Die Hackergruppe "Lockbit" - internationalen Ermittlern zufolge "die schädlichste Cyberkriminalitätsgruppe der Welt" - dürfte auch in Österreich ihre Kreise gezogen haben. Der Cyberangriff auf die Stadtgemeinde Korneuburg soll auf das Konto des Bündnisses gehen. In einer internationalen Polizeiaktion wurde "Lockbit" das Handwerk gelegt, beteiligt war nach Angaben von Innenminister Gerhard Karner (ÖVP) auch das Bundeskriminalamt.

Federführend bei den Erhebungen waren die National Crime Agency (NCA) in Großbritannien sowie Europol. Am Dienstag gingen die Ermittler in die Offensive. In Polen und der Ukraine wurden zwei "Lockbit"-Akteure festgenommen, berichtete Europol in einer Aussendung. Mehr als 200 mit der Gruppe verbundene Kryptowährungskonten seien eingefroren, 34 Server in den Niederlanden, Deutschland, Finnland, Frankreich, der Schweiz, Australien, den USA und in Großbritannien abgeschaltet worden.

Ransomware ist in den letzten Jahren zu einer immer größeren Bedrohung geworden.
IMAGO/Zoonar.com/Andres Victorer

Innenminister Karner berichtete in einem schriftlichen Statement von zahlreichen Sicherstellungen und Hausdurchsuchungen. "Auch das österreichische Bundeskriminalamt wirkte unterstützend an den Maßnahmen mit", wurde betont. "Die internationale Kooperation ist entscheidend im konsequenten Vorgehen gegen die Cyberkriminalität. Das Bundeskriminalamt hat zum Gelingen der internationalen Ermittlungsmaßnahmen beigetragen", hob der Minister hervor.

Gegenüber dem STANDARD bestätigt die Direktion Staatsschutz und Nachrichtendienst (DSN) den Einsatz von Lockbit in der Causa Korneuburg. Mit Verweis auf noch laufende Ermittlungen möchte man derzeit aber keine näheren Auskünfte erteilen. Gegenüber der APA hatte das DSN erklärt, bei den internationalen Ermittlungen "unterstützend mitgewirkt" und "Daten zugeführt" zu haben. Weitere mögliche Angriffe in Österreich werden demnach aktuell geprüft.

Der Cyberangriff auf die Stadtgemeinde Korneuburg wurde in der Nacht auf den 5. Februar verübt. "Aus Sicherheitsgründen wurde das gesamte Gemeindenetzwerk stillgelegt", wurde auf der kommunalen Homepage zurückgeblickt. In weiterer Folge sei ein Notbetrieb eingerichtet worden. "Das Tagesgeschäft läuft an und es sind Beurkundungen möglich. Es gibt keine Einschränkungen bei der technischen Schulverwaltung", hieß es weiter.

Europol

"Aktuell ist die Stadtgemeinde Korneuburg immer noch nicht da, wo wir vor dem Angriff waren, aber wir können rund zwei Drittel unserer PC und unserer Server mittlerweile bedienen, die sind entschlüsselt worden", sagte Korneuburgs Bürgermeister Christian Gepp (ÖVP) laut ORF Niederösterreich zum aktuellen Stand der Dinge. Auf eine Lösegeldforderung der Hacker an das Rathaus sei nicht eingegangen worden.

Weltweit sollen tausende Menschen Opfer von "Lockbit" geworden sein. Die Bande war seit vier Jahren aktiv und dürfte Milliarden erbeutet haben. Die Gruppierung soll auch an aufsehenerregenden Hackerangriffen beteiligt gewesen sein, beispielsweise Anfang 2023 in Großbritannien auf den Postdienstleister Royal Mail. In den USA werden der Gruppe Angriffe auf mehr als 1.700 Organisationen aus mehreren Branchen angelastet.

Ransomware ist in den vergangenen Jahren zu einer immer größeren Bedrohung geworden, die für die Täterinnen und Täter sehr lukrativ ist. Zwar gibt es auch Angriffe gegen öffentliche Einrichtungen und Privatpersonen, hauptsächlich haben es die Cyberkriminellen aber auf Firmen abgesehen. Mittlerweile ist die Komplexität solcher Angriffe deutlich gewachsen. Angreifer sind in der Lage gezielt ganze Netzwerke und Systeme zu verschlüsseln. Gleichzeitig etablieren sich einschlägige Gruppen in dem Bereich zunehmend als Dienstleister, die ihre Ransomware-Lösungen Dritten als "Software-as-a-Service" (SaaS) anbieten. Gegen Entgelt können somit auch bösartige Akteure, die selbst nicht über entsprechendes Knowhow verfügen, Angriffe durchführen, wobei die Anbieter mitunter auch die Zahlungsabwicklung übernehmen.

Für Betroffene von Lockbit und anderer Ransomware haben die Ermittlungsbehörden die Website "No More Ransom" ins Netz gestellt. Dort finden sich Werkzeuge, mit denen in vielen Fällen eine Entschlüsselung der Daten möglich ist. (APA, red, 21.2.2024)