Das österreichische Bundesland Kärnten musste am Dienstag unerwartet «in den Notbetrieb» gehen. Der Grund: eine Ransomware-Attacke auf die staatlichen IT-Systeme.
Betroffen war nicht nur die Regierung des Bundeslandes im Südosten Österreichs, es traf auch die Bezirksverwaltungen, den Rechnungshof und das Verwaltungsgericht.
Die gesamte Telefonanlage fiel aus, das interne E-Mail-System funktioniert ebenfalls nicht mehr. Rund 3900 Mitarbeitende und etwa 3000 PC-Anschlüsse waren direkt betroffen, weil alle Rechner vorsichtshalber heruntergefahren wurden.
Die Internet-Auftritte waren tagelang nicht verfügbar, Aufrufe der Website ktn.gv.at gingen ins Leere. Die Kärntner Regierung kündigte an, die Öffentlichkeit über einen unabhängigen Online-Dienst (OTS) auf dem Laufenden zu halten.
Da die Behörden keinen Zugriff mehr auf die digitalen Akten hatten, mussten administrative Arbeiten pausiert werden. Auszahlungen von Sozialhilfeleistungen und Behördentermine wurden kurzfristig verschoben. Und sogar das Contact Tracing war wegen des Angriffs beeinträchtigt.
Staatliche Angestellte wurden ermuntert, Urlaub zu machen oder Überstunden abzubauen. Und sie sollten auch nach Auffahrt nicht zur Arbeit erscheinen, sondern einen «Fenstertag» nehmen (hierzulande auch Brückentag genannt).
Allerdings ist noch unklar, ob die mehr als 500'000 Bürgerinnen und Bürger des südlichsten Teils von Österreich glimpflich davon kommen. Denn noch immer ist unklar, ob es den Hackern gelungen ist, Daten zu stehlen.
Seitens der Landesregierung hiess es zunächst:
Deshalb sei auch die zuständige Datenschutzbehörde informiert worden, wie es in Berichten heisst.
Am Mittwoch bestätigte der Regierungssprecher, die internationale Hackergruppe «Black Cat» habe eine Lösegeldforderung über fünf Millionen Dollar in Bitcoin deponiert.
Die Kriminellen behaupteten, Daten abgesaugt bzw. verschlüsselt zu haben. Man habe diesbezüglich aber keine Hinweise gefunden. Und man wolle nicht bezahlen und es seien Sicherheitskopien (Backups) «aller relevanten Daten» vorhanden.
Das Problem: Die Kriminellen, die unter der Bezeichnung «Black Cat» oder ALPHV agieren, sind eine der gefährlichsten und aggressivsten Ransomware-Banden überhaupt. Sie gehören in die Kategorie «Ransomware as a Service» (RaaS). Das heisst, sie bieten ihre Hackerwerkzeuge und die dazugehörige Infrastruktur gegen Bezahlung auch Dritten an.
Es ist noch nicht lange her, da attackierte Black Cat die Hauptstadt des südamerikanischen Landes Ecuador, Quito, und legte die staatlichen IