Nach dem Hack der Kärntener Landesregierung durch die Hackergruppe Black Cat hat es in den vergangenen Tagen weitere Angriffe gegen das Land Kärnten gegeben, die jedoch allesamt abgewehrt wurden, wie Landeshauptmann Peter Kaiser (SPÖ) am Montag in einer Pressekonferenz verkündete. Dabei handelte es sich um sogenannte DDoS-Attacken: Umgangssprachlich als "Überlastungsangriffe" bezeichnet, werden hier so lange Anfragen an einen Server geschickt, bis dieser unter der Last kollabiert.

Lösegeld wird nicht gezahlt

Der Hackerangriff war vor knapp zwei Wochen bemerkt worden, betroffen war das IT-System der Landesverwaltung, der Bezirkshauptmannschaften, des Landesrechnungshofes und des Verwaltungsgerichtes. Die Hackergruppe Black Cat hatte sich beim Land Kärnten gemeldet und fünf Millionen Dollar Lösegeld in Bitcoins gefordert.

Später folgte im Darknet ein weiteres Ultimatum, in dem mit der Veröffentlichung von Daten gedroht wurde. Die Landesregierung will auf die Forderung nicht eingehen, betonte Kaiser ein weiteres Mal auf Anfrage des STANDARD: Man lasse sich nicht erpressen und arbeite nicht mit Verbrechern zusammen.

Dieses Vorgehen wird auch von dem IT & Cybercrime-Experten Cornelius Granig unterstützt, welcher das Land Kärnten in der aktuellen Krise berät. Denn unter anderem sei problematisch, dass der Erlös von den Verbrechern anschließend genutzt wird, um weitere kriminelle Strukturen zu schaffen – etwa Marktplätze für Waffen, Drogen und Kinderpornografie im Darknet.

Spuren nach Russland

Granig beruft sich auf FBI-Informationen, laut denen Hackergruppe Black Cat mit russischen Strukturen handelt. Freilich ist die Identität und somit die Herkunft der handelnden Personen zwar nicht identifizierbar, da diese anonym agieren und ihre Spuren verwischen.

Allerdings führe Russland einen regelrechten Cyberwar gegen den Westen, so Granig. Bei den Tätern handle es sich nicht um russische Beamte, aber um zehntausende frei agierende Hacker, die in Russland zumindest geduldet und teilweise auch unterstützt werden. "Der russische Diktator Putin hat eine Welt geschaffen in Russland, in der Straftaten im Bereich der Cybercrime sehr positiv dargestellt" und Hacker, die westliche Unternehmen angreifen, als Helden gefeiert würden, so Granig.

Österreich ist schlecht geschützt

Von den handelnden Personen wird dabei stets betont, dass die IT-Sicherheit des Landes eigentlich sehr ausgereift sei. Dies wird auch vom externen Experten Granig bestätigt: Unter anderem verfüge das Land über eine Zertifizierung zu IT-Sicherheit, die "mit dem Pickerl fürs Auto" vergleichbar sei. Alle zwei Jahre muss dieses im Rahmen einer externen Prüfung erneuert werden – trotzdem konnten die Hacker anscheinend frei agieren, indem sie bereits im April über eine Email Schadsoftware auf einem Rechner installierten und anschließend in Ruhe die Möglichkeiten und verfügbaren Daten evaluierten, bevor sie schließlich die Systeme verschlüsselten und das Lösegeld forderten.

Gerade weil man trotz der zahlreichen Maßnahmen Opfer eines Angriffs wurde, kann Kärnten somit als eine Art Musterbeispiel gelten – und Kaiser möchte entsprechend gegenüber den anderen Landeshautleuten urgieren, dass die Präventionsarbeit gestärkt wird. Man brauche entsprechende legistische Möglichkeiten ebenso wie mehr geschultes Personal. Kärnten werde in diesem Sinne seine Erfahrungswerte auch den anderen Ländern zur Verfügung stellen.

Der besagte Hack fand nur wenige Wochen statt, nachdem in einem Bericht des Rechnungshofs diverse Mängel im Schutz vor Cyberangriffen geortet wurden. In etwa zeitgleich hatten zahlreiche westliche Geheimdienste vor russischen Cyberangriffen auf westliche Infrastruktur gewarnt.

Innenministerium braucht "mehrere Jahre"

Das im Bericht des Rechnungshofs mehrfach als Verantwortlicher genannte Innenministerium berief sich in dieser Thematik auf eine Anfrage des STANDARD von Ende Mai auf diverse Vorgaben und Prozesse, die einzuhalten seien und schloss das per Email übermittelte Statement mit der folgenden Aussage:

"Der sinnvolle Einsatz von IKT-Lösungen größeren Ausmaßes (z.B. ein auf Freiwilligkeit beruhendes "IOC-basiertes Frühwarnsystem") bedarf einer ressourcenintensiven Planung und Vorbereitung, um einen echten Mehrwert für Beteiligte zu generieren. Solche Projekte können – wie auch Beispiele aus anderen EU-Mitgliedstaaten zeigen – mehrere Jahre in Anspruch nehmen. Der Empfehlung des Rechnungshofs entsprechend soll weiterhin daran gearbeitet werden."

Unklarheit zu Leaks

Zurück nach Kärnten: Dort herrscht weiterhin Unklarheit zu den Medienberichten, laut denen vergangene Woche diverse Daten von Kärntnerinnen und Kärntnern im Rahmen eines Leaks aufgetaucht seien – darunter auch Passkopien inklusive diverser persönlicher Daten sowie Ergebnisse von Coronatests. Demnach droht die Hackergruppe Black Cat mit der Veröffentlichung weiterer derartiger Daten, sofern das Lösegeld nicht gezahlt werde.

Diesbezüglich mahnte man nach den Beschwichtigungen von Freitag auch am Montag vor voreiligen Schlüssen, zumal man noch dabei sei, die Situation zu evaluieren. Nicht selten seien solche vermeintlichen Leaks gefälscht. Zwar sei bestätigt, dass ein recht umfangreiches Datenpaket vorhanden sei, deren Echtheit sei aber nicht verifiziert.

"Die am Sonntag fertiggestellte Analyse der IT zur im Darknet publizierten Verzeichnisliste zeigt, dass Datenmenge und Ablageorte korrelieren", sagt Harald Brunner, Leiter der IT-Abteilung des Landes, ein: "Was wir derzeit definitiv nicht sagen können: Ob und welche Daten tatsächlich abgesaugt wurden. Diese Log-Auswertungen haben wir nicht" Falls tatsächlich Bürgerinnen und Bürger betroffen seien, werde man diese informieren.

Im Chat der Pressekonferenz kündigte indes ein unbekannter Teilnehmer an, am Montagabend weitere Daten zu leaken, sofern kein Lösegeld gezahlt werde.

Opposition meldet sich zu Wort

Team Kärnten-Chef Gerhard Köfer kündigte an, die Cyber-Attacke in der Landtagssitzung am Donnerstag zum Thema zumachen. Er will geklärt wissen, wie gut das Land wirklich vorbereitet war und sorgt sich um die personelle Ausstattung der IT-Abteilung: "Bereits seit dem Vorjahr hat das Land einen Chief Digital Officer gesucht. Der neue IT-Chef hat allerdings erst vor wenigen Tagen den Job angetreten, Wochen nachdem sein Vorgänger in Pension gegangen ist", so Köfer. (Stefan Mey, 6.6.2022)

Update, 13:24: Statement der Opposition und Drohung der Hacker hinzugefügt.