Lankabel in einem Server
ORF
ORF
Chronik

Hackerangriff: Land dementiert Datenleak

Seit dem Hackerangriff auf das Land Kärnten hat die Vereinigung „Black Cat“ damit gedroht, Daten zu veröffentlichen. Das Land lehnte eine Lösegeldforderung ab. Am Freitag dann zwei Knalleffekte: Erste sensible Daten aus der Landesverwaltung sollen im Internet gelandet sein, was das Land so nicht bestätigen will. Darüber hinaus sei ein weiterer Angriff abgewehrt worden.

Das Land Kärnten arbeitet mit Cybercrime Experten zusammen, um sich gegen den Angriff durch die Hackergruppe Backcat zu wehren, hieß es am Samstag. Mit der Veröffentlichung solle wohl der Druck auf das Land erhöht werden, sagte Landeshauptmann Peter Kaiser (SPÖ). Er kündigt weitere Informationen bei einer Pressekonferenz am Montag an. Keine Informationen gab es, ob tatsächlich der Pass des Landeshauptmannes im Internet kursiere.

IT-Security-Unternehmer präsentierte Screenshot

Zehn Tage nach dem Hackerangriff auf die Kärntner Landesverwaltung – mehr dazu in Hackerangriff: Land im Notbetrieb – seien erste erbeutete Daten im Darknet aufgetaucht. Darunter sollen sich Ausweise, ausgestellte Visa, Bankomatkarten, E-Mails, CoV-Tests und politische Positionspapiere befinden.

Die Onlineplattform Futurezone.at berief sich am Freitag auf einen Tweet des Wiener IT-Security-Unternehmers Sebastian Bicchi. Dieser präsentierte einen Screenshot einer Ordnerstruktur, die Ordner trugen Namen wie „Reisepässe“, „Hypo-Heta USA“ (Untersuchungsausschuss, Anm.), „impfungen“ und „cards“.

Nach Hackerangriff: Private Daten im Darknet

Beim Hacken der elektronischen Verwaltung des Landes Kärnten sollen entgegen ersten Aussagen doch private Daten abgesaugt worden sein. Erste Daten seien im Darknet aufgetaucht, wie mehrere Onlinemedien berichten.

Land: Keine Bestätigung für Datenleak

Seitens des Landes gab es am Freitag keine Bestätigung für den Datenleak. Bei den Daten handelte es sich laut Gerd Kurath vom Landespressedienst lediglich um eine Liste mit Dateinamen und nicht um tatsächliche, verifizierbare Dateien. Laut Kurath sind die Experten der Landes-IT gerade dabei, die Daten zu sichten. Dabei soll festgestellt werden, ob die Daten tatsächlich mit dem Hackerangriff in Zusammenhang stehen. „Dass es tatsächlich Daten des Landes sind und dass es mit uns zu tun hat, das kann ich derzeit nicht bestätigen“, so Kurath.

Weiterhin offen blieb also die Frage, ob es den Hackern tatsächlich gelungen war, Daten abzusaugen. „Wir können nur sagen, dass ein kleiner Bereich an Daten gelesen wurde. Wir haben von Anfang an gesagt, es ist unwahrscheinlich, aber nicht auszuschließen, dass Daten auch abgesaugt wurde.“ Kurath konnte auch nicht bestätigen, dass Reisepässe oder Bankomatkarten im Umlauf seien. Letzteres bezweifelte er sogar: „Wir stellen keine Bankomatkarten aus, wir haben diese sensiblen Daten überhaupt nicht.“

Bicchi: „Sehr wohl Dateien“

Laut IT-Experten Bicchi habe er einen Teil der Daten „stichprobenartig“ heruntergeladen: „Und das waren sehr wohl Dateien.“ Screenshots von der „Grüner Pass“-App und eine „größere Menge von Reisepässen“ seien dabei gewesen: „Wobei ich nicht sagen kann, ob sie von Bürgern des Landes oder Angestellten waren. Tatsache ist, ich konnte sie herunterladen.“ Ein großer Mailfolder, hauptsächlich die Ukraine betreffend, war dabei, außerdem habe er größere Ordner mit ausgefüllten Visaformularen gesehen, so Bicchi.

