Wie Landeshauptmann Peter Kaiser (SPÖ) am Montag in einer Pressekonferenz berichtete, seien zwar weitere Überlastungsangriffe abgewehrt worden, darüber ob tatsächlich Daten veröffentlicht wurden, besteht jedoch nach wie vor Unklarheit. Eine Analyse der Landes-IT legt das aber nahe.

Erhebungen haben bereits begonnen

Der Hackerangriff war vor knapp zwei Wochen bemerkt worden, betroffen war das IT-System der Landesverwaltung, der Bezirkshauptmannschaften, des Landesrechnungshofes und des Verwaltungsgerichtes. Die Hackergruppe BlackCat forderte fünf Millionen Dollar Lösegeld in Bitcoins, später folgte im Darknet ein weiteres Ultimatum, in dem mit der Veröffentlichung von Daten gedroht wurde. U.a. laut dem Wiener IT-Security-Unternehmer Sebastian Bicchi seien im Darknet auch wirklich bereits Dateien veröffentlicht worden, darunter Ausweise, Reisepässe, Corona-Tests und politische Positionspapiere.

Das Land hat bisher nicht bestätigt, dass Daten publiziert wurden, es könne sich auch nur um Dateilisten gehandelt haben, hieß es stets. Aber: “Die am Sonntag fertiggestellte Analyse der IT zur im Darknet publizierten Verzeichnisliste zeigt, dass Datenmenge und Ablageorte korrelieren”, räumte Harald Brunner, Leiter der IT-Abteilung des Landes, ein. “Was wir derzeit definitiv nicht sagen können: Ob und welche Daten tatsächlich abgesaugt wurden. Diese Log-Auswertungen haben wir nicht”, erklärte er. Daher könne man die Frage nicht seriös beantworten. Aber “wir haben bereits begonnen zu erheben, wer die betroffenen Personen sind, und bereiten bereits vor, diese Personen zu informieren.” Dazu müsse man allerdings erst verifizieren, welche Daten genau abgezogen wurden.

Problematisches E-Mail im April

Experte Granig geht davon aus, dass es sich nicht um einen gezielten Angriff auf das Land Kärnten gehandelt habe, “sondern eine Attacke wie sie viele andere Unternehmen erleben”. Er vermutet daher, dass die Täter “nicht in eine Detailanalyse der Landesregierung einsteigen” werden. Es gebe Hinweise, dass es sich um russische Hacker handle. “Der russische Diktator Putin hat eine Welt geschaffen in Russland, in der Straftaten im Bereich der Cybercrime sehr positiv dargestellt” und Hacker, die westliche Unternehmen angreifen, als Helden gefeiert würden. Nicht jeder Täter gehöre zum russischen Geheimdienst, vielmehr gebe es “zehntausende freischaffende Hacker. Es ist zumindest eine staatlich geduldete und unterstützte Struktur”, so Granigs Einschätzung.

Laut Brunner sei gesichert, dass es sich um eine Phishing-Attacke gehandelt habe. Der Eintrittsvektor sei ein problematisches E-Mail an einem Arbeitsplatz im April gewesen. Die Schadsoftware habe sich dann über eine bekannte Betriebssystem-Schwachstelle ausgebreitet. Am 24. Mai seien die Auswirkungen sichtbar geworden, weil die Verschlüsselung begann. Mittlerweile seien nur mehr Systeme offline, die nicht so hohe Brisanz hätten, versicherte der IT-Chef. Systeme, die im täglichen Betrieb wichtig sind wie etwa das Passwesen, seien weitgehend wieder online. Notwendige Auszahlungen im Sozialbereich seien verfügbar und wurden auch schon durchgeführt.

Cybercrime-Experte Cornelius Granig, der Kärntner Landeshauptmann Peter Kaiser (SPÖ), der Leiter der IT-Abteilung des Landes Kärnten Harald Brunner und Viola Trettenbrein vom Landesamt Verfassungsschutz und Terrorismusbekämpfung (LVT) am Montag, 06. Juni 2022, im Rahmen einer Pressekonferenz des Land Kärnten zum Thema "Update Hackerangriff auf Kärntner Landesverwaltung" in Klagenfurt. FOTO: APA/GERT EGGENBERGER

Ermittlungen sind zäh

Das Land habe “sofort nach Erkennen dieses Angriffs alle erdenklichen Maßnahmen ergriffen”, sagte Kaiser. Man werde nun die Systeme nach Wichtigkeit für die Bürger wieder herstellen. Er betonte, dass man dabei bleiben werde, kein Lösegeld zu zahlen. Auch für Granig würde das keinen Sinn machen: Das Land habe sich erfolgreich aus dem Verschlüsselungsangriff befreit. Wenn man für gestohlene Daten Geld zahle, damit diese nicht veröffentlicht werden, gebe es keine Sicherheit, dass sich die Täter an dieses Versprechen halten. Die Zahlungen in Kryptowährungen würden beispielsweise verwendet, um “Handelsplattformen für Drogen, Waffen und Kinderpornografie aufzubauen”, daher solle man der Erpressung prinzipiell nicht nachgeben.

Das Land habe mit der Datenschutzbehörde Kontakt aufgenommen “und drei externe Firmen sind unmittelbar mit der Beweismittelsicherung beauftragt worden”, so Kaiser. Die Ermittlungen in derartigen Fällen seien aufgrund der internationalen Verflechtungen zäh, schilderte Viola Trettenbrein vom Landesamt für Verfassungsschutz und Terrorismusbekämpfung (LVT). Das LVT habe einen Erstbericht an die Staatsanwaltschaft Klagenfurt abgegeben, und sieht den Tatbestand der schweren Erpressung. Granig betonte, dass die Sicherheitsvorkehrungen des Landes gut gewesen seien.