Digital
Malware

Hacker legen ganzes Bundesland lahm – und es droht ein Daten-GAU

Das von der IT-Sicherheitsfirma Talos kreierte Logo für die «BlackCat»-Hackergruppe prangt vor einem Tourismus-Bild, das den Wörthersee zeigt.
Das von der IT-Sicherheitsfirma Talos kreierte Logo für die «BlackCat»-Hackergruppe prangt vor einem Tourismus-Bild, das den Wörthersee zeigt.bild: watson / screenshots: talos / kaernten.at

Hacker legen ganzes Bundesland lahm – und es droht ein Daten-GAU

Die berüchtigte Ransomware-Bande ALPHV, alias «BlackCat», hat im Südosten Österreichs zugeschlagen. Den Betroffenen scheint allerdings nicht klar zu sein, mit was für einem Gegner sie es zu tun haben.
28.05.2022, 19:2530.05.2022, 07:53
Mehr «Digital»

Das österreichische Bundesland Kärnten musste am Dienstag unerwartet «in den Notbetrieb» gehen. Der Grund: eine Ransomware-Attacke auf die staatlichen IT-Systeme.

Betroffen war nicht nur die Regierung des Bundeslandes im Südosten Österreichs, es traf auch die Bezirksverwaltungen, den Rechnungshof und das Verwaltungsgericht.

Die gesamte Telefonanlage fiel aus, das interne E-Mail-System funktioniert ebenfalls nicht mehr. Rund 3900 Mitarbeitende und etwa 3000 PC-Anschlüsse waren direkt betroffen, weil alle Rechner vorsichtshalber heruntergefahren wurden.

Urlaub für Angestellte

Die Internet-Auftritte waren tagelang nicht verfügbar, Aufrufe der Website ktn.gv.at gingen ins Leere. Die Kärntner Regierung kündigte an, die Öffentlichkeit über einen unabhängigen Online-Dienst (OTS) auf dem Laufenden zu halten.

Bild
screeshot: facebook

Da die Behörden keinen Zugriff mehr auf die digitalen Akten hatten, mussten administrative Arbeiten pausiert werden. Auszahlungen von Sozialhilfeleistungen und Behördentermine wurden kurzfristig verschoben. Und sogar das Contact Tracing war wegen des Angriffs beeinträchtigt.

Staatliche Angestellte wurden ermuntert, Urlaub zu machen oder Überstunden abzubauen. Und sie sollten auch nach Auffahrt nicht zur Arbeit erscheinen, sondern einen «Fenstertag» nehmen (hierzulande auch Brückentag genannt).

5 Millionen Lösegeld

Allerdings ist noch unklar, ob die mehr als 500'000 Bürgerinnen und Bürger des südlichsten Teils von Österreich glimpflich davon kommen. Denn noch immer ist unklar, ob es den Hackern gelungen ist, Daten zu stehlen.

Seitens der Landesregierung hiess es zunächst:

«Derzeit ist es unwahrscheinlich, dass Daten gestohlen wurden oder verloren gegangen sind, aber ausschliessen können wir das leider nicht.»
Gerd Kurath, Regierungssprecher

Deshalb sei auch die zuständige Datenschutzbehörde informiert worden, wie es in Berichten heisst.

Am Mittwoch bestätigte der Regierungssprecher, die internationale Hackergruppe «Black Cat» habe eine Lösegeldforderung über fünf Millionen Dollar in Bitcoin deponiert.

Die Kriminellen behaupteten, Daten abgesaugt bzw. verschlüsselt zu haben. Man habe diesbezüglich aber keine Hinweise gefunden. Und man wolle nicht bezahlen und es seien Sicherheitskopien (Backups) «aller relevanten Daten» vorhanden.

«Es wird nicht gezahlt. Das weitere Vorgehen wird nun mit dem Landesamt für Verfassungsschutz und der Polizei abgestimmt. Derzeit gibt es keine Hinweise, dass tatsächlich Daten aus dem System abgeschöpft wurden.»
Gerd Kurath, Regierungssprecher

Das Problem: Die Kriminellen, die unter der Bezeichnung «Black Cat» oder ALPHV agieren, sind eine der gefährlichsten und aggressivsten Ransomware-Banden überhaupt. Sie gehören in die Kategorie «Ransomware as a Service» (RaaS). Das heisst, sie bieten ihre Hackerwerkzeuge und die dazugehörige Infrastruktur gegen Bezahlung auch Dritten an.

