Hacker-Angriff auf Land Kärnten: Experten vermuten russische Tätergruppe
Seit fast zwei Wochen kämpft das Land Kärnten gegen "BlackCat". Das ist jene Hackergruppe, die die IT-Systeme der Verwaltung völlig lahmgelegt hat und fünf Millionen US-Dollar als Lösegeld erpresst. Neben der eigenen IT-Abteilung arbeiten bereits drei externe Cybercrime-Experten mit dem Land zusammen. Mittlerweile ist klar, wie die Täter in das System eindringen konnten: Schuld ist ein einziges Phishing-Mail aus dem April, das von einem Empfänger angeklickt und geöffnet wurde. "Ein Computer war der Eintrittsvektor", bestätigt Harald Brunner, Leiter der IT-Abteilung des Landes.
Ihre Krallen zeigte "BlackCat" aber erst gut einen Monat danach, am 24. Mai, punkt 5.47 Uhr, wurden die Daten des Landes verschlüsselt. Diese Vorgangsweise sei so üblich, beschreibt Cybercrime-Experte Cornelius Granig, der von Landeshauptmann Peter Kaiser (SPÖ) als Experte in das Team geholt wurde. "Der erste Schritt dieser Kriminellen ist, passiv zu schauen, was ist das für eine Organisation? Wie finanzkräftig ist sie?" Erst, wenn das Opfer lukrativ erscheine, beginne der aktive Teil mit Verschlüsselung und Absaugen von Daten sowie der Erpressung.
Granig vermutet übrigens eine "russische Tätergruppe" hinter dem Angriff. "Diktator Putin hat in Russland eine Welt geschaffen, in der Cybercrime-Täter als Helden dargestellt werden. Wir reden da von Zehntausenden Leuten, die da aktiv sind. Das ist eine staatlich geduldete und unterstützte Struktur."
Die schwarze Katze dürfte Kärnten aber eher zufällig getroffen haben. "Das Land ist eines von vielen Opfern weltweit", überlegt Granig. "Jeden Tag werden Millionen von Spam-Mails verschickt und irgendjemand macht dann eines auf." Das Landesamt für Verfassungsschutz und Terrorismusbekämpfung ermittelt, jedoch dämpft Mitarbeiterin Victoria Trettenbein allzu große Hoffnungen. "Es sind internationale Rechtshilfeersuchen nötig, das immer langwierig."
Cornelius Granig hat zudem wenig optimistische Zahlen parat: Im Bereich des Cybercrime liege die Aufklärungsquote generell nur bei 25 Prozent - und im Darknet "ist sie sehr, sehr gering, weil die Tätergruppen dort völlig anonym unterwegs sind". Das Darknet ist jener Bereich des Internets, der nur mit spezieller Software erreichbar ist. Dort ist auch "BlackCat" zu Hause. Nach wie vor unklar ist, ob und falls ja, welche Daten abgesaugt wurden. "BlackCat" gibt ja an, auch personenbezogene Daten von fünf Gigabyte veröffentlicht zu haben. "Das können wir nicht bestätigen, wir haben die Auswertung einfach nicht", bedauert IT-Chef Brunner.
Aufgefallen ist allerdings am Montag ein Eintrag während einer Online-Pressekonferenz des Landes: In der Chat-Funktion tauchte neuerliche Forderung nach Geld auf. Ob sich allerdings tatsächlich "BlackCat" zugeschaltet hat oder sich ein Trittbrettfahrer wichtig machte, konnte am Montag nicht eruiert werden.
"Niemals zahlen"
Die Kärntner IT-Systeme wurden jedenfalls je nach Wichtigkeit für die Bürger wieder online gestellt. Reisepässe oder Führerscheine können seit vergangener Woche wieder ausgestellt werden. "Wir tun in dieser schwierigen Zeit alles, um das Wohl der Kärntner Bevölkerung sicherzustellen", betonte Landeschef Kaiser am Montag. Dazu gehöre aber auch, nicht auf die Forderungen der Täter einzugehen. "Das Land wird der Erpressung nicht stattgeben." Dazu rät auch Granig. "Man sollte niemals erwägen, zu zahlen. Was würde denn dann mit dem Geld passieren? Damit würden andere Plattformen aufgebaut - für Drogen, Waffen , Kinderpornografie."
Kaiser will die "schmerzhaften Kärntner Erfahrungen" auch auf eine politische Ebene heben: "Wir brauchen gegen Cybercrime verbesserte legistische Voraussetzungen und mehr Personal, das speziell geschult ist." Das werde er auch bei der nächsten Sitzung der Landeshauptleutekonferez einbringen, ebenso die Forderung nach einer Informationskampagne, um "Bürger zu sensibilisieren".
Das betrifft vor allem die Wege, auf denen Kriminelle in die Computersysteme eindringen können, warnt IT-Experte Granig: "Das sind Spam-Mails oder USB-Sticks, und das schon seit vielen Jahren."