Nach Hacker-Attacke auf Land Kärnten: Cybercrime-Experte geht von russischen Tätern aus

Wie Kaiser in der Pressekonferenz berichtete, seien zwar weitere Überlastungsangriffe abgewehrt worden, darüber ob tatsächlich Daten veröffentlicht wurden, besteht jedoch nach wie vor Unklarheit. Eine Analyse der Landes-IT legt das aber nahe. Im Chat zur Pressekonferenz könnte es eine weitere Drohung der Täter gegeben haben.

Hacker-Attacke im Mai bemerkt

Der Hackerangriff war vor knapp zwei Wochen bemerkt worden, betroffen war das IT-System der Landesverwaltung, der Bezirkshauptmannschaften, des Landesrechnungshofes und des Verwaltungsgerichtes. Die Hackergruppe BlackCat forderte fünf Millionen Dollar Lösegeld in Bitcoins, später folgte im Darknet ein weiteres Ultimatum, in dem mit der Veröffentlichung von Daten gedroht wurde. U.a. laut dem Wiener IT-Security-Unternehmer Sebastian Bicchi seien im Darknet auch wirklich bereits Dateien veröffentlicht worden, darunter Ausweise, Reisepässe, Corona-Tests und politische Positionspapiere.

Das Land hat bisher nicht bestätigt, dass Daten publiziert wurden, es könne sich auch nur um Dateilisten gehandelt haben, hieß es stets. Aber: "Die am Sonntag fertiggestellte Analyse der IT zur im Darknet publizierten Verzeichnisliste zeigt, dass Datenmenge und Ablageorte korrelieren", räumte Harald Brunner, Leiter der IT-Abteilung des Landes, ein. "Was wir derzeit definitiv nicht sagen können: Ob und welche Daten tatsächlich abgesaugt wurden. Diese Log-Auswertungen haben wir nicht", erklärte er. Daher könne man die Frage nicht seriös beantworten. Aber "wir haben bereits begonnen zu erheben, wer die betroffenen Personen sind, und bereiten bereits vor, diese Personen zu informieren." Dazu müsse man allerdings erst verifizieren, welche Daten genau abgezogen wurden.

Experte geht nicht von gezieltem Angriff auf Land Kärnten aus

Experte Granig geht davon aus, dass es sich nicht um einen gezielten Angriff auf das Land Kärnten gehandelt habe, "sondern eine Attacke wie sie viele andere Unternehmen erleben". Er vermutet daher, dass die Täter "nicht in eine Detailanalyse der Landesregierung einsteigen" werden. Es gebe Hinweise, dass es sich um russische Hacker oder welche, "die mit russischen Strukturen arbeiten", handle. "Der russische Diktator Putin hat eine Welt geschaffen in Russland, in der Straftaten im Bereich der Cybercrime sehr positiv dargestellt" und Hacker, die westliche Unternehmen angreifen, als Helden gefeiert würden. Nicht jeder Täter gehöre zum russischen Geheimdienst, vielmehr gebe es "zehntausende freischaffende Hacker. Es ist zumindest eine staatlich geduldete und unterstützte Struktur", so Granigs Einschätzung.

Im Chat der Pressekonferenz, in dem online teilnehmende Journalisten schriftlich Fragen stellen konnten, tauchte dann ein Eintrag auf, der Fragen aufwirft: Ein unbekannter User drohte sinngemäß mit der Veröffentlichung weiterer Daten, wenn kein Lösegeld gezahlt werde.

Leiter von IT-Abteilung des Land Kärntens: Gesichert, dass es sich um Pishing-Attacke gehandelt habe

Laut Brunner sei gesichert, dass es sich um eine Phishing-Attacke gehandelt habe. Der Eintrittsvektor sei ein problematisches E-Mail an einem Arbeitsplatz im April gewesen. Die Schadsoftware habe sich dann über eine bekannte Betriebssystem-Schwachstelle ausgebreitet. Am 24. Mai seien die Auswirkungen sichtbar geworden, weil die Verschlüsselung begann. Mittlerweile seien nur mehr Systeme offline, die nicht so hohe Brisanz hätten, versicherte der IT-Chef. Systeme, die im täglichen Betrieb wichtig sind wie etwa das Passwesen, seien weitgehend wieder online. Notwendige Auszahlungen im Sozialbereich seien verfügbar und wurden auch schon durchgeführt.

Das Land habe "sofort nach Erkennen dieses Angriffs alle erdenklichen Maßnahmen ergriffen", sagte Kaiser. Man werde nun die Systeme nach Wichtigkeit für die Bürger wieder herstellen. Er betonte, dass man dabei bleiben werde, kein Lösegeld zu zahlen. Auch für Granig würde das keinen Sinn machen: Das Land habe sich erfolgreich aus dem Verschlüsselungsangriff befreit. Wenn man für gestohlene Daten Geld zahle, damit diese nicht veröffentlicht werden, gebe es keine Sicherheit, dass sich die Täter an dieses Versprechen halten. Die Zahlungen in Kryptowährungen würden beispielsweise verwendet, um "Handelsplattformen für Drogen, Waffen und Kinderpornografie aufzubauen", daher solle man der Erpressung prinzipiell nicht nachgeben.

Kontakt Land Kärnten - Datenschutzbehörde

Das Land habe mit der Datenschutzbehörde Kontakt aufgenommen "und drei externe Firmen sind unmittelbar mit der Beweismittelsicherung beauftragt worden", so Kaiser. Die Ermittlungen in derartigen Fällen seien aufgrund der internationalen Verflechtungen zäh, schilderte Viola Trettenbrein vom Landesamt für Verfassungsschutz und Terrorismusbekämpfung (LVT). Das LVT habe einen Erstbericht an die Staatsanwaltschaft Klagenfurt abgegeben, und sieht den Tatbestand der schweren Erpressung. Granig betonte, dass die Sicherheitsvorkehrungen des Landes gut gewesen seien.

Team Kärnten-Chef Gerhard Köfer kündigte an, die Cyber-Attacke in der Landtagssitzung am Donnerstag zum Thema zumachen. Er will geklärt wissen, wie gut das Land wirklich vorbereitet war und sorgt sich um die personelle Ausstattung der IT-Abteilung: "Bereits seit dem Vorjahr hat das Land einen Chief Digital Officer gesucht. Der neue IT-Chef hat allerdings erst vor wenigen Tagen den Job angetreten, Wochen nachdem sein Vorgänger in Pension gegangen ist", so Köfer.

(APA/Red)