„Computersysteme angegriffen“Russlandfreundliche Aktivisten hacken staatliche Systeme und das Tageblatt

Chamber.lu, guichet.lu, gouvernement.lu – mehrere staatliche Internetseiten Luxemburgs waren am Donnerstagnachmittag zeitweise nicht erreichbar. Grund dafür war ein Hackerangriff. Auf ihren Kanälen auf Telegram gaben die Cyberkriminellen vor, prorussische Aktivisten zu sein. Und: Auch die Internetseite des Tageblatt wurde von ihnen ins Visier genommen – weil die Redaktion „keinen Respekt“ vor ihnen gezeigt habe. Tageblatt.lu war deshalb am Donnerstagnachmittag zeitweise nicht zu erreichen.

Die Luxemburger Regierung erklärte in einer Pressemitteilung, dass infolge der DDoS-Attacke („Distributed Denial of Service“) der Krisenstab einberufen wurde, der von Digitalisierungsministerin Stéphanie Obertin geleitet wird.

Wie der „Chaos Computer Club Lëtzebuerg“ (C3L) erklärt, handelt es sich bei einer DDoS-Attacke um eine Überlastung der Serverdienste durch unzählige Anfragen. „Das ist nicht besonders anspruchsvoll und nicht besonders schwer zu bewerkstelligen“, so ein C3L-Sprecher gegenüber dem Tageblatt. Mittlerweile könne man sogenannte Botnets mieten, die eine bestimmte URL dann mit Anfragen überlasten. Wer diese Attacken orchestriere, sei dann meist nur schwer herauszufinden.

Die Gruppen, die sich in den sozialen Medien zur Attacke bekannten, sind dem C3L kein Begriff. Das sei aber auch nicht wirklich überraschend. „Gruppen in diesen Milieus existieren oft nur für kurze Zeit“, sagt der Sprecher. Nur wenige würden ihren Lebensunterhalt mit solchen Attacken verdienen. Aber: „Die meisten sind russisch oder russischsprachig, weil sich dann schnell Geld damit verdienen lässt.“

Es gebe mehrere Möglichkeiten, eine DDoS-Attacke abzuwehren, so ein Sprecher des C3L. Demnach könnten beispielsweise alle Anfragen aus Russland geblockt werden. „Normalerweise hören solche DDoS-Attacken nach einem Tag wieder auf“, erklärt der Experte. „Es sei denn, es hat jemand viel Geld in die Hand genommen und lässt die Attacken über Tage oder Wochen laufen.“ Generell sei aber noch jede DDoS-Attacke überstanden worden. „Normalerweise dauert es nicht allzu lange, bis wieder alles funktioniert.“

„Die staatlichen Behörden unternehmen alles Mögliche, um die Auswirkungen der Attacke zu begrenzen und die Dienste schnellstmöglich wiederherzustellen“, heißt es in einem am Nachmittag verschickten Presseschreiben der Regierung. In dem am Donnerstag zusammengerufenen Krisenstab sind das Digitalisierungsministerium, die Verteidigungsdirektion, das „Haut-Commissariat à la protection nationale“ (HCPN), die Polizei, die Armee, der Luxemburger Geheimdienst, der „Service de la communication de crise“ (SCC), das „Centre des technologies de l’information de l’État“ (CTIE), der „Service information et presse“ (SIP), der „Service des médias, de la connectivité et de la politique numérique“ (SMC), das „Computer Incident Response Center Luxembourg“ (CIRCL) und das „Institut luxembourgeois de régulation“ (ILR) vertreten.

Dass das Tageblatt ebenfalls ins Fadenkreuz geriet, lag offenbar an der Berichterstattung der Redaktion. Screenshots der Tageblatt-Meldung über den Cyberangriff kursierten bereits kurz nach Veröffentlichung auf Telegram. „Wir sollten die Haltbarkeit ihrer Medienkanäle testen“ war – kurz bevor die Tageblatt-Seite lahmgelegt wurde – in den Hackerkanälen auf Russisch zu lesen. Kurz darauf wurde ein Screenshot gepostet mit dem Kommentar: „Konnte der Versuchung nicht widerstehen“ (mit Übersetzungssoftware übersetzt).

Noch bevor die Regierung zur Cyberattacke kommunizierte, kursierten bereits Gerüchte über einen möglichen Hackerangriff. „Unsere Computersysteme werden derzeit angegriffen“, hieß es in einer internen Mitteilung der Chamber-Verwaltung am frühen Donnerstagnachmittag. „Insbesondere die öffentliche Website ist nicht zugänglich. Die Systeme der Regierung sind ähnlichen Angriffen ausgesetzt.“ Es seien Teams für das Krisenmanagement mobilisiert worden. Ein Sprecher des CTIE erklärte dem Tageblatt daraufhin, dass man daran arbeite, die Seiten so schnell wie möglich wieder zugänglich zu machen. Mehr Details konnte er zu dem Zeitpunkt jedoch nicht mitteilen. Auch ob oder inwiefern Daten abgegriffen wurden, konnte am Donnerstagabend nicht abschließend beantwortet werden. Der Sprecher des C3L hält die Wahrscheinlichkeit, dass Daten abgegriffen wurden, jedoch für eher unwahrscheinlich.

Auf Telegram kursierte die Mitteilung, dass Luxemburg wegen seiner Beteiligung am Kauf von Munition für die Ukraine von den Hackern „bestraft“ werde: „Dieser Zwergstaat, trotz seiner, gelinde gesagt, bescheidenen Größe, beschloss wie seine Nachbarn in der EU, nach der Pfeife des Westens zu tanzen und beteiligte sich an der tschechischen Initiative zum Kauf von Geschossen für die Bandera-Anhänger“, heißt es in einer Botschaft, die mit den Worten „Glory to Russia!“ aufhört. Die Aktivisten würden die Luxemburger Behörden für das „Sponsoring von Selenskyjs Terroristen“ bestrafen.

Noname057(16) and other pro-Russian hacktivists have started a campaign against Luxembourg.

Motivated by recent geopolitical events.#cybersecurity #infosec #RussiaUkraineWar pic.twitter.com/oxo1Gkfcka

— CyberKnow (@Cyberknow20) March 21, 2024

Gestört waren am Donnerstag unter anderem Internetseiten des Cyber Incident Response Center (CIRCL), der Luxemburger Armee, des Transportministeriums, des Luxemburger Parlaments und MyGuichet sowie Guichet.lu. Auch die Luxemburger Post wurde Opfer der Cyberkriminellen: Ein Sprecher erklärt am Abend gegenüber dem Tageblatt: „Um 11.19 Uhr hat der Angriff begonnen und gegen 13.30 Uhr ist die Situation dank Gegenmaßnahmen gelöst worden. Aus Sicherheitsgründen können diese nicht weiter erläutert werden.“

Eigentlich kündigten die Hacker an, auch das Busunternehmen „Autobus de la Ville de Luxembourg“ anzugreifen. Getroffen haben sie jedoch die Internetseite avl.lu – die gehört der Vereinigung der Luxemburger Studenten in Aachen.