Das Außenministerium ist erneut Ziel umfassender Cyberattacken geworden. Das geht aus einem internen Mail hervor, das ZackZack vorliegt. Offenbar sind auch einzelne Botschaften betroffen. Eine Sprecherin bekräftigt, dass die Schadsoftware “keine Auswirkungen entfalten” konnte.

Wien, 28. April 2022 | „Sehr geehrte Kolleginnen und Kollegen, aktuell ist das BMEIA, so wie auch andere Außenministerien, wieder vermehrt Ziel von Cyber-Attacken.“ So beginnt das von Generalsekretär Peter Launsky-Tieffenthal gezeichnete Mail, das am Mittwochnachmittag an die gesamte Belegschaft des Außenministeriums (BMEIA) gesandt wurde.

Darin wird deutlich, wie umfassend die Attacken sein müssen oder zumindest am Mittwoch noch waren: Die Bandbreite des Angriffs reiche „von der versuchten Ausspähung nicht öffentlicher/klassifizierter Informationen bis hin zur Zerstörung unseres Netzwerks.“ Es wird „eindringlich um allerhöchste Vorsicht und Awareness“ ersucht. Das Außenministerium gibt auf Nachfrage leichte Entwarnung und betont, die Schadsoftware habe sich nicht entfalten können.

Ähnlichkeiten zum letzten Vorfall

Das Mail erinnert an vergangene Vorfälle. So heißt es darin, das IT-Sicherheitsteam erkenne vermehrt „schädliche Internet-Links, die beim Klicken automatisch zu einem Datendownload und einer Einnistung höchst entwickelter Schadsoftware in unserem IT-Netzwerk führen“. Offenbar handelt es sich um eine ähnliche Masche wie schon beim letzten Großangriff. Anfang 2020 sorgte ein internes Mail mit Weihnachtsgrüßen, das sich als Schadsoftware entpuppte, für monatelanges Chaos. Botschaften waren teilweise lahmgelegt.

Damals vermutete man Russland als Angriffsquelle – der Kreml dementierte. Ob man diesmal erneut von einem staatlichen Akteur als Angreifer ausgeht, ist bislang unklar. Laut Insidern sollen aber wieder einzelne Botschaften betroffen sein.

Das Außenministerium ließ mitteilen: „Bei den aktuellen Versuchen handelt sich nach ersten Erkenntnissen um Phishing E-Mails mit Links, die beim Klicken automatisch zu einem Datendownload und einer Einnistung von Schadsoftware in unserem IT-Netzwerk führen sollen. Diese Versuche wurden aber alle von den Sicherheitssystemen erkannt und die Schadsoftware konnte keine Auswirkungen entfalten.“

Auch Deutschland betroffen

Immerhin, denn der Rechnungshof hat jüngst die ausbaufähige Cybersicherheit der Regierung kritisiert. Die Bandbreite der Kritik reiche dabei von Personalmangel über fehlende Krisenpläne bis hin zu unzureichender Fehleranalyse nach Vorfällen. Aufgrund des russischen Krieges in der Ukraine wird aktuell besonders stark mit Cyberangriffen gerechnet. Wie die ungarische Rechercheplattform „Direkt 36“ berichtete, sollen es sich die russischen Geheimdienste in den Netzwerken des ungarischen Außenministeriums schon seit einiger Zeit gemütlich gemacht haben. Ungarn schweigt bisher, allerdings gehe die Attacke weit ins System hinein.

ZackZack wollte wissen, ob wie im Mail von Launsky-Tieffenthal erwähnt, mehrere Außenministerien betroffen sind und um welche es sich handelt. Ein Rundruf ergab: auch Deutschland ist betroffen. Das Auswärtige Amt beobachte demnach die „aktuell hohe Bedrohungslage im Cyberraum sehr genau. Unsere Cyberabwehr verzeichnet derzeit ein erhöhtes Aufkommen an Phishing-Emails, die wir im Rahmen eingeübter Verfahren behandeln“. Das Schweizer Eidgenössische Departement (EDA) für auswärtige Angelegenheiten teilte wiederum mit, dass man die Cyber-Bedrohung sehr ernst nehme und der Cybersicherheit große Bedeutung zumesse. Jedoch sei das EDA „in letzter Zeit nicht von Cyber-Angriffen betroffen. Aus offensichtlichen Sicherheitsgründen kann das EDA keine weiteren Angaben zu den in diesem Bereich getroffenen Massnahmen machen.“

Immer wieder Wirbel um IT-Sicherheit

Heikel ist die Attacke am Minoritenplatz auch, weil in der Vergangenheit brisante Details zur IT-Sicherheit bekannt wurden. ZackZack deckte in einer gemeinsamen Recherche mit dem „Spiegel“ unter Beteiligung des „Standard“ auf, wie das Marsalek-Umfeld dem BMEIA eine deutsche Firma (Virtual Solution) zur „Aufklärung“ der damaligen Cyberangriffe angeboten hatte. Der Deal platzte, ein Treffen der BMEIA-Spitzen mit Virtual Solution gab es dennoch. Die einschlägigen Russland-Verbindungen des damaligen Hauptgesellschafters Nicolaus Von Rintelen – Gas-Oligarch Leonid Mikhelson gilt als sein Mentor – sind in Deutschland immer wieder Thema. Rund 40 deutsche Bundesbehörden greifen auf die „sichere Kommunikationslösung“ der Münchner Firma zurück.

Trotz des Verkaufs von Virtual Solution an einen Konkurrenten bleiben einige Fragen offen, wie das Wirtschaftsmagazin „Capital“ berichtete. Der ehemalige Linken-Abgeordnete Fabio de Masi hat mehrfach die mangelnde Aufklärung der Russland- und Marsalek-Verbindungen kritisiert.

In Wien hat man derzeit jedenfalls akute Sorgen um die sensible Infrastruktur. Auf welche Lösungen und Firmen das BMEIA momentan baut, wolle man „zum Schutz des Gesamtsystems“ nicht sagen. In der Vergangenheit hatte die Firma Cyan Networks zumindest einen BMEIA-Auftrag für den Betrieb eines Secure Web Browser – ZackZack berichtete exklusiv. Die Wiener Tochterfirma gehört zur Münchner Cyan AG, in der ÖVP-Großspender Alexander Schütz bis Ende 2021 Aufsichtsratsvorsitzender war. Aus „persönlichen Gründen“ habe er sich Berichten zufolge zurückgezogen. Schütz werde aber einer der Ankeraktionäre bleiben, hieß es.

(wb)

Updates am 28.4. um 14:20 Uhr und 16:05 Uhr: Artikel wurde um die Statements des deutschen Auswärtigen Amts und des schweizerischen EDA ergänzt.

Titelbild: APA Picturedesk