Die Hostingfirma von Stadt und Kanton St.Gallen ist seit Sonntagabend wiederholt von Hackern angegriffen worden. Zeitweise waren deshalb die Webseiten der Verwaltungen nicht erreichbar. Einen ähnlichen Angriff mit einer konkreten Erpressung hatte es bereits im Juli gegeben.
Grund für die technischen Störungen der Webseiten sg.ch und stadt.sg.ch seien «Angriffe von Externen», heisst es in einer Mitteilung der St.Galler Staatskanzlei. Es habe sich um eine «DDoS-Attacke» gehandelt, deren Ziel eine Überlastung des Datennetzes sei.
Bereits am Sonntagabend kam es offenbar zu einem ersten Angriff, der jedoch nach kurzer Zeit wieder beendet wurde. Ab Montagmittag wurden aber die Attacken wieder aufgenommen. Als Folge davon waren die Webseiten vorübergehend nicht erreichbar. Sie werden jeweils als Sicherheitsvorkehrung vom Netz genommen.
Die Website des Kantons St.Gallen stand heute nur unregelmässig zur Verfügung. Grund dafür sind Angriffe von Externen. Sie erfolgen im Rahmen einer DDoS-Attacke. Fachleute der Hostingfirma haben die Stabilität der Seite inzwischen verbessert. https://t.co/UIyGUPcG1R
— Kanton St.Gallen (@kantonsg) October 18, 2021
In den sozialen Medien – etwa auf Twitter – hatte der Kanton diverse Notfallnummern publiziert. Telefonisch waren Stadt- und Staatsverwaltung jederzeit erreichbar. Fachleute der Hostingfirma konnten danach mit verschiedenen Massnahmen die Stabilität der Webseiten wieder verbessern. Am späteren Montagnachmittag waren sie wieder problemlos erreichbar.
Zu den Motiven der Angreifer könnten keine Angaben gemacht werden, heisst es in der Mitteilung. Weder beim Kanton, noch bei der Stadt, noch bei der Hostingfirma sei ein Schreiben mit Forderungen eingegangen. Ein Zusammenhang mit früheren Angriffen auf die Hostingfirma sei «derzeit nicht erkennbar». Ausschliessen kann der Kanton einen Zusammenhang trotzdem nicht.
Im Juli hatte es bereits eine «DDoS-Attacke» auf dieselbe Hostingfirma aus Wil SG gegeben, von der die Webseiten von Kanton und Stadt ebenfalls betroffen waren. Zuvor ist die Hostingfirma bereits im April angegriffen worden, schreibt das Newsportal rheintaler.ch.
Nach dem Angriff im Juli erhielt das Unternehmen eine E-Mail einer Gruppe namens «Fancy Lazarus». Darin wurde ein nächster und viel stärkerer Angriff angedroht – ausser die Firma zahle ein Bitcoin. Damals waren dies je nach Kurs rund 30'000 Franken. Die Hostingfirma zahlt kein Lösegeld – und der angekündigte weitere Angriff blieb zunächst aus.
Die DDoS-Erpressergang «Fancy Lazarus» treibt gemäss Berichten von IT-Sicherheitsexperten seit August 2020 ihr Unwesen und attackiert Organisationen weltweit. Im Mai begann eine neue Angriffswelle, wobei verschiedene Internet Service Provider (ISPs) in Westeuropa, Grossbritannien, Irland und Skandinavien ins Visier genommen wurden.
Die Gruppe trat früher unter Namen wie Fancy Bear, Lazarus, Lazarus Group und Armada Collective in Erscheinung. Nach Einschätzung westlicher Geheimdienste handelte es sich um eine als Hackerkollektiv auftretende Einheit des russischen Militärgeheimdienstes GRU, auch bekannt als Sofacy Group und von IT-Sicherheitsexperten als APT 28 geführt.
(oli/sda)