Am 22.07.2011 brachen Mitglieder der politisch motivierten Aktivisten Anonymous, AnonAustria in den Server der GIS ein.

Über diesen Server war es Personen mit Rundfunkgeräten möglich, ihre Daten (inkl. Kontonummer) für eine An- oder Ummeldung anzugeben. Der Angriff erfolgte über eine SQL-Injection. Dies ist eine recht häufige Sicherheitslücke und die verallgemeinerte Injection steht auch an Platz 1 der Top 10 Sicherheitslücken von OWASP.

Datensätze von 211.695 Personen seien geknackt worden. Es wurde jedoch nur der Datensatz von Alexander Wrabetz, Generaldirektor des ORFs, veröffentlicht. Name, Mailadresse, Geburtsdatum, Postadresse, Handynummer wurden online gestellt.

Artikel von heise.de, 22.07.2011: Anonymous steigt bei Österreichs GEZ ein

Twittermeldung von AnonAustria, 22.07.2011: Another one DEFACED! gis.at – #AntiSec #Austria #GIS

Antwort der GIS: GIS-Sprecher Herbert Denk bestätige gegenüber heise Security den Einbruch, allerdings seien die von den Hacktivisten veröffentlichten Zahlen „etwas hoch“.

Die Onlinezeitung gulli.com (G, in der folgenden Abkürzung) bringt ein Interview mit AnonAustria (AA) über den Einbruch bei der GIS. Hier ein kurzer Auszug:

AA: Es waren maximal 5 Personen, die am Angriff beteiligt waren.

G: Warum GIS?

AA: Eine private Firma, die das Recht hat, auf alle Bürgerdaten zuzugreifen und so lasch mit den Daten umgeht – eigentlich müsste so eine Organisation verboten sein.
… dass sich der Bürger nicht auf staatliche oder teilstaatliche Institutionen verlassen kann und sich ziemlich jeder mit Leichtigkeit diese Daten beschaffen kann.

Es ist übrigens eine Frechheit, was sich dieser Herr Herbert Denk anmaßt, der Bevölkerung so sehr ins Gesicht zu lügen, wenn es um die Datensicherheit geht. Es waren nicht nur Daten von Personen die „in den letzten Monaten“ ein Online-Formular ausgefüllt haben, vielmehr waren die Datensätze zum Großteil mehrere Jahre alt und hätten längst aus der Datenbank entfernt werden müssen. …

Die Web-Auftritte der SPÖ und des GIS waren absolut stümperhaft zusammengstöpselt. Es scheint so, als ob man lieber die Firma eines guten Freundes beauftragt, anstatt sich um eine professionell gestaltete Website zu bemühen, die den aktuellen Standards entspricht.

Allgemein ist es in der Wirtschaft üblich, dass man das Beste so kostengünstig wie möglich will. …

Artikel in gulli.com, 24.07.2011: AnonAustria spricht mit Gulli.com über sich und die Attacke auf die GIS

Die Sicherheitsprobleme bei der GIS waren jedoch schon Monate vorher bekannt. Ein Techniker versuchte erfolglos, bei der GIS online seine Daten zu ändern und übermittelte Fehlermeldung und Beschreibung an die GIS.

„Neben der schlampigen Homepage und meinem wiederholten Versuch, ihnen mitzuteilen, dass sie Probleme bei Online-Anmeldungen haben, halte ich die GIS für einen echten Chaos-Haufen. Für diese Frechheit bezahlt man bis heute noch“, so der Techniker.

Artikel von gulli.com, 24.07.2011: Sicherheitshinweise wurden über Monate hinweg ignoriert

Bei Klick auf auf das Comicbild wird zu einem animiertes Gif mit dem rosarotem Panther gewechselt. Original von http://i.imgur.com/HP8aa.gif

AnonAustria stellte der GIS bis 25.07.2011 ein Ultimatum, dass diese die richtigen Zahlen über die gehackten Benutzerkonten an die Öffentlichkeit geben sollen.

Dem Magazin gulli.com wurden die Datensätze mit allen 211.695 Kundendaten zugespielt.

Artikel von gulli.com, 25.07.2011: Möglicher Leak: Anonymous setzt GIS ein Ultimatum – Update

Knapp fünf Stunden vor Ablauf des Ultimatums kommt die Antwort der GIS: Die GIS hält nach einer Untersuchung fest, dass rund 214.000 Datensätze gestohlen wurden, davon rund 96.000 mit Kontodaten.

Presseaussendung unter ots.at, vom 25.07.2011, 13:19: Informationen zum Hackerangriff auf GIS

Nun verschickte die GIS doch einen Brief an alle 214.000 betroffenen Österreicher.

Artikel von diepresse.com, 03.08.2011: GIS schickt 214.000 Österreichern Briefe

Die voreilige Meinung des Hr. Denk, die „Zahl sei zu hoch gegriffen“ zeugt nicht von gutem Notfallmanagement. Ein Schelm, wer Böses dabei denkt.

