Es wurde versucht, mit den Hackern Kontakt aufzunehmen, doch diese reagierten nicht.
© idcreative.ddid - stock.adobe.com
Hackerangriff auf Tulln
In der Nacht vom 10. auf den 11. Februar 2025 wurde die Stadt Tulln Opfer eines Hackerangriffs. Die Attacke führte dazu, dass die Stadtverwaltung nicht mehr auf ihre Server zugreifen konnte, was den Verwaltungsbetrieb erheblich einschränkte.
Der Angriff wurde am Vormittag des 11. Februar entdeckt. Er betraf die gesamte Serverinfrastruktur der Stadt, die dort gespeicherten Daten wurden verschlüsselt. Der Betrieb der Infrastruktur wie Wasser oder Kanal war nicht beeinträchtigt.
Unmittelbar nach Bekanntwerden des Angriffs informierte die Stadtverwaltung die Polizei und beauftragte eine auf Hackerattacken spezialisierte IT-Firma mit der Analyse und der Wiederherstellung der Systeme. „Es musste sehr genau geprüft werden, ob irgendwo Schadsoftware vorhanden ist“, erläutert Stadtamtsdirektor Viktor Geyrhofer. Zusätzlich zur Serverinfrastruktur waren die Geräte von rund 200 Einzelarbeitsplätzen zu prüfen. Die beauftragte Firma ist ein international tätiges Unternehmen aus Deutschland, das enorme Erfahrung im Umgang mit Cyberattacken hat. Aufgabe der Sicherheitsbehörden ist in einem derartigen Fall die Verfolgung der Täter.
Hilfreich war auch der Kontakt mit der Stadt Korneuburg, die vor kurzem ebenfalls von einem Hackerangriff betroffen war. „Eines der ersten Dinge, die ich gemacht habe, war, meinen Kollegen in Korneuburg anzurufen und um Unterstützung zu bitten“, erzählt Geyrhofer .Der Korneuburger IT-Leiter kam nach Tulln und beriet die Kollegen.
Information der Bürgerinnen und Bürger
Als zentrale Plattform zur Kommunikation mit der Bevölkerung diente die Website der Stadt – auch deswegen, weil sie nicht von dem Angriff betroffen war. „Wir haben die Medien informiert, dass wir dort immer aktuell informieren“, erklärt Julia Schwanzer von der Öffentlichkeitsarbeit der Stadtgemeinde. Auf Informationen über Social Media wurde weitgehend verzichtet.
„Wir hatten lange Zeit keine gesicherten Informationen, weil alles zuerst von der IT geprüft werden musste“, sagt Stadtamtsdirektor Viktor Geyrhofer. „Erst danach konnten wir beantworten, wie der Angriff erfolgt ist, ob Daten verloren gegangen sind und ob die Backups verwendet werden können.“ Dringende Anfragen zu Verwaltungsangelegenheiten konnten telefonisch oder persönlich im Bürgerservice gestellt werden.
Schwachstelle Firewall
Wie sich im Lauf der Aufarbeitung zeigte, war die Schwachstelle die Firewall. Diese hatte eine aktive Lücke, die von den Kriminellen ausgenutzt wurde. Durch Updates konnte das Leck mittlerweile beseitigt werden.
„Früher konnten wir als Administratoren von überall zugreifen und bei Problemen helfen. Um Hackern keine Angriffsmöglicheit zu bieten, haben wir das nun geändert und lassen jetzt keinen Webzugang von außen mehr zu“, berichtet IT-Leiter Patrick Pusnik. Für sämtliche Verbindungen, die über die Firewall laufen, ist nun eine Zwei-Faktor-Authentifizierung nötig.
Betrieb war durchgehend möglich
Schnell gelang es, Möglichkeiten zu schaffen, um klassische Bürgerservice-Leistungen wie Anmeldungen, Ummeldungen, Beurkundungen etc. wieder anbieten zu können. Auch Baubewilligungen konnten innerhalb der gesetzlich vorgeschriebenen Fristen abgehandelt werden.
Die verschlüsselten Server wurden zurückgesetzt und ein Backup der Serverdaten eingespielt. Der Großteil der von den Mitarbeiterinnen und Mitarbeitern benötigten Programme und Dateien war dadurch nach einer Woche wieder verfügbar. Dann konnten auch von der Buchhaltung wieder Rechnungen überwiesen werden. Bis Entlehnungen aus der Bücherei wieder verbucht werden konnten, dauerte aber noch eine weitere Woche. In der Zwischenzeit musste man sich mit handgeschriebenen Listen behelfen.
Die Freizeitbetriebe der Stadt waren von dem Angriff nicht betroffen, lediglich bargeldlose Zahlung – etwa im Hallenbad – waren längere Zeit nicht möglich.
Hacker meldeten sich nie
So wie es aussieht, dürften keine Daten gestohlen worden sein. Bei den Ermittlungen wurden keine Hinweise darauf entdeckt, aber auf rein technischer Basis lässt sich ein etwaiger Datenabfluss nicht mit letzter Sicherheit ausschließen – dafür wäre der direkte Kontakt mit den Hackern notwendig, die üblicherweise, um ihren Forderungen Nachdruck zu verleihen, Beweise für ihrer erbeuteten Daten übermitteln. Es wurde versucht, mit den Hackern Kontakt aufzunehmen, doch diese reagierten nicht.
Sicherheitsaudits empfohlen
Um weitere Vorfälle zu verhindern, wird man – neben den bereits erwähnten Maßnahmen – auch häufiger externe Sicherheitsaudits vornehmen lassen, um das gesamte System zu prüfen. „Die Bedrohungen ändern sich ständig, sodass es schwierig ist, den Überblick zu behalten. Ein Audit hilft, Sicherheitslücken zu entdecken“, sagt Stadtamtsdirektor Geyrhofer und empfiehlt das auch allen Gemeinden.
