Tiscali: Opfer von Hackern (Update)

[1][2]Erste Meldungen über den Hackerangriff tauchten bereits am Sonntag im Usenet und auf dem Sicherheitsportal "Computer Security Schweiz" auf: 900 Tiscali-Kunden sollen am Sonntagnachmittag Opfer eines so genannten "Massen-Defacements" geworden sind. Bei einem "Defacement" wird die Startseite einer Website durch eine Hacker-eigene Seite ersetzt.Laut dem "Defacement"-Text, der auf den gehackten Homepages platziert wurde, gehören die Angreifer der Gruppe Xtreme Power an. Nach eigener Aussage haben die Hacker alle 899 Websites auf yourdomain1.datacomm.ch "defaced". Dies, da die betreffenden Administratoren trotz früheren Attacken und ausführlichen Hinweisen zur Behebung der Lücken die Sicherheit ihres Systems nicht verbessert hätten.

Xtreme-Power-Mitglied Orangehaw dementiert auf seiner Website, für den Tiscali-Hack verantwortlich zu sein. Die Angreifer wollten nur seinen Namen in Misskredit bringen. Er glaube, dass die Gruppe Tuxtendo und im speziellen ein so genannter Mr Lordrayden hinter der Aktion stecke.

Tiscali [3] reagierte äusserst ungeschickt auf den Hackerangriff. Erst am Montagmittag - über zwölf Stunden später - informierte der Provider auf seiner Website in einer kurzen Pressemitteilung ausführlicher über das Problem. Er bestätigte, dass es am Sonntag Hackern gelungen sei, in sein so genanntes Yourdomain-System [4] einzudringen. Die Angreifer hätten die "einfachen und kurzen" Kundenpasswörter geknackt. Insgesamt seien 900 von 40 000 Tiscali-Webkunden von der Hackeraktion betroffen gewesen. Tiscali bedaure den böswilligen Angriff und habe alles unternommen, um das Problem so rasch als möglich zu beheben. Seit Montag 11:30 Uhr würden die Seiten aller betroffenen Kunden wieder online sei. Daten wären keine verloren gegangen. Fakt ist: Die Kundenseiten konnten bis Montagabend nicht erreicht werden. Eine Anfrage bei Tiscali-Pressesprecher Reto Meyer hat ergeben, dass die Wiederherstellungsarbeiten auch am Montagnachmittag noch am laufen waren. Als Ursache für die Zeitverzögerung gab er die grosse Datenmenge an, die auf den Server zurückkopiert werden müsse. Der Provider entschuldigte sich deshalb am Montagabend nochmals auf seiner Website für die entstandenen Probleme und die falsche Frühentwarnung. Schuld für die verzögerte Aufschaltung der Websites sei neben der grossen Datenmenge auch die Installation eines neuen, sichereren Betriebssystems gewesen. Laut dieser Meldung waren nicht mehr 900, sondern insgesamt 850 Kunden Opfer der Hackerattacke gewesen.

Die betroffenen Tiscali-Kunden sind verärgert. Sie bemängeln die langsame Reaktion und die schlechte Informationspolitik des Providers. So etwa der Online-Computershop Digitec.ch [5]. Inhaber Florian Teuteberg beklagte sich gegenüber dem PCtip, dass Tiscali während der ganzen Zeit nie per E-Mail genauer über das Problem informiert habe. Auf telefonische Anfragen sei er immer vertröstet worden, dass das Problem bald behoben sei. Ärgerlich sei auch der lange Ausfall der Website gewesen, da Digitec.ch bis zu 90 Prozent seines Umsatzes über Online-Bestellungen generiere. Bislang habe Digitec.ch von Tiscali noch keine persönliche Entschuldigung für den entstandenen Verlust erhalten. Man sei momentan auch am Überprüfen, ob eventuell eine Möglichkeit bestehe, auf rechtlichem Weg Schadenersatz einzufordern.

Oswald Ortiz, CEO von Tiscali Schweiz, gestand gegenüber dem PCtip ein, dass sein Unternehmen mit der voreiligen Entwarnung einen Fehler begangen habe. Auf die Frage, warum der Provider so langsam reagiert und seine Kunden nur schlecht mit Informationen versorgt habe, rechtfertigte sich Oswald Ortiz, dass bereits am Sonntagabend mit der Wiederherstellung der Daten begonnen worden sei. Da sein Unternehmen nicht über alle Kunden-Mail-Adressen verfüge, wäre es leider auch nicht möglich gewesen, die Betroffenen per E-Mail zu informieren. Im Laufe des heutigen Tages werde man aber den 850 Kunden anrufen und sich persönlich entschuldigen. Eventuell könne in Härtefällen auch über eine Entschädigung diskutiert werden. Laut Oswald Ortiz will Tiscali in den Telefonaten ihre Kunden auch bei der Wahl eines neuen Yourdomain-Passwortes beraten, damit die Hacker nicht wieder über denselben Weg in das System eindringen könnten. Dies sei ihnen nämlich über einen Kunden-Account gelungen. So sollen die Angreifer zuerst das - relativ einfache - Passwort eines Yourdomain-Kunden erraten und danach ein Script auf den Server überspielt haben, das automatisch nach Schwachstellen im System suchte.

Oswald Ortiz plant nach eigenen Angaben auch rechtliche Schritte gegen die Hacker. Momentan wären interne und externe Sicherheitsexperten mit der Spurensicherung beschäftigt. Erste Hinweise auf die Täter habe man schon entdeckt. Sobald genügend Beweismaterial vorliege, werde Tiscali den Fall an die Polizei übergeben.