Frage: Worum geht es eigentlich?

Antwort: Das Land Kärnten hat am 25. Mai – ironischerweise der vierte Jahrestag des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) – publik gemacht, dass man am Vortag von Hackern angegriffen worden sei. Schon damals war bekannt, dass hinter dem Angriff die internationale Hackergruppe Black Cat steckt. Diese forderte ein Lösegeld in Höhe von fünf Millionen Euro in Bitcoin für eine Software, mit der man die verschlüsselten Daten wieder hätte entschlüsseln können. Mehr wurde nicht öffentlich gemacht.

Anfang Juni wurde der Hackerangriff auf Kärnten durch einen auf Twitter veröffentlichten Screenshot konkreter. Der IT-Sicherheitsexperte Sebastian Bicchi behauptete, im Netz aufgetauchte Ordner gefunden zu haben, die Namen wie "Reisepässe", "Impfungen" oder "Cards" trugen. Diese würden von einem Hack gegen das Land Kärnten stammen, schrieb Bicchi, und seien jetzt im Darknet teilweise verfügbar.

Frage: Wie ist es den Hackern gelungen, in die Systeme einzudringen?

Antwort: Von den handelnden Personen wird stets betont, dass die IT-Sicherheit des Landes sehr ausgereift sei. Dies wird auch vom externen Experten Cornelius Granig bestätigt: Unter anderem verfüge das Land über eine Zertifizierung zu IT-Sicherheit, die "mit dem Pickerl fürs Auto" vergleichbar sei. Alle zwei Jahre muss dieses im Rahmen einer externen Prüfung erneuert werden – trotzdem konnten die Hacker anscheinend frei agieren, indem sie bereits im April über eine E-Mail Schadsoftware auf einem Rechner installierten und anschließend in Ruhe die Möglichkeiten und verfügbaren Daten evaluierten, bevor sie schließlich die Systeme verschlüsselten und das Lösegeld forderten.

Frage: Wer sind die Hacker, die unter dem Namen Black Cat auftreten?

Antwort: Die Hackergruppe Black Cat, auch bekannt unter dem Namen ALPHV, sorgt seit Ende 2021 für Schlagzeilen. Ihr Geschäftsmodell nennt sich "Ransomware-as-a-Service", also das Bereitstellen ihrer sehr modernen Infrastruktur und des eigenen Schadcodes, um Angriffe von Dritten auf potenzielle Opfer zu ermöglichen. Die Diebstähle von Daten werden sowohl durch die Ausnutzung allgemeiner Schwachstellen in Netzwerkinfrastrukturgeräten wie VPN-Gateways sowie den Missbrauch von Anmeldeinformationen über ungeschützte RDP-Hosts (Remote Desktop Protocol) begünstigt.

Laut dem Cybercrime-Experten und Kärnten-Berater Cornelius Granig handelt Black Cat mit russischen Strukturen. Wer die handelnden Personen seien, könne man aber nicht feststellen.

Frage: Wie haben die Verantwortlichen in Kärnten auf die Verschlüsselung reagiert?

Antwort: Teils unter Zuhilfenahme externer Dienstleister wurden die Systeme schrittweise wieder hochgefahren, zudem wurden Meldungen bei der Datenschutzbehörde gemacht, man ist in ständigem Kontakt mit dem Landesamt Verfassungsschutz und Terrorismusbekämpfung (LVT) Kärnten. Bei dem Wiederhochfahren gilt für die Verantwortlichen die Prämisse "Sicherheit vor Schnelligkeit", weshalb unter anderem die Website des Landes Kärnten noch immer offline ist.

Frage: Und wie wird mit dem möglichen Leak umgegangen?

Antwort: Erst nach den Vorwürfen des Sicherheitsexperten reagierte das Land Kärnten mit einer ersten Stellungnahme. In dieser wurde behauptet, es seien nur Daten gelesen, nicht aber entwendet worden. Am Montag hieß es, dass das entsprechende Datenpaket im Netz zwar existiere – man aber nicht bestätigen könne, dass es sich um die genannten Daten handle. Dies wird derzeit noch evaluiert, etwaige Betroffene sollen dann informiert werden.

Frage: Also ist noch nicht klar, ob persönliche Daten von Bürgerinnen und Bürgern gestohlen wurden?

