Zwei verwundbare Applikationen auf dem Webserver der Stadt, der ansonsten nur die Daten des städtischen Internetauftritts vorgehalten hat, haben unabhängig voneinander Einfallstore für externe Hacker-Angriffe gebildet. Zu diesem Ergebnis ist Sebastian Nerz, der beauftragte Computer-Forensiker, nach eingehender Untersuchung gekommen. Im Magistrat erläuterte der ausgewiesene IT-Fachmann ausführlich, wie es zu den Attacken kommen konnte, die schließlich dazu geführt hatten, dass die Stadt Hanau für drei Wochen sämtliche Seiten aus dem Netz genommen hat.

Ein Hinweis des hessischen CERT-Verbundes, einer Einrichtung im hessischen Innenministerium zur Koordinierung und Bearbeitung von IT-Sicherheitsvorkommnissen der Landesverwaltung und Kommunen, hatte am Nachmittag des 31. Oktober offenbart, dass es einem Hacker gelungen war, unentdeckt eine eigene Medikamenten-Spam-Seite auf dem städtischen Server zu implementieren. „Daraufhin haben wir sofort entschieden, alle eigenen Internetseiten sowie die der städtischen Gesellschaften umgehend zu sperren“, so Oberbürgermeister Claus Kaminsky und ergänzte, dass die Stadt damit auch der Empfehlung des CERT gefolgt ist.

Wie der Forensiker in seinem Bericht erläuterte, habe die Stadt ihm umfangreiche Image-Kopien des Servers zur Verfügung stellen können. „Hier gilt der IT ein Lob für das sehr besonnene Handeln beim Sichern der Datenbestände.“ Die erste Sicherheitslücke und der dort anzusiedelnde Eingriff durch das Hochladen und Einrichten eines Webshops für Medikamente sei sehr schnell zu lokalisieren gewesen.

Ein solcher Zugriff sei aber keine Attacke gewesen, so Nerz weiter, die sich gezielt gegen die Stadt Hanau richtete, sondern vielmehr das Ergebnis von automatisierten Prozessen, die jeden öffentlichen Internetauftritt auf Schwachstellen hin überprüfen, um diese für eigene Zwecke zu nutzen. „Das ist etwa so, als läuft jemand durch die Straßen und rüttelt an jeder Haustür. Wenn er auf eine unverschlossene trifft, betritt er das Haus.“ Im konkreten Fall sei es dem Hacker wohl darum gegangen, die Reichweite der städtischen Homepage nutzen, um die eigene Medikamenten-Spam-Seite in Suchmaschinen besser zu platzieren.

Bei seiner in die Tiefe gehenden Untersuchung stellte sich jedoch heraus, dass es zwei erfolgreiche externe Zugriffe gegeben hat. Neben dem ersten im Februar 2015 folgte im Oktober 2016 ein zweiter, der auf eine Abfrage bei einer auf diesem Server gespeicherten Datenbank abzielte. Da es sich hier aber lediglich um den Veranstaltungskalender der Stadt handelte, sei die Zahl der unberechtigten Zugriffe ziemlich gering gewesen. Oberbürgermeister Claus Kaminsky erinnerte in diesem Zusammenhang daran, dass der betroffene Server lediglich Datenmaterial vorgehalten hat, das für den Betrieb der ohnehin öffentlichen Internetseiten notwendig war. „Sensible Daten der Bürgerschaft waren zu keinem Zeitpunkt gefährdet,“ zerstreute er die Befürchtungen, dass durch externe Zugriffe vertrauliche Daten der Hanauer Bürgerschaft heruntergeladen wurden. Die strikte Trennung von Webserver und interner Infrastruktur für sensibles Datenmaterial hat sich in diesem Fall nach seinen Worten ausgezahlt.

Wie der Forensiker ergänzte, seien bei dem externen Zugriff zwar unerwünschte Seiten implementiert worden. Es gab aber keine Hinweise auf weitere missbräuchliche Nutzungen jenseits dieses identifizierten Eingriffs.

Dass die Freigabe der Seiten auf einem neuen Server letztendlich drei Wochen in Anspruch genommen habe, lag nach Angaben der städtischen IT-Fachleute daran, dass mit der Neuinstallation auch ein Wechsel im Betriebssystem von Suse Linux hin zu Ubuntu einhergegangen war. Das führte schließlich dazu, dass die Seiteninhalte nicht eins zu eins neu eingespielt werden konnten, sondern viele Scripte zuvor per Hand angepasst werden mussten. Erst als alle Scripte fehlerfrei liefen, konnten die notwendigen Sicherheitstests vorgenommen werden. Das erfolgreiche Bestehen dieser Tests wiederum war aber die Voraussetzung, dass der Internetauftritt der Stadt wieder online gehen konnte.

„Schlagzeilen wie zuletzt um den Hackerangriff bei der Telekom machen allerdings deutlich, dass das, was mit unserem Webserver passiert ist, leider nichts Ungewöhnliches ist,“ erinnert OB Kaminsky abschließend daran, dass es im aktuellen städtischen Fall kein fehlerhaftes Verhalten der Mitarbeiter war, das zu den technischen Problemen geführt hätten. Sebastian Nerz ergänzte, dass es bei der Komplexität der heutigen IT-Strukturen keine 100prozentige Sicherheit vor externen Eindringlingen gebe.