Wie Kärntens Computer lahmgelegt wurden
Von David Kotrba
Fünf Millionen Dollar verlangen Hacker dafür, dass die IT-Systeme des Landes Kärnten aus einer Art Geiselhaft befreit werden. Die Computer der Landesverwaltung wurden mittels Erpressungssoftware (Ransomware) verschlüsselt. Eine Entschlüsselung gibt es laut den anonymen Angreifer*innen nur bei Zahlung eines Lösegeldes. Derzeit wird fieberhaft daran gearbeitet, das IT-System auf andere Weise zu retten. Teilweise ist das auch schon gelungen (siehe rechts). Zu dem Vorfall gibt es noch viele offene Fragen.
Wie könnte der Angriff abgelaufen sein?
Genaueres darüber, wie die Ransomware auf die Rechner der Landesverwaltung gelangt ist, erfährt man momentan noch nicht. „Es geht jetzt um Schadensbehebung und darum, die Kontrolle über das System wieder zu erlangen“, erklärt Wolfgang Rosenkranz von der Cybersicherheitsstelle CERT.at die Prioritäten. In Kärnten war bereits am 14. Mai ein Benutzerkonto geknackt worden, von dem aus die Schadsoftware verbreitet wurde.
Im Allgemeinen beginnen Ransomware-Angriffe öfters damit, dass Nutzerkonten geknackt werden, weil Mitarbeiter*innen auf Tricks reinfallen und ihre Zugangsdaten preisgeben (Phishing). Die Wiederverwendung von Passwörtern, die auf anderen Webseiten bei Cyberangriffen ergattert wurden, ist ein weiteres Einfallstor. Dass zwischen Zugang und Angriff auch schon mal – wie im Fall Kärnten – zehn Tage vergehen können, erklärt sich damit, dass Angreifer auch in einem zugänglichen System Sicherheitsbarrieren überwinden und Lücken finden müssen. Der Verschlüsselungsvorgang an sich sei schnell erledigt.
Wann funktionieren die Systeme wieder?
"In der Regel muss man den Angreifer zunächst finden und aus dem System hinaus bekommen", meint Rosenkranz: "Parallel muss man Hintertüren schließen, die Angreifer üblicherweise errichten." Das Ganze werde nicht mehr allzu lange dauern, ist der Experte überzeugt. "Dass man aber ein komplettes System überprüft und resistenter gegen künftige Angriffe macht, das kann schon ein paar Wochen dauern."
Wer ist BlackCat?
Die Hacker*innengruppe forderte im Internet Lösegeld von Kärnten. Eigentlich handelt es sich dabei um einen Dienstleister für andere Cyberkriminelle, der die Schadsoftware zur Verfügung stellt, mit den Opfern kommuniziert und dafür einen Prozentsatz am Lösegeld kassiert. Die eigentlichen Angreifer*innen kümmern sich darum, Zugang zu den Computersystemen der Opfer zu erlangen. BlackCat, auch als ALPHV bekannt, verwendet viele etablierte Hacking-Werkzeuge. Aus einem Update für eines davon geht hervor, dass verstärkt Industrieunternehmen ins Visier genommen werden. Lösegeldforderungen im Internet sind Prahlerei und sollen zeigen, welche Unternehmen oder Institutionen aktuell erpresst werden.
An wen wenden sich Betroffene?
Ganz grundsätzlich sollte man eine Anzeige bei der Polizei machen. Dann wird eine ganze Reihe von Cybersicherheitsstellen eingebunden. Eine ist etwa das GovCERT, eine Expert*innengruppe für die Sicherheit von Verwaltungs-IT-Systemen. "GovCERT und CERT stehen immer zur Verfügung, wenn es darum geht, Hilfe zu organisieren. Wir haben ein breites Netzwerk, das Werkzeuge und Ratschläge hat, was man in so einer Situation machen kann", sagt Rosenkranz. Im Idealfall informiert man – wie es Kärnten auch getan hat – sofort jenen IT-Dienstleister, der das eigene System bereits kennt. "Für jemanden, der das System noch nie gesehen hat, ist es schwieriger, zu helfen."
Soll man das Lösegeld zahlen?
"Die Polizei wird immer empfehlen, nicht zu zahlen", sagt Christian Baumgartner, der Leiter der IT-Abteilung im Landeskriminalamt Kärnten. "Es wäre ja ein Wahnsinn, wenn man Täter finanziell unterstützt und man hat keine Garantien, dass man wirklich ein Entschlüsselungsprogramm bekommt oder danach nicht noch weitere Hintertüren im System verbleiben." Seien Systeme einmal infiziert, komme man kaum um das komplette Neuaufsetzen herum.
Wie kann man sich schützen?
"Einen hundertprozentigen Schutz gibt es nicht", sagt Rosenkranz. "Man kann nur versuchen, die Gefahr zu minimieren." Virenschutz, Schulungen von Mitarbeiter*innen und das Anlegen von Backups seien die wichtigsten Maßnahmen, ergänzt Baumgartner. Bei Backups müsse man aber aufpassen, meint Rosenkranz. "Wenn sie zu alt sind, ist das ein Problem. Außerdem darf man Backups nie ungeprüft einspielen." Auch sie könnten mit Schadsoftware manipuliert worden sein.