Der Angriff habe im November 2019 begonnen und sei nach einem Monat, im Dezember, durch gekaperte Konten in den Office-Systemen entdeckt worden, sagte Telekom-Sicherheitschef Wolfgang Schwabl zu Journalisten.
Auf Kundendatenbanken habe der Angriffer nicht zugriffen, hieß es. Das könne man anhand der Systemprotokollen (Logfiles) nachvollziehen. Es habe sich um eine gezielte, manuelle Attacke gehandelt, nicht um einen Virus, einen Erpressungstrojaner oder ein anderes automatisiertes Schadprogramm. "Der oder die Angreifer haben sich sehr für die Sendekatasterdatenbank interessiert", so Schwabl. Darin ist gespeichert, wo in Österreich die Funkmasten von A1 stehen.
Behröden von Beginn an involviert
Insgesamt sei auf "einige wenige Dutzend" von tausenden Telekom-Servern zugriffen worden. Schwabl vermutet, dass die Hacker versucht haben, Vorbereitungen für eine spätere Spionage zu treffen. Bei der Abwehr im Mai seien alle Server zurückgesetzt worden und bei allen Passwörtern eine Zwei-Faktor-Authentifizierung eingeführt worden, der Angreifer sei seither draußen, so Schwabl. Die kritische Infrastruktur wie das Mobilfunknetz oder Festnetz waren abgekoppelt worden.
Die Behörden seien von Anfang an involviert gewesen, wurde betont. Die mediale Information sei aber erst im Nachhinein erfolgt, um dem Angreifer nicht zu verraten, was man über ihn wisse. Durch den Corona-Lockdown hatte sich der Tag der Abwehr von März auf Mai verzögert.