Ecuadors Hauptstadt gehackt

Es ist noch nicht lange her, da attackierte Black Cat die Hauptstadt des südamerikanischen Landes Ecuador, Quito, und legte die staatlichen IT-Systeme lahm. Die Online-Dienstleistungen für die ecuadorianische Bevölkerung waren während mehrerer Wochen gestört oder gar nicht verfügbar. Es sei ein «stiller und gewaltfreier Angriff» gewesen, schrieb «El Comercio», «aber er beschädigte die gesamte Hauptstadt».

Der Cyberangriff auf Quito ereignete sich an einem Samstag «im Morgengrauen», wie Swissinfo.ch berichtete. Genau so, wie nun beim Angriff auf das Bundesland Kärnten.

Hacker waren 10 Tage «drin»

In Kärnten wurde die Attacke am vergangenen Dienstag, 24. Mai, bemerkt. Der Hackerangriff – das erste Eindringen ins Netzwerk – fand aber bereits am Samstag, 14. Mai, statt, wie eine erste forensische Untersuchung ergab. Das heisst, die Angreifer hatten zehn Tage Zeit, um das fremde Netzwerk auszuspionieren und attraktive Ziele zu sichten.

Regierungssprecher Gerd Kurath nahm während eines Live-Streams im Internet zu Fragen Stellung.
Regierungssprecher Gerd Kurath nahm während eines Live-Streams im Internet zu Fragen Stellung.screenshot: watson

Daten seien «aus derzeitiger Sicht nicht von den Hackern gestohlen worden», heisst es auch in der am Freitag veröffentlichten Medienmitteilung aus Kärnten. Und auf der Darknet-Seite der Internet-Erpresser waren am Freitag (noch) keine Hinweise auf eine Daten-Veröffentlichung zu finden.

Eine Experten-Einschätzung der IT-Sicherheitsfirma Talos zu Black Cat lässt allerdings Unheil befürchten:

«Ein wichtiger Aspekt dieser Angriffe ist, dass die Angreifer sich Zeit nehmen, die Umgebung zu erkunden und sie auf einen erfolgreichen und umfassenden Angriff vorzubereiten, bevor sie die Ransomware starten, wobei jede Sekunde Datenverlust bedeutet.»
quelle: talosintelligence.com

Quellen

Nico schickt Marco hoch hinaus – zum Glück mit erfahrenen Skydivern:

Video: watson
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Cyberwaffen und ihre Folgen
1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Mit der Entdeckung von Stuxnet geriet erstmals eine von staatlichen Hackern entwickelte Cyberwaffe ungewollt in private Hände. Die Schadsoftware war sehr wahrscheinlich von den USA und Israel um 2006 entwickelt worden – auch wenn die beteiligten Verantwortungsträger bis heute schweigen.
Auf Facebook teilenAuf X teilen
Wow - Wenn deine Kollegen wie Hunde wären
Video: watson
Das könnte dich auch noch interessieren:
44 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Pontifax
28.05.2022 21:17registriert Mai 2021
Es wird Zeit, für Hacker wirklich äusserst harte Strafen einzuführen. Und zwar nix mit "bedingt" sondern zwingend. Ohne erleichternde Faktoren. 15 Jahre Zuchthaus ohne Zugang zu Handy oder Computern oder Fachwissen bezüglich IT.
11226
Melden
Zum Kommentar
avatar
The Twelfth
28.05.2022 23:26registriert Juni 2020
Die beste Waffe (≠ Prävention):
NICHT bezahlen!

Wenn niemand zahlt, hat es sicherlich einen anderen Effekt (Motivation für die Täter), als wenn allgemein bekannt ist, dass praktisch jeder Angriff fürstlich entlohnt wird.

Hoffe es springen schnellstmöglich alle darauf auf, sonst werden solche Angriffe sehr schnell Teil des Alltags.
210
Melden
Zum Kommentar
44
Renaults neuer E-Twingo kommt und der Preis ist eine Ansage
Renault gründet eine neue Einheit für E-Autos – und bestätigt einen Volksstromer für unter 20'000 Euro an. Was bisher bekannt ist.

Der französische Autobauer Renault hat ein in Europa gefertigtes Elektroauto für weniger als 20'000 Euro angekündigt. Nun hat Markenchef Fabrice Cambolive dem Online-Magazin «Autogazette» bekannt gegeben: Der Nachfolger des aktuell noch deutlich teureren Twingo soll 2026 starten. Ursprünglich war das Modell für 2025 geplant. Trotzdem wären die Franzosen damit wohl rund ein Jahr vor VW mit einem echten Einstiegsstromer auf dem Markt: Zwischenzeitlich hatte es Verhandlungen zwischen den Franzosen und dem Volkswagen-Konzern über ein Gemeinschaftsprojekt gegeben, die aber gescheitert sind.

Zur Story