Anonymous verbreitet auch für Benutzer von GIS eine Vorlage für eine Anfrage nach dem Datenschutzgesetz. Deren Einleitung:

… ich habe heute aus einem Pressebericht gelesen, dass die Datenintegrität Ihrer Systeme „gehackt“ bzw. korrumpiert wurde.
Zusätzlich habe ich eine Stellungnahme gelesen, wobei diese Daten „nicht verschlüsselt“ abgelegt wurden und dadurch der Zugriff nicht den ordentlichen und möglichen Datensicherungsrichtlinien entsprach. Zur  Aufklärung dieser Unklarheiten stelle ich hiermit das folgende Auskunftsbegehren: …

Inhaltlich muss ich den Sicherheitsbedenken von Anonymous voll zustimmen.
Sensible Informationen auf einem Server sind verschlüsselt zu speichern. Nur so kann gewährleistet werden, dass Angreifer nicht an die Daten kommen.
Dies ist seit Jahren Stand der Technik.

Diese Online-Einbrüche, wie auch der weiter unten beschriebene auf den Webserver der „Grünen“, hätten sehr leicht durch regelmäßige IT-Administration verhindert werden können. IT-Sicherheitsmanagement, welche Sicherheit?

Die volle Funktionalität der GIS-Webseite ist zweieinhalb Wochen nach dem Einbruch immer noch nicht wieder hergestellt.

Ein paar Tage danach postete die Gruppe AnonAustria wieder eine ihrer Botschaften:

Video auf YouTube: Anonymous to the Machine: You Will Rust and die from the blood of our hearts!

Entsprechend der Rede aus Charlie Chaplins „Der große Diktator“:

We all want to help one another. Human beings are like that. …

Soldiers, don’t give yourselves to brutes: Men who despise you and slave you who regiment your lives, tell you what to do, what to think and what to feel; who drill you, diet you, treat you like cattle, use you as cannon fodder. …
Soldiers: Don’t fight for slavery! Fight for liberty!

Then, in the name of democracy, let us use that power! Let us all unite! Let us fight for a new world, a decent world that will give men a chance to work, that will give you the future and old age a security.
…

Die Motivation von Anonymous scheint durchaus eine edle zu sein.

Derzeit gibt es Meinungsverschiedenheiten in oder um die Gruppe. Eine Userin „evebugs“ tritt im Namen der Gruppe Anonymous Austria auf und gibt Interviews. In dem Interview vom 02.08.2011 sagt sie z. B.

Rechtlich gesehen sind wir eine terroristische Organisation. …
Es gibt keine Grenzen. Wir wollen die Revolution.

Artikel in mokant.at, 02.08.2011, Wir wollen die Revolution

Anonymous dementiert heftig:

Liebe evebugs,
anscheinend ist es für dich sehr schwierig einmal in dich zu gehen und ein bisschen nachzudenken. Darum erklären wir es dir auf diesem Wege noch einmal:

Wir von AnonAustria sehen es – wie wohl du und viele andere auch – nicht gerne, wenn jemand in unserem Namen Dinge tut, die nicht im unserem Sinne sind.
…

Nachzulesen unter: http://pastebin.com/9FNnVhpN

Eine andere Front der Abgrenzung wurde bei Anonymous ebenso eröffnet. Angebliche Anonymous-Mitglieder hackten die Seite „Die Grünen“. Drei Gigabyte an Daten seien geklaut worden. Benutzernamen, Adressen, Handynummern und das Passwort, jedoch als Hash gespeichert. 13.000 Datensätze sollen erbeutet worden sein.

Hinweise für das Gelingen des Sicherheitseinbruch gibt eine Anmerkung der Täter:  „Selbst Passwörter wie ’80zeichenlang‘ schützen vor Anonymous nicht, wenn die verwendete Software hoffnungslos veraltet (Juli 2008!) ist.“

Das würde bedeuten, ein Server wurde nicht mit Sicherheitspatches versorgt bzw. veralterte Software wurde eingesetzt. Dies ist ein No-Go in der IT-Sicherheit und findet sich regelmäßig auf den don`ts diverser Sicherheits-Listen.

Anonymous distanziert sich jedoch davon und will sogar die Verursacher
zur Verantwortung ziehen.

Artikel von 28.07.2011, gulli.com: Stellungnahme zum Grünen-Hack

Anonymous distanziert sich von einem Jugendlichen, der sich Domains und Facebook-Konten mit dem Namen Anonymous zulegt und stellt ihn mit heiklen Informationen bloß.

Nach einer langen Liste seiner Datenspuren:

„Anonymous ist nichts für gelangweilte 15-jährige!
Nur weil du zusammen mit deinen Freunden eine Maske aufsetzt bist du noch lange nicht anonym.
Weiß deine Mutter eigentlich, dass du die Rechnungen für VServer und Domains von ihrem Konto abbuchen lässt?“

Nachzulesen unter http://pastehtml.com/view/b2n2dspul.html

Hintergründe dieser Geschichte unter:
Wie DiePresse.com die Geschehnisse misinterpretiert #Anonymous