Angriff auf Kärnten: Phishing-Mail war Auslöser, Spuren nach Russland

Nach dem Cyberangriff der Gruppe BlackCat auf das Land Kärnten habe es mittlerweile weiter Angriffe - Überlastungsangriffe - gegeben, die aber abgewehrt wurden. Das berichtete Landeshauptmann Peter Kaiser (SPÖ) am Montag in einer Pressekonferenz. Das Eingehen auf die finanziellen Forderungen der Angreifer ist laut Kaiser weiterhin keine Option: "Der Erpessung wird nicht stattgegeben werden."

Dass am Freitag geleakte Daten von den Landesservern stammen,  wurde von der Kärntner Landesregierung nach wie vor nicht eindeutig bestätigt. Man habe den Datenbestand abgeglichen, es gebe Hinweise darauf, dass die Daten authentisch seien, Datenmenge und Ablageorte würden korrelieren, sagte der Leiter der IT-Abteilung des Landes, Harald Brunner.  Es gebe aber auch noch offene Fragen. Die Information betroffener Personen werde jedenfalls vorbereitet.

Der Hackerangriff war vor knapp zwei Wochen bemerkt worden, betroffen war das IT-System der Landesverwaltung, der Bezirkshauptmannschaften, des Landesrechnungshofes und des Verwaltungsgerichtes. Die Hackergruppe BlackCat hatte sich beim Land Kärnten gemeldet und fünf Millionen Dollar Lösegeld in Bitcoins gefordert. Später folgte ein weiteres Ultimatum, in dem mit der Veröffentlichung von Daten gedroht wurde.

Phishing-Mail als Ursache

Inzwischen konnte auch geklärt werden, wie der Angriff abgelaufen sei, sagte Brunner. Einfallstor war laut dem IT-Leiter des Landes eine Phishing-Mail, die von einem/r Mitarbeiter*in im April angeklickt wurde, und über die Schadsoftware, die eine Betriebssystemlücke ausnutzt, die Systeme des Landes infizierte.

Die Verschlüsselung der Daten habe dann am 24. Mai begonnen. Das Land habe als Sofortmaßnahme seine Systeme heruntergefahren, externe Partner zur Forensik und zur Bereinigung der Systeme herangezogen und mit der Rücksicherung der Daten aus Backups begonnen.

"Eines von vielen Opfern"

Das Land Kärnten sei eines von vielen Opfern weltweit, sagte Experte Cornelius Granig, der vor kurzem vom Land hinzugezogen wurde. Solche Spammails würde hunderte Millionen Mal pro Tag versendet. Granig: "Irgendjemand klickt darauf und das Problem beginnt."

Der Angriff sei weitgehend nach Schema abgelaufen. Die Kriminellen hätten nach dem Eindringen in die IT-Systeme geschaut, welche Daten es gebe und wie groß und finanzkräftig die Organisatione sei. Nach der Analyse und dem Habhaftwerden der Daten habe man mit der Veschlüsselung begonnen.

Den Forderungen der Angreifer dürfe man schon allein deswegen nicht nachgeben, weil damit weitere kriminelle Machenschaften finanziert würden, sagte Granig. Auch Datenlecks, die an die Öffentlichkeit gelangen, sollte man nicht für bare Münze nehmen, da auch die Möglichkeit bestehe, dass die Daten manipuliert worden seien.

Angreifer*innen aus Russland

Dass es sich bei den Angreifern um die Gruppe BlackCat handelt, bestätigten die Vertreter*innen des Landes. Granig sieht auch ein Naheverhältnis zu Russland. Diktator Putin habe in Russland eine Welt geschaffen, in der Cybercrime-Täter als Helden dargestellt würden. "Wir reden da von Zehntausenden Leuten, die da aktiv sind. Das ist eine staatlich geduldete und unterstützte Struktur."

Die Chancen, dass die Täter*innen geschnappt werden sind allerdings gering. Man habe ein internationales Rechtshilfeersuchen gestellt, sagte Viola Trettenbein vom Landesamt für Verfassungsschutz und Terrorismusbekämpfung (LVT). Die Aufklärungsquote bei solchen Delikten sei allerdings sehr gering.

Wiederherstellung läuft

Bei der Wiederherstellung der Systeme gehe man nach dem Prinzip "Sicherheit vor Schnelligkeit" vor, sagte Landes-IT-Leiter Brunner. Die Systeme würden reihum wieder in Betrieb genommen.

Hinweise darauf, dass auch die Sicherungskopien (Backups) von den Angreifer*innen kompromittiert worden seien, gebe es nicht. Die Homepage des Landes, die nach wie vor offline sei, werde in den nächsten Tagen wieder online gehen. Wegen der andauernden Überlastungsangriffe der Cybergang habe man bisher davon abgesehen.