurde eine «Ausweichseite», auf der die wichtigsten Telefonnummern der Verwaltung aufgeführt sind. Sie würde bei einem künftigen Systemausfall über die Adresse www.sg.ch angezeigt.
Ziel sei es, dass diese Seite «auf Knopfdruck» aufgeschaltet werden könne und dass sie möglichst rasch von überall abrufbar sei, so Schönenberger. Offen ist vorläufig, wieweit die zusätzlichen Aufwendungen für die Sicherheit bei Firma und Kanton zu höheren Kosten führen werden.
Nach solchen Angriffen ist aber nicht nur die Erhöhung der IT-Sicherheit ein Thema. Falls eine Strafanzeige eingereicht wird, laufen Ermittlungen der Polizei an. Solche Untersuchungen fallen unter die Kantonshoheit.
Wie in anderen Fällen werden zuerst Spuren gesichert. Bei der Suche nach den kriminellen Angreifern hat die Polizei dann allerdings einen schweren Stand. Die Spuren führten meistens ins Ausland und dort in den Osten oder nach Asien, heisst es von der St. Galler Kantonspolizei. Die Ermittlungen seien deshalb «sehr, sehr schwierig».
(dsc/sda)
