Kanton St.Gallen betroffen Ermittlungen nach Hacker-Angriff gestalten sich schwierig

Schon dreimal ist in diesem Jahr die Hostingfirma von Stadt und Kanton St. Gallen von Hackern angegriffen worden. Obwohl bereits im Juli eine  Strafanzeige gestellt wurde, gibt es noch immer keine Ergebnisse zu vermelden. 

Am Sonntagabend und danach wieder am Montagnachmittag wurde die Hostingfirma von Kanton und Stadt St. Gallen mit einer «DDoS-Attacke» (Distributed-Denial-of-Service) angegriffen. Dabei sollte der Server mit Anfragen überflutet und das System zum Absturz gebracht werden. Als Präventionsmassnahme wurden die Webseiten der beiden Verwaltungen vorübergehend vom Netz genommen.

Die betroffene Hostingfirma, die Online Consulting AG aus Wil, ist seit dem Frühjahr bereits mit verschiedenen Angriffsmethoden konfrontiert worden. Bei einem ersten Angriff im April hätten die Hacker versucht, Daten zu entwenden und das System zu verschlüsseln, hiess es vom Unternehmen. Dieser Versuch habe bereits im Anfangsstadium abgewendet werden können.

Kein Motiv

Im Juli folgte dann eine erste «DDoS-Attacke». Zum Muster eines solchen Angriffs gehört, dass danach Geldforderungen gestellt werden. Bis Mittwochmittag sei aber weder beim Kanton noch bei der Stadt noch bei der Hostingfirma eine solche Forderung eingetroffen, erklärte Thomas Zuberbühler, Leiter Kommunikation des Kantons.

Dies war im Juli anders gewesen. Nach einem ersten Angriff hatte die Hostingfirma ein Erpresser-Mail von einer Gruppe namens «Fancy Lazarus» erhalten. Darin wurde sie aufgefordert, ein Bitcoin zu zahlen – nach damaligem Kurs um die 30'000 Franken. Der Geschäftsleiter der Firma sagte damals gegenüber Keystone-SDA, dass kein Geld gezahlt werde und dass er eine Strafanzeige einreichen werde.

Der angedrohte Angriff blieb aus. Auch dies ist nicht ungewöhnlich. Die Angreifer müssten ebenfalls Kosten decken, erklärte im Juli ein Sprecher des Nationalen Zentrums für Cybersicherheit NCS. Deshalb werde das Glück oft anderswo versucht, wenn innert nützlicher Frist kein Lösegeld bezahlt werde.

Die nächste Attacke folgte nun knapp drei Monate später, am letzten Sonntagabend. Ein Zusammenhang mit früheren Angriffen auf die Hostingfirma sei «derzeit nicht erkennbar», stellte der Kanton am Montag in einer Mitteilung fest. Damit bleibt das Motiv vorerst ein Rätsel.

Kantone ermitteln selber

Was aber wurde aus der Strafanzeige vom Juli? Sie sei beim zuständigen Staatsanwalt in Bearbeitung, erklärte Balz Zürrer, Geschäftsleiter der Online Consulting AG, gegenüber Keystone-SDA. Zum laufenden Verfahren gebe es keine Auskünfte.

Klar ist, dass die Hostingfirma im Juli nicht das einzige Ziel von «Fancy Lazarus» war. Dem NCS seien mehrere Erpressungsversuche im Namen dieser Gruppierung gemeldet worden, informierte damals die Stelle. Eine kurze Google-Suche zeigt zahlreiche Einträge aus verschiedenen Ländern, auch mit Warnungen von Sicherheitsfirmen. «Fancy Lazarus» habe andere Erpresser mit Namen wie «Fancy Bear» abgelöst, heisst es etwa.

Die Strafanzeige aus Wil wurde von der St. Galler Kantonspolizei bearbeitet. In solchen Fällen sicherten Spezialisten zuerst die digitalen Spuren, schilderte Polizeisprecher Hanspeter Krüsi den Ablauf. Danach werde abgeklärt, woher die Angriffe gekommen seien. Der Bund sei dabei vorerst nicht involviert, solche Ermittlungen fielen unter die Kantonshoheit.

Dies bedeute aber nicht, dass es keine Zusammenarbeit gebe. So finde ein regelmässiger Austausch mit anderen Kantonen statt. Seien mehrere Kantone betroffen, werden ausgehandelt, welche Staatsanwaltschaft die Untersuchung führe. Bei solchen Hackerangriffen wiesen die Spuren meistens ins Ausland und dort in den Osten oder nach Asien, so Krüsi. Die Ermittlungen seien deshalb «sehr, sehr schwierig».