Cyberangriff
Websites der St.Galler Behörden waren am Freitagmorgen offline – Grund war ein Hackerangriff und keine technische Störung, wie erst kommuniziert wurde

Die Websites der Stadt und des Kantons St.Gallen sowie der beiden Polizeien waren am Freitagmorgen lahmgelegt. Dabei handelte es sich um eine sogenannte «Denial of Service»-Attacke, bei der Websites mit Aufrufen geflutet werden, um sie lahmzulegen.

Alain Rutishauser
Merken
Drucken
Teilen
Die Websites der Stadt und des Kantons St.Gallen waren am Freitagmorgen wegen einer böswilligen Cyberattacke offline gegangen.

Die Websites der Stadt und des Kantons St.Gallen waren am Freitagmorgen wegen einer böswilligen Cyberattacke offline gegangen.

Bild: Gaetan Bally / KEYSTONE

Die Websites des Kantons sowie der Stadt waren am Freitagmorgen nicht mehr erreichbar. Laut Hosting-Anbieter Online Consulting AG handelte es sich dabei um eine böswillige Attacke gegen mehrere Firmen aus der Schweiz.

Die Fehlermeldung auf den Websites der Stadt und des Kantons St.Gallen am Freitagmorgen.

Die Fehlermeldung auf den Websites der Stadt und des Kantons St.Gallen am Freitagmorgen.

Screenshot: sg.ch

Täter wollten Geld erpressen

Am Morgen noch kommunizierte Kanton und Stadt über eine «technische Beeinträchtigung». Es sei damals noch unklar gewesen, was genau vorgefallen war, sagt Thomas Zuberbühler, Kommunikationsverantwortlicher des Kantons St.Gallen. Im Laufe des Morgens stellte sich heraus, dass der Angriff keineswegs eine technische Panne war: «Eine technische Panne wäre ein Ausfall von Server-Systemen oder ein Glasfaser-Cut bei einer Baustelle», sagt Fredy Künzler, CEO von Init7, dem Internet-Service-Provider der Online Consulting AG.

Tatsächlich handelte es sich um eine böswillige Attacke eines Hackerkollektivs, die Methode nennt sich «Distributed Denial of Service» (DDoS). Dabei gehe es um temporäre Sachbeschädigung.

«Ein Beispiel: Ein Angreifer lässt auf einem Bauernhof die Milch im Kühltank auslaufen, bevor sie abgeholt wird. Die Milch des einen Tages ist verloren. Gleichzeitig wird ein Erpresserschreiben im Briefkasten deponiert: ‹Bauer zahle Geld, sonst vergiften wir deine Kühe›.»

Bereits der zweite Angriff in diesem Jahr

Bereits im April 2021 gab es einen Hackerangriff auf die Online Consulting AG. Die Websites der Behörden waren damals über einen Tag offline. «Der Ransomware-Angriff vor einigen Wochen zeigte, dass die Angreifer, denen es letztlich nur um Geld geht, glauben, dass Online Consulting ein einfaches Ziel wäre», sagt Künzler. Doch damals sei kein Geld an die Erpresser gezahlt worden, was nach Künzler sehr wichtig war. «Man darf unter gar keinen Umständen den Erpressern Geld zahlen. Viel besser wäre, wenn die zahllosen KMU das Geld im Sinne einer guten Vorsorge ausgeben und eine Firma beauftragen würde, die Schwachstellen analysieren und beheben würde.»

Die Attacke vom Freitagmorgen erfolgte laut Künzler zwischen 6 Uhr und 8.15 Uhr und habe etwa 80 Gigabit pro Sekunde umfasst. «Das ist ein mittelgrosser Angriff. Die grössten Angriffe sind teilweise mehr als zwei Terabit pro Sekunde gross.»

Der Angriff habe in ihrem System einige Kollateralschäden angerichtet, einige Zugänge in ihr Netz seien während dieser Zeit überlastet gewesen.

«Abgesehen davon gab es keinen Schaden. Es wurden keine Daten gestohlen.»

Wie wurde der Angriff abgewehrt?

Die Engineers von Init7 hätten in Folge des Angriffs die entsprechenden IP-Adressen der Online Consulting AG identifiziert und «geblackholed». «Mit dieser Massnahme wird Traffic zu diesen IP Adressen bereits am Eintrittspunkt in unser Netz ‹verbrannt›», erklärt Künzler.

Damit würden die Tausende von bösen Datenpakete des DDoS nicht mehr zum Ziel kommen, also auf die Server von Online Consulting. Der Kollateralschaden für Drittkunden sei damit eliminiert. Dieses sogenannte Blackholing sei als erste «Feuerlösch-Aktion» üblich in der Industrie.

«Der Nachteil: Die Websites auf den geblackholten Servern sind offline, was man ja gut beobachten konnte.»

Für den Erpresser sei das natürlich ein positiver Effekt. Server down heisse, die DDoS-Attacke war erfolgreich. «Vorerst wird die DDoS-Attacke eingestellt, man gibt dem Opfer, also der Online Consulting AG in diesem Fall, Zeit, um die geforderten Summe zu überweisen.»

Gefordert wurde ein Bitcoin, rund 30'000 Franken, in einem Erpresser-E-Mail, das am Freitagmorgen um 4.50 Uhr im Posteingang der Online Consulting AG landete. Im Erpressermail steht weiter: «Antwortet nicht auf diese Mail, versucht nicht zu verhandeln, wir werden eure Antworten nicht lesen.» Ausserdem eine Bitcoin-Adresse, auf die das Lösegeld überwiesen werden soll.

Das Erpressermail der Hacker, in dem sie vorerst einen Bitcoin als Lösegeld fordern, das sind rund 30'000 Franken.

Das Erpressermail der Hacker, in dem sie vorerst einen Bitcoin als Lösegeld fordern, das sind rund 30'000 Franken.

Screenshots: Outlook

DDoS-Attacken und auch Ransomware-Attacken seien inzwischen weit verbreitet, sagt Künzler. Wenn eine Firma wie die Online Consulting AG, die seit Jahrzehnten einen guten Job mache, so angegriffen werde, gehöre Solidarität mit der angegriffenen Firma einfach dazu. Künzler:

«Wir alle hocken im selben Boot. Morgen kommt vielleicht der Webserver vom ‹Tagblatt› unter Beschuss.»

Sicherheitsstufe als Reaktion auf Angriff intensiviert

Am Freitagnachmittag bestätigte auch der Kanton St.Gallen den Angriff: «Über eine sogenannte DDoS-Attacke versuchten Cyber-Kriminelle, die Systeme durch zahlreiche Anfragen zu überlasten», schrieb der Kanton in einer Mitteilung. Nach einem Ausfall von mehreren Stunden seien nun die Websites der Stadt sowie des Kantons St.Gallen wieder vollumfänglich zur Verfügung, wie beide Instanzen per Medienmitteilung bekanntgaben.

Als Reaktion auf den Angriff hätten Hoster und Provider das Monitoring intensiviert, um künftige DDoS-Attacken noch rascher abzuwehren.

«Die externe Hosting-Firma sowie der Netzwerk-Provider konnten den Angriff kurz vor dem Mittag bewältigen», heisst es in der Mitteilung weiter. Am Freitagmittag ab 12 Uhr waren die Websites wieder erreichbar.