Antwort: "Die am Sonntag fertiggestellte Analyse der IT zur im Darknet publizierten Verzeichnisliste zeigt, dass Datenmenge und Ablageorte korrelieren", sagte Harald Brunner, Leiter der IT-Abteilung des Landes, vergangene Woche in einer Pressekonferenz. "Was wir derzeit definitiv nicht sagen können: ob und welche Daten tatsächlich abgesaugt wurden. Diese Log-Auswertungen haben wir nicht." Am Montag gab es hierzu immerhin ein knappes Update: "Wir gehen davon aus, dass die veröffentlichten Daten mit den Daten des Landes übereinstimmen," teilte Landessprecher Gerd Kurath auf APA-Anfrage mit. Unklar bleibt, um welche Daten es sich wirklich handelt und ob die Drohung zu einer weiteren Veröffentlichung wirklich von den Hackern stammt.

Frage: Welche Dienste sind ausgefallen?

Antwort: Betroffen von den Angriffen waren das IT-System der Landesverwaltung, der Bezirkshauptmannschaften, des Landesrechnungshofes und des Verwaltungsgerichtes. Abgesehen davon, dass die Website des Landes Kärnten nicht erreichbar und damit viele Informationen beziehungsweise Online-Behördenwege offline waren, konnten kurzfristig auch vorgesehene Auszahlungstermine für die "Grundversorgungsleistungen für privat untergebrachte Hilfs- und Schutzbedürftige in Kärnten" nicht ausgezahlt werden. Ebenfalls betroffen war das Mailsystem des Landes, das nicht genutzt werden konnte, es konnten keine Pässe ausgestellt werden, und auch der Zugriff auf Datenbanken war nicht möglich. Kurz gesagt: Ein ganzes Bundesland war offline.

Frage: Zieht Kärnten in Betracht, das Lösegeld zu bezahlen?

Antwort: Alle Verantwortlichen in Kärnten haben von Anfang an die Zahlung eines Lösegelds ausgeschlossen. Wohl auch deshalb, weil man den Schaden laut eigenem Ermessen gering halten konnte. Später folgte im Darknet ein weiteres Ultimatum, in dem mit der Veröffentlichung von Daten gedroht wurde. Die Landesregierung will auf die Forderung nicht eingehen, betonte Kaiser ein weiteres Mal auf Anfrage des STANDARD: Man lasse sich nicht erpressen und arbeite nicht mit Verbrechern zusammen. Die geforderten fünf Millionen Dollar in Form von Bitcoin, die das Land Kärnten hätte zahlen sollen, war eine der höchsten Forderungen durch Black Cat, die jemals öffentlich wurden.

Frage: Kann sich eine ähnliche Situation auch in anderen Institutionen wiederholen?

Antwort: Experten gehen davon aus, dass es sich bei dem Angriff nicht um eine gezielte Attacke auf das Land Kärnten gehandelt hat. Vielmehr würde es den Angreifern vor allem um Geld gehen. Es seien "willkürlich Angriffsziele", in deren Systeme – über bekannte oder noch unbekannte Schwachstellen – versucht werde einzudringen. Somit können jederzeit andere Ministerien, Regierungseinrichtungen oder private Unternehmen Opfer solcher Attacken werden.

Frage: Wie kann ich mich selbst als Bürger schützen?

Antwort: Eigentlich kann man sich als Privatperson nicht gegen Angriffe auf Institutionen schützen, die Daten aller Österreicher oder auch nur einen Teil davon verwalten. Was bleibt, ist das Vertrauen in die Verantwortlichen, aus Geschehnissen wie diesen zu lernen. Und ein Bewusstsein dafür, selbst nach dem Prinzip der Datenminimierung vorzugehen – also im Zweifelsfall eher weniger als mehr Daten mit anderen zu teilen.

Frage: Wie geht es jetzt weiter?

Antwort: Das Land Kärnten ist weiterhin zögerlich, der Öffentlichkeit einen klaren Ablauf der Geschehnisse und das Ausmaß des Schadens kundzutun. Alle Services, die auch einen Monat nach dem Angriff noch nicht funktionieren, seien "in Arbeit". Zudem wird sich demnächst zeigen, ob tatsächlich persönliche Daten der Bürgerinnen und Bürger in die Hände der Hacker gelangt sind und veröffentlicht wurden. Landeshauptmann Peter Kaiser möchte zudem urgieren, dass öffentliche Institutionen das Thema Cybersicherheit mehr in den Mittelpunkt rücken – Kärnten kann dabei als Lehrbeispiel herhalten, denn unfreiwillige Erfahrungen mit dem Thema hat man nun mehr als genug gemacht. (aam, 7.6.2022)

Update, 7.6., 15:22: Es wurde die Aussage hinzugefügt, dass die Daten des Leaks vermutlich mit jenen des Landes übereinstimmen.