Screenshot gehackte Daten
Sebastian Bicchi
Screenshot von Visaformularen, personenbezogene Daten wurden ausgeblendet

Vorerst wurden knapp sechs Gigabyte Daten onlinegestellt, die Erpresser gaben an, 250 Gigabyte zu haben. „Ich rechne damit, dass sie weitere Dateien online stellen“, so Bicchi. Die Dateien seien nicht im Darknet, sondern im öffentlich zugänglichen Teil des Internets, auf einem Hostingprovider, veröffentlicht worden. Laut Bicchi aus Kalkül: Damit solle größtmögliche Aufmerksamkeit geschaffen und Druck erzeugt werden. Unterdessen wurde der Inhalt vom Hostingprovider entfernt, laut Landespressedienst auf Betreiben des Innenministeriums. Die Vorgehensweise war typisch, meinte Bicchi: „Die Veröffentlichung ist dazu da, um auch späteren Opfern klarzumachen, dass es dazu kommen wird.“ Vor allem E-Mails werden gerne erbeutet, denn „man muss nicht wissen, was drin ist, um großen Druck zu erzeugen“.

Neuerliche Attacke (bisher) abgewehrt

Was Kurath am Freitag bestätigte, war, dass es ein Ultimatum der Hacker an das Land gegeben habe: Zahle das Land das geforderte Lösegeld von fünf Millionen Euro nicht, werde es weitere Attacken geben. Gedroht wurde damit, eine gezielte Überlastung des Systems herbeizuführen, außerdem wurde mit der Veröffentlichung von gestohlenen Daten gedroht. Bisher habe man diese neuerliche Attacke abwehren können, so Kurath. „Unser IT-System ist – auch durch einen externen Dienstleister – derzeit wahrscheinlich eines der besten und sichersten Systeme, die es gibt, weil es gleich mehrfach abgesichert ist.“

Eine Lösegeldzahlung an die Erpresser sei nach wie vor keine Option, so Kurath. Mit Verweis auf Polizei und Experten betonte er: „Auf diese Partner gestützt, haben wir von Anfang an gesagt, es gibt kein Lösegeld.“ Laut dem Wiener IT-Experten Bicchi könnten abgesaugte Daten in den Händen der Erpresser noch weitreichendere Folgen wie Identitätsdiebstahl und Kontoabbuchungen haben.

Team Kärnten: Hackerangriff mutiert zu Super-GAU

Von einem politischen und verwaltungstechnischen Super-GAU sparch Team-Kärnten-Chef Gerhard Köfer in einer Aussendung. Er forderte eine Erklärung des Landeshauptmannes, wie man mit der Entwicklung umgehe. „Es besteht die Gefahr, dass etliche Daten von Bürgern, die in den vergangenen Wochen und Monaten mit dem Land Kontakt hatten, publik werden. Das könnte extrem weitreichende Folgen haben“, so Köfer.

FPÖ fordert umfassende Aufklärung

In einer Aussendung forderte FPÖ-Klubobmann Gernot Darmann eine „umfassende und korrekte Aufklärung seitens des Landes“. „Laut Experten ist das ein Datenskandal und damit eine absolute Krisensituation. Die Landesregierung muss umgehend dafür sorgen, dass es keinen Missbrauch von persönlichen Daten von Bürgern gibt. Es könnte eine dramatische Entwicklung zur Folge haben, bis hin zu einer möglichen Erpressung von Bürgern, Unternehmen oder Institutionen. Für das Vertrauen der Bürger in die Landesregierung ist es mit Sicherheit nicht hilfreich, wenn der Sprecher des Landes heute in seiner Pressekonferenz kritische Nachfragen von Medien einfach nicht beantwortet und die Pressekonferenz beendet. Wenn Kopien von Reisepässen von Bürgern im Darknet auftauchen, gibt es absolut nichts zu verharmlosen, wie es der Sprecher des Landes versucht hat“, so Darmann.

NEOS: Schutz der Daten verabsäumt

Auch NEOS Kärnten meldete sich in einer Aussendung zum Datenklau zu Wort. Laut NEOS-Chef Janos Juvan habe es das Land verpasst, Daten besser zu schützen. "Das Land Kärnten hat es als einziges Bundesland neben der Steiermark verabsäumt, sich der Infoplattform GovCERT für Computernotfälle anzuschließen. Es ist bedrückend, wie wenig die sensibelsten Daten des Landes – nämlich jene der Menschen – der Regierung offenbar wert sind“, so Juvan.