Die Hackergruppe Black Cat hat in der Nacht auf Freitag offenbar erneut Daten veröffentlicht, die aus dem Hackerangriff auf die Kärntner Landesverwaltung Ende Mai stammen. Der Wiener IT-Unternehmer Sebastian Bicchi, der bereits vor zwei Wochen entsprechende Daten gesichtet hatte, veröffentlichte entsprechende Infos auf Twitter. Beim Land Kärnten war man bemüht, die Daten zu beschaffen, um sie abzugleichen, versicherte Landessprecher Gerd Kurath.

Bei dem nun veröffentlichten Datenpaket handle es sich um eine drei Gigabyte große Zip-Datei, erklärte Kurath. Man könne vorerst nicht bestätigen, dass das Material wieder aus dem Hackerangriff stamme, weil es nicht so einfach sei, die Daten zu beschaffen: Durch "veraltete Technik" im Darknet dauere der Download sehr lange. Es sei aber davon auszugehen, dass die Daten noch online sind, sagte Kurath zu Mittag.

Obwohl man die Daten noch nicht vorliegen habe, glaube man, in die "nächste Phase" des Angriffs überzugehen, meinte Kurath: Eine Phase, in der "Information beziehungsweise Desinformation gestreut wird". Es sei möglich, dass die nun veröffentlichten Daten "nicht 1:1 jene Daten sind, die bei uns gespeichert wurden. Man muss davon ausgehen, dass sie verändert werden, um Desinformation zu schüren". Beispiele hierfür konnte er nicht geben – zu den Motiven der Hacker für eine mögliche Desinformation meinte Kurath, das diene dazu, den Druck auf das Land zu erhöhen.

Sicher sei man sich derzeit lediglich, dass es nach dem 24. Mai keinen weiteren Datendiebstahl gegeben habe: "Die Daten stammen also noch vom ersten Handlungsstrang. Auch wenn von den Hackern versucht wird, ein anderes Bild zu zeichnen."

".onion"-Links

Bereits vor genau zwei Wochen, am 3. Juni, hatten die Hacker Daten ins Internet gestellt, die aus dem Hackerangriff stammen. Damals landeten sie allerdings im "öffentlichen" Teil des Internets, der Link wurde auf Betreiben des Innenministeriums schnell gesperrt.

Nun wurden die Daten allerdings über einen ".onion"-Link geleakt: ".onion"-Links führen zu Webseiten, die nur im sogenannten Darknet mit einem speziellen Browser geöffnet werden können. Das stellt sicher, dass die Personen hinter den Webseiten anonym bleiben und schwer zu verfolgen sind. Und darin liegt laut Bicchi auch das Problem: Auf diese Art und Weise sei es nämlich nicht mehr so leicht, die Daten aus dem Netz zu bekommen.

Lösegeld gefordert

Nach dem Angriff Ende Mai, der weite Teile der Kärntner Landesverwaltung lahmgelegt hatte, hatte die Hackergruppe fünf Millionen Dollar Lösegeld in Bitcoin vom Land gefordert, worauf die Behörden aber nicht eingingen. Auch weiterhin betonte die Kärntner Landesregierung bei diversen Presseterminen, dass man kein Lösegeld zahlen werde.

Auf den Ausfall reagierte man, indem teils unter Zuhilfenahme externer Dienstleister die Systeme schrittweise wieder hochgefahren wurden. Die verschlüsselten Daten wurden aus Backups wieder hergestellt. Zudem wurden Meldungen bei der Datenschutzbehörde gemacht, man ist in ständigem Kontakt mit dem Landesamt Verfassungsschutz und Terrorismusbekämpfung (LVT) Kärnten.

Leak-Opfer wurden informiert

Nach und nach wurde aber auch bekannt, dass die Täter 250 Gigabyte Daten kopiert hatten. Vor allem handelte es sich dabei um Daten aus dem Büro von Landeshauptmann Peter Kaiser (SPÖ) und von weiteren Regierungsmitgliedern. Darunter waren aber auch Kopien von Reisepässen von Mitarbeitern der Landesregierung.

Laut Kurath sei man mit den Personen in Kontakt, deren Pässe geleakt wurden. Derzeit werden neue Pässe beantragt, die Kosten dafür wird das Land Kärnten übernehmen. Ankündigungen von Betroffenen, rechtlich gegen das Land vorzugehen, gebe es aktuell nicht, sagte Kurath auf Nachfrage. "Aber es gibt das große Interesse zu wissen, welche Daten gespeichert wurden." Dabei betonte er, dass sensible Daten im Sinne der DSGVO ohnehin nicht gespeichert worden seien. Solche Daten seien zum Beispiel Infos über die sexuelle Orientierung, politische Zugehörigkeit oder eine Mitgliedschaft bei einer Gewerkschaft.

Im Visier der schwarzen Katze

Hinter dem Angriff steht die Hackergruppe Black Cat, auch bekannt unter dem Namen ALPHV. Die Gruppierung sorgt seit Ende 2021 für Schlagzeilen. Ihr Geschäftsmodell nennt sich "Ransomware-as-a-Service", also das Bereitstellen einer modernen Infrastruktur und eigenen Schadcodes, um Angriffe von Dritten auf potenzielle Opfer zu ermöglichen. Die Diebstähle von Daten werden sowohl durch die Ausnutzung allgemeiner Schwachstellen in Netzwerkinfrastrukturgeräten wie VPN-Gateways sowie den Missbrauch von Anmeldeinformationen über ungeschützte RDP-Hosts (Remote Desktop Protocol) begünstigt.

Laut dem Cybercrime-Experten und Kärnten-Berater Cornelius Granig handelt Black Cat mit russischen Strukturen. Wer die handelnden Personen seien, könne man aber nicht feststellen. (APA/red 17.6.2022)

Update, 17.6., 16:52 Uhr: Informationen des Landes Kärnten wurden ergänzt.