Land wird von Hackern erpresst

In der Pressekonferenz am Mittwoch mit den neusten Entwicklungen zur IT-Lage hieß es, hinter dem Hack stecken doch Erpresser. Fünf Millionen Dollar will eine internationale Hackergruppe mit dem Namen „Black Cat“ in Bitcoin vom Land. Dann würde eine Software übermittelt, mit der die Daten freigegeben werde. Diese Organisationen versuchen einfach, rasch zu möglichst viel Geld zu kommen, sagte der EDV-Experten Holger Schmitz im Kärnten Heute Studio.

„Land wird nicht zahlen“

Der Sprecher des Landespressedienstes, Gerd Kurath, sagte, man sei bei der Überprüfung der Rechner auf die Lösegeldforderung gestoßen. Die Hackergruppe behaupte, Daten abgesaugt bzw. verschlüsselt zu haben. Man habe diesbezüglich aber keine Hinweise gefunden.

„Man hat uns eine Entschlüsselungssoftware angeboten, natürlich gegen Bezahlung“, sagte Kurath. Zahlen werde das Land aber nicht, es gebe aber noch Gespräche mit Spezialisten der Polizei. Zum einen gebe es keine Beweise dafür, dass tatsächlich Daten abgesaugt wurden, zum anderen seien sämtliche Daten auf Back-up-Systemen gesichert und daher weiterhin vorhanden.

Komplettausfall von Telefon und Mail

Beim Land funktioniert derzeit weder die Homepage noch die Telefonanlage noch das E-Mail-System mit der Endung „ktn.gv.at“. Betroffen sind daher auch die Bezirkshauptmannschaften und das Landesverwaltungsgericht. Auch die Auszahlung von sozialen Beihilfen war betroffen. Mit Hilfe einer externen Firma seien die ersten Auszahlungen bereits wieder vorgenommen worden, sagte Kurath. Es könne zwar noch zu Verzögerungen kommen, bis 2. Juni sollten aber alle Zahlungen vorgenommen worden sein, zeigte sich Kurath zuversichtlich. Am Mittwoch gebe es einen Notbetrieb, an sensiblen Bereichen arbeite man intensiv mit IT-Experten des Landes und auch einem externen Dienstleister, sagte Kurath.

Rund 90 Prozent der Server seien isoliert und Daten aus Back-ups rekonstruiert worden. Das Landesamt für Verfassungsschutz und Terrorismusbekämpfung sowie das Landeskriminalamt wurden eingeschaltet, die Ermittlungen laufen – mehr dazu in Hackerangriff: Land im Notbetrieb.

Virus seit zehn Tagen im Netzwerk

Laut einer ersten Analyse wurde bereits am 14. Mai ein Computer gehackt und so die Schadsoftware in das IT-System eingebracht. „Aktuell sind rund 100 der 3.700 IT-Arbeitsplätze des Landes infiziert. Über Nacht wurden die Server mittels einer Spezialsoftware untersucht. Einzelne Systeme konnten bereits in einem abgesicherten Bereich in Betrieb genommen werden“, schildert Kurath und verweist darauf, dass die IT-Systeme erst freigeschaltet werden, wenn man absolut sicher ist, dass die Schadsoftware eliminiert wurde. „Die Systeme werden schrittweise hochgefahren." Er rechne damit, dass das System in den nächsten Tagen zum Laufen gebracht werden könne, sagte Kurath.

Durch den Hackerangriff ist auch das Contact Tracing in den Bezirkshauptmannschaften betroffen. „Aktuell können keine Verdachtsfalltestungen vorgenommen werden. Bei einem positiven Selbsttest – oder einem Corona-Verdacht – sollte man einen Gurgeltest machen oder unter Einhaltung der Schutzmaßnahmen einen PCR-Test in einer Apotheke vornehmen“, sagt Kurath.

Verwaltung weiter im Notbetrieb

Im Bereich der Verwaltung ist man derzeit bemüht, den Betrieb weitgehend aufrecht zu erhalten. „Da man von den IT-Systemen abhängig ist, befindet sich die Verwaltung im Notbetrieb. Alle Mitarbeiterinnen und Mitarbeiter der Behörden sind bemüht, dringende Anliegen der Bürgerinnen und Bürger abzuarbeiten“, sagte Kurath, die Bezirkshauptmannschaften würden priorisiert. Zur Information von Medien und Bevölkerung greift das Land Kärnten auf Social Media und Presseagentur-Aussendungen zurück.

Laut Medienberichten hatte die Hackergruppe im April versucht, die HTL St. Pölten zu hacken, scheiterte aber am guten Schutz sensibler Daten. Nur die Schulbücher seien verschlüsselt worden, alle Rechner wurden neu aufgesetzt.