Nach der Cyberattacke auf die Kärntner Landesverwaltung und die im Darknet aufgetauchte Lösegeldforderung der Hackergruppe "Black Cat" von fünf Millionen Dollar für eine Entschlüsselungssoftware gibt es von Gerd Kurath, Chef des Landespressedienstes, diesmal gute Nachrichten: "Die Experten aus unserem Haus sowie der hinzugezogenen externen Firma konnten das SAP-System wieder zum Laufen bringen. Sämtliche Auszahlungen durch das Land Kärnten wie etwa Wohnbeihilfe oder andere Sozialleistungen konnten somit mit nur einem Tag Verspätung wieder durchgeführt werden."
Die Wiederherstellungsarbeiten aller anderen IT-Programme laufen auch in der Nacht auf den Feiertag und am Feiertag selbst natürlich weiter. "Wir gehen davon aus, dass von den 3000 betroffenen PC-Arbeitsplätzen die Ersten am Freitag wieder zur Verfügung stehen werden", ergänzt Kurath. Bis dahin können weder neue Pässe ausgestellt, noch Verkehrsstrafen zugestellt werden.
Noch keine guten Nachrichten gibt es hingegen die Fünf-Millionen-Dollar-Bitcoin-Forderung der Hackergruppe betreffend. "Unsere IT-Experten haben diese Forderung gefunden, sie wurde nicht direkt an uns übermittelt. Das Land wird der Forderung nicht nachkommen und nicht bezahlen", erklärt Kurath. Die Polizei und das Landesamt für Verfassungsschutz und Terrorismusbekämpfung (LVT) ermitteln weiterhin in alle Richtungen.
"Black Cat" schlug zu
Hinter dem Angriff, der Kärntens Landesverwaltung Dienstagfrüh lahmgelegt hat, steht eine Hackergruppe namens "Black Cat". Diese agiere international und habe etwa 100 Mitglieder, so Kurath. Laut dem Internetportal www.techrepublic.com ist "Black Cat" eine "neue und aufstrebende Fraktion" in der Szene. Sie haben in den vergangenen Monaten "mehrere Unternehmen durch die Ausnutzung von Schwachstellen im Windows-System ins Visier genommen".
Am 14. Mai dieses Jahres auch das Amt der Kärntner Landesregierung: An diesem Tag ist es "Black Cat" gelungen, einen Account zu knacken. Von diesem aus haben die Hacker dann ihre Verschlüsselungssoftware verbreitet, so Kurath. Zehn Tage lang, bis Dienstag. Von den rund 3000 PC-Arbeitsplätzen in der Landesverwaltung seien rund 100 mit dem Virus infiziert. "200 Server müssen gereinigt werden", sagt Kurath.
Daten abgesaugt?
Für die Behauptung von "Black Cat", dass sie auch sensible Daten abgesaugt haben, die auf Servern des Landes gespeichert sind, gibt es laut Kurath "bisher keinen Hinweis". Definitiv ausschließen könne man das derzeit aber nicht.
Das Land Kärnten kämpft seit Dienstagfrüh mit massiven IT-Problemen. Große Teile der EDV sind ausgefallen. Mit verschiedenen Programmen, darunter Outlook, kann derzeit nicht gearbeitet werden. Erwischt hat es nicht nur das Amt der Kärntner Landesregierung (AKL), sondern auch alle acht Bezirkshauptmannschaften, den Landesrechnungshof und das Landesverwaltungsgericht. "Sie hängen an unserem System", sagt Kurath. Die gesamte Telefonanlage ist ausgefallen, das Mailsystem funktioniert auch nicht. Rund 3900 Mitarbeiter und etwa 3000 PC-Anschlüsse sind betroffen.
Weiter im Notbetrieb
Alle betroffenen Behörden sind im Notbetrieb. Und daran wird sich so rasch auch nichts ändern. Nur die dringlichsten Aufgaben werden, sofern möglich, erledigt. All jene Tätigkeiten, bei denen man auf EDV-Systeme angewiesen ist, und das sind die meisten, funktionieren nicht. An den Bezirkshauptmannschaften seien Vorsprachen möglich, aber alle Aufgaben, die etwa mit Einzahlungen zusammenhängen, können nicht erledigt werden. Darunter fällt etwa auch die Ausstellung von Reisepässen. Überhaupt werde es bei der Bearbeitung von Akten zu Verzögerungen kommen. "Wir bitten alle Betroffenen um Verständnis", sagt Kurath.
Angriff auf HTL abgewehrt
Laut Medienberichten hat es "Black Cat" vor Kurzem schon einmal in Österreich versucht: Mitte April gab es einen Angriff auf die HTL St. Pölten in Niederösterreich. Die Hacker schleusten laut Niederösterreicher Nachrichten ein Trojaner-Virus in das EDV-System und forderten Geld. Das bekamen sie aber nicht. Wohl auch deshalb nicht, weil die Attacke vom schuleigenen Schutzprogramm weitestgehend abgewehrt werden konnte. PC-Geräte in der HTL waren zwar gesperrt, Schülerdaten, Noten oder andere sensible Bereiche sind zusätzlich geschützt und waren nicht betroffen. Die Hackergruppe musste sich mit Schülerzeichnungen begnügen.
Aufklärung gefordert
Team-Kärnten-Chef Bürgermeister Gerhard Köfer fragt sich da: "Kann es sein, dass die HTL in St. Pölten besser auf Cyber- bzw. Hackerangriffe vorbereitet und auch davor geschützt ist als das Land Kärnten?" Er drängt darauf, zu beleuchten, wie gut das Land im Bereich Cyber-Security aufgestellt ist. Auch in der Frage, ob es zu Datendiebstahl oder -missbrauch gekommen ist, bestehe Aufklärungsbedarf: "Die Landesregierung verfügt jedenfalls über eine enorme Anzahl an hochsensiblen und schützenswerten Daten von Bürgern. Es stimmt äußerst nachdenklich, dass eine Form von Datendiebstahl noch nicht gänzlich ausgeschlossen werden kann."