Immer wieder hätten die Erpresser in den vergangenen Tagen mit weiteren Angriffen auf die IT-Systeme den Druck erhöht, und die Lösegeldforderung von fünf Millionen Dollar in Bitcoins erneuert – mehr dazu in Hackerangriff: Land dementiert Datenleak. Dieser Forderung werde man nicht nachkommen, sagte Landeshauptmann Kaiser bei einer Pressekonferenz am Pfingstmontag mit Nachdruck: „Der mit dem Angriff auf das Land Kärnten und seine Bevölkerung einhergehenden Erpressung wird nicht stattgegeben werden.“
IT-Experte gegen Lösegeldzahlung
Auch der vom Land zu Hilfe geholte Cybercrime-Experte Granig hält nichts von Lösegeldzahlungen. „In vielen Fällen ist es so, wenn an die Erpresser gezahlt wird, dass die nicht in der Lage sind, Entschlüsselungssoftware zur Verfügung zu stellen, dass man damit die Systeme wieder entschlüsseln kann.“ Geld, das gezahlt würde, würde wieder im Darknet für kriminelle Handlungen eingesetzt, etwa um Handelsplattformen für Drogen, Waffen oder Kinderpornografie aufzubauen.
Granig vermutet russische Hacker
Experte Granig geht davon aus, dass es sich nicht um einen gezielten Angriff auf das Land Kärnten gehandelt habe, „sondern eine Attacke, wie sie viele andere Unternehmen erleben“. Er vermutet daher, dass die Täter „nicht in eine Detailanalyse der Landesregierung einsteigen“ werden. Es gebe Hinweise, dass es sich um russische Hacker handle.
„Der russische Diktator Putin hat eine Welt geschaffen in Russland, in der Straftaten im Bereich der Cybercrime sehr positiv dargestellt“ und Hacker, die westliche Unternehmen angreifen, als Helden gefeiert würden. Nicht jeder Täter gehöre zum russischen Geheimdienst, vielmehr gebe es „Zehntausende freischaffende Hacker. Es ist zumindest eine staatlich geduldete und unterstützte Struktur“, so Granigs Einschätzung.
Nicht klar, ob Daten abgesaugt wurden
Berichte über geleakte Daten von den Landesservern wurden vom Land auch am Montag nicht bestätigt. Man müsse das erst verifizieren, es könne sich auch nur um Dateilisten gehandelt haben, hieß es stets. Aber: „Die am Sonntag fertiggestellte Analyse der IT zur im Darknet publizierten Verzeichnisliste zeigt, dass Datenmenge und Ablageorte korrelieren“, räumte Harald Brunner, Leiter der IT-Abteilung des Landes, ein.
„Was wir derzeit definitiv nicht sagen können: ob und welche Daten tatsächlich abgesaugt wurden. Diese Log-Auswertungen haben wir nicht“, so Brunner. Daher könne man die Frage nicht seriös beantworten. Aber „wir haben bereits begonnen zu erheben, wer die betroffenen Personen sind, und bereiten bereits vor, diese Personen zu informieren“. Dazu müsse man allerdings erst verifizieren, welche Daten genau abgezogen wurden.
Schadsoftware über Phishing-Mail
Laut Brunner ist gesichert, dass es sich um eine Phishing-Attacke gehandelt habe. Der Eintrittsvektor sei ein problematisches E-Mail an einem Arbeitsplatz im April gewesen. Die Schadsoftware habe sich dann über eine bekannte Betriebssystem-Schwachstelle ausgebreitet. Am 24. Mai seien die Auswirkungen sichtbar geworden, weil die Verschlüsselung begann. Mittlerweile seien nur mehr Systeme offline, die nicht so hohe Brisanz hätten, versicherte der IT-Chef.
Systeme, die im täglichen Betrieb wichtig sind, wie etwa das Passwesen, seien weitgehend wieder online. Notwendige Auszahlungen im Sozialbereich seien verfügbar und wurden auch schon durchgeführt. Das Land habe „sofort nach Erkennen dieses Angriffs alle erdenklichen Maßnahmen ergriffen“, sagte Kaiser. Man werde nun die Systeme nach Wichtigkeit für die Bürger wieder herstellen.
LVT: Tatbestand schwere Erpressung
Das Land habe mit der Datenschutzbehörde Kontakt aufgenommen, „und drei externe Firmen sind unmittelbar mit der Beweismittelsicherung beauftragt worden“, so Kaiser. Die Ermittlungen in derartigen Fällen seien aufgrund der internationalen Verflechtungen zäh, schilderte Viola Trettenbrein vom Landesamt für Verfassungsschutz und Terrorismusbekämpfung (LVT). Das LVT habe einen Erstbericht an die Staatsanwaltschaft Klagenfurt abgegeben, und sieht den Tatbestand der schweren Erpressung. Granig betonte, dass die Sicherheitsvorkehrungen des Landes gut gewesen seien.
Drohung bei Pressekonferenz
Auch die Pressekonferenz am Montag wurde offenbar wieder aus dem Darknet verfolgt. Ein anonymer Teilnehmer schrieb auf Englisch sinngemäß in den Chat: Wenn ihr genau wissen wollt, welche Daten wir haben, dann zahlt, sonst veröffentlichen wir weitere Daten.
FPÖ: Höchste Zeit für externe IT-Experten
In einer Aussendung zeigte sich FPÖ-Chef Erwin Angerer erfreut, dass sich die Landesregierung Hilfe von externen IT-Experten geholt hat. „Es geht nämlich nicht nur darum, die Vorgänge rund um den Hackerangriff und den möglichen Datendiebstahl lückenlos aufzuklären, sondern es ist vor allem auch wichtig, noch bestehende Sicherheitslücken zu schließen, damit der Schaden für die Betroffenen nicht noch größer wird. Vorrangiges Ziel muss es sein, dass die Landesverwaltung so schnell wie möglich wieder vollkommen funktionsfähig wird. Gerade im Sozialbereich ist dafür zu sorgen, dass es bei den Auszahlungen zu keinen Verzögerungen kommt“, so Angerer.
Team Kärnten: Aufklärung auf allen Ebenen
Team Kärnten-Chef Gerhard Köfer fordert im Zusammenhang mit dem Hackerangriff eine vollständige Aufklärung und will sich dieser auch im Landtag widmen. „Im Rahmen der Fragestunde der Landtagssitzung am Donnerstag werden wir diese Cyber-Attacke bereits zum Thema machen, zudem gibt es einen ganzen Fragenkatalog unserer Fraktion an den zuständigen Landeshauptmann.“ Laut Köfer gilt es beispielsweise zu klären, ob es bis jetzt eine Leitlinie gegeben hätte, wie bei Angriffen bzw. bei verdächtigen Entwicklungen oder E-Mails vorgegangen wird.