Russische Hackergruppe hinter Angriff auf Kärnten?

Nahmen die Hacker auch an einer Pressekonferenz des Landes teil? Chat lässt darauf schließen.

Nach dem Hackerangriff auf das Land Kärnten geht Cybercrime-Experte Cornelius Granig von russischen Tätern aus. Wie Landeshauptmann Peter Kaiser (SPÖ) am Montag in einer Pressekonferenz berichtete, seien zwar weitere Überlastungsangriffe abgewehrt worden, darüber ob tatsächlich Daten veröffentlicht wurden, besteht jedoch nach wie vor Unklarheit. Eine Analyse der Landes-IT legt das aber nahe. Im Chat zur Pressekonferenz könnte es eine weitere Drohung der Täter gegeben haben.

Der Hackerangriff war vor knapp zwei Wochen bemerkt worden, betroffen war das IT-System der Landesverwaltung, der Bezirkshauptmannschaften, des Landesrechnungshofes und des Verwaltungsgerichtes. Die Hackergruppe BlackCat forderte fünf Millionen Dollar Lösegeld in Bitcoins, später folgte im Darknet ein weiteres Ultimatum, in dem mit der Veröffentlichung von Daten gedroht wurde. U.a. laut dem Wiener IT-Security-Unternehmer Sebastian Bicchi seien im Darknet auch wirklich bereits Dateien veröffentlicht worden, darunter Ausweise, Reisepässe, Corona-Tests und politische Positionspapiere.

Das Land hat bisher nicht bestätigt, dass Daten publiziert wurden, es könne sich auch nur um Dateilisten gehandelt haben, hieß es stets. Aber: „Die am Sonntag fertiggestellte Analyse der IT zur im Darknet publizierten Verzeichnisliste zeigt, dass Datenmenge und Ablageorte korrelieren“, räumte Harald Brunner, Leiter der IT-Abteilung des Landes, ein. „Was wir derzeit definitiv nicht sagen können: Ob und welche Daten tatsächlich abgesaugt wurden. Diese Log-Auswertungen haben wir nicht“, erklärte er. Daher könne man die Frage nicht seriös beantworten. Aber „wir haben bereits begonnen zu erheben, wer die betroffenen Personen sind, und bereiten bereits vor, diese Personen zu informieren.“ Dazu müsse man allerdings erst verifizieren, welche Daten genau abgezogen wurden.

Cybercrime-Experte Cornelius Granig, Landeshauptmann Peter Kaiser, der Leiter der IT-Abteilung des Landes Kärnten, Harald Brunner und Viola Trettenbrein vom Landesamt für Verfassungsschutz und Terrorismusbekämpfung gaben Auskunft über den aktuellen Stand im Abwehrkampf gegen vermutlich russische Hacker. Foto: APA/Eggenberger

Experte Granig geht davon aus, dass es sich nicht um einen gezielten Angriff auf das Land Kärnten gehandelt habe, „sondern eine Attacke wie sie viele andere Unternehmen erleben“. Er vermutet daher, dass die Täter „nicht in eine Detailanalyse der Landesregierung einsteigen“ werden. Es gebe Hinweise, dass es sich um russische Hacker oder welche, „die mit russischen Strukturen arbeiten“, handle. „Der russische Diktator Putin hat eine Welt geschaffen in Russland, in der Straftaten im Bereich der Cybercrime sehr positiv dargestellt“ und Hacker, die westliche Unternehmen angreifen, als Helden gefeiert würden. Nicht jeder Täter gehöre zum russischen Geheimdienst, vielmehr gebe es „zehntausende freischaffende Hacker. Es ist zumindest eine staatlich geduldete und unterstützte Struktur“, so Granigs Einschätzung.

Im Chat der Pressekonferenz, in dem online teilnehmende Journalisten schriftlich Fragen stellen konnten, tauchte dann ein Eintrag auf, der Fragen aufwirft: Ein unbekannter User drohte sinngemäß mit der Veröffentlichung weiterer Daten, wenn kein Lösegeld gezahlt werde.

