Medienberichten zufolge ist am Mittwoch das gesamte Netzwerk des Landtages von Sachsen-Anhalt durch einen Virus lahmgelegt worden. Bei dem Vorfall, der insbesondere mit Blick auf die anstehenden Wahlen bedenklich ist, wurden einzelne Arbeitsplatz-Rechner sowie ein gemeinsames Netzwerklaufwerk infiziert. Als Gegenmaßnahme wurden sämtliche Rechner sowie die Telefonanlage des Landtages vom öffentlichen Netz getrennt und die Außenkommunikation auf Notfallsysteme umgeleitet.
Ersten Pressemitteilung zufolge geht das LKA nicht von einer gezielten Attacke aus. Stattdessen wird davon gesprochen, dass ein Mitarbeiter den infizierten Anhang einer E-Mail geöffnet und so die Verbreitung des Virus ausgelöst haben soll. Diese Darstellung wirft jedoch Fragen auf:
Zum einen landen solche massenweise versendeten E-Mails, ebenso wie bei privaten Mail-Accounts auch, zuhauf und alltäglich in den Mailboxen des Landtages und werden (vermutlich) durch entsprechende Gegenmaßnahmen wie automatische Scans aller eingehenden Daten und E-Mails und Anti-Viren-Produkte abgewehrt. Insbesondere die Massen-E-Mails verwenden dabei bereits bekannte (und damit “kostenlos” zugängliche) Sicherheitslücken um mit den infizierten Anhängen Lücken in veralteter Software auszunutzen. Ein wirksames Gegenmittel – das vermutlich auch durch den Landtag eingesetzt wird – ist die regelmäßige und rasche Aktualisierung sämtlicher eingesetzter Software. Darüber hinaus besteht eine weitere Sicherheitshürde gegen solche Angriffe darin auch die Weiterverbreitung von Dokumenten und E-Mails innerhalb eines Netzwerkes mit derartigen Maßnahmen zu überwachen. Vor diesen Hintergrund ist es fraglich, welche Sicherheitslücken durch die infizierte Mail ausgenutzt werden konnten und welcher Virus das Netzwerk ohne Gegenmaßnahme infizieren konnte. Dieser Aspekt wirft die Frage auf, ob es tatsächlich um keine gezielte Attacke sondern eine Massen-E-Mail gehandelt hat. Eine übliche Taktik von Angreifern, die unter anderem beim Hack des Europa-Parlaments von einigen Jahren angewandet wurde besteht bspw. darin, E-Mails textlich thematisch auf den Kontext der Zielpersonen anzupassen um diese zum Öffnen des Anhangs zu verleiten. Um die Infektionswahrscheinlich zu erhöhen könnten beim einem gezielten Angriff dann Sicherheitslücken für das Eindringen und die Ausbreitung im Netzwerk ausgenutzt werden die noch nicht öffentlich bekannt und entsprechend nicht durch Software-Updates behoben worden sind (sog. Zero-Day-Exploits). Derartige Sicherheitslücken sind jedoch rar und werden auf entsprechenden Märkte für viel Geld gehandelt – was den Kreis möglichen Akteure auf große kriminelle Organisationen oder staatliche Einrichtungen wie Geheimdienste eingrenzt und in jedem Fall als gezielte Attacke zu werten wäre.
Dies sind bislang alles nur Mutmaßungen und es bleibt zu hoffen, dass es seitens der Behörden eine bessere Informationsstrategie verfolgt wird als die 2015 beim Hack auf das Parlakom-System des Bundestages der Fall war. (Aktualisierung folgen)