Laut Brunner sei gesichert, dass es sich um eine Phishing-Attacke gehandelt habe. Der Eintrittsvektor sei ein problematisches E-Mail an einem Arbeitsplatz im April gewesen. Die Schadsoftware habe sich dann über eine bekannte Betriebssystem-Schwachstelle ausgebreitet. Am 24. Mai seien die Auswirkungen sichtbar geworden, weil die Verschlüsselung begann. Mittlerweile seien nur mehr Systeme offline, die nicht so hohe Brisanz hätten, versicherte der IT-Chef. Systeme, die im täglichen Betrieb wichtig sind wie etwa das Passwesen, seien weitgehend wieder online. Notwendige Auszahlungen im Sozialbereich seien verfügbar und wurden auch schon durchgeführt.

Das Land habe „sofort nach Erkennen dieses Angriffs alle erdenklichen Maßnahmen ergriffen“, sagte Kaiser. Man werde nun die Systeme nach Wichtigkeit für die Bürger wieder herstellen. Er betonte, dass man dabei bleiben werde, kein Lösegeld zu zahlen. Auch für Granig würde das keinen Sinn machen: Das Land habe sich erfolgreich aus dem Verschlüsselungsangriff befreit. Wenn man für gestohlene Daten Geld zahle, damit diese nicht veröffentlicht werden, gebe es keine Sicherheit, dass sich die Täter an dieses Versprechen halten. Die Zahlungen in Kryptowährungen würden beispielsweise verwendet, um „Handelsplattformen für Drogen, Waffen und Kinderpornografie aufzubauen“, daher solle man der Erpressung prinzipiell nicht nachgeben.

Das Land habe mit der Datenschutzbehörde Kontakt aufgenommen „und drei externe Firmen sind unmittelbar mit der Beweismittelsicherung beauftragt worden“, so Kaiser. Die Ermittlungen in derartigen Fällen seien aufgrund der internationalen Verflechtungen zäh, schilderte Viola Trettenbrein vom Landesamt für Verfassungsschutz und Terrorismusbekämpfung (LVT). Das LVT habe einen Erstbericht an die Staatsanwaltschaft Klagenfurt abgegeben, und sieht den Tatbestand der schweren Erpressung. Granig betonte, dass die Sicherheitsvorkehrungen des Landes gut gewesen seien.

Team Kärnten-Chef Gerhard Köfer kündigte an, die Cyber-Attacke in der Landtagssitzung am Donnerstag zum Thema zu machen. Er will geklärt wissen, wie gut das Land wirklich vorbereitet war und sorgt sich um die personelle Ausstattung der IT-Abteilung: „Bereits seit dem Vorjahr hat das Land einen Chief Digital Officer gesucht. Der neue IT-Chef hat allerdings erst vor wenigen Tagen den Job angetreten, Wochen nachdem sein Vorgänger in Pension gegangen ist“, so Köfer.

2 Postings

Rudi

Und wieder sind die Russen schuld.

 
4
3
Sie müssen angemeldet sein, um ihre Stimme für dieses Posting abzugeben.
Tilda

Ah, Russland, die Bösen. Aber dass das Land Kärnten seine Daten anscheinend nicht sicher verwahrt, diesen Fehler will sich niemand eingestehen.

"Die Zahlungen in Kryptowährungen würden beispielsweise verwendet, um „Handelsplattformen für Drogen, Waffen und Kinderpornografie aufzubauen“, daher solle man der Erpressung prinzipiell nicht nachgeben." - Es ist unwahr, Kryptowährungen auf diese Art zu reduzieren. Das passiert doch mit jeglicher Art von Geld! Eine Kryptoüberweisung ist so gut wie anonym, daher wollen die Hacker das Lösegeld höchstwahrscheinlich auf diesem Wege. Hätte das Land auf Blockchaintechnologie (so wie bei bei Kryptowährungen) gesetzt, könnten die Daten nie so einfach gehackt werden. Meine Meinung

 
10
5
Sie müssen angemeldet sein, um ihre Stimme für dieses Posting abzugeben.
Ein Posting verfassen

Sie müssen angemeldet sein, um ein Posting zu verfassen.
Anmelden oder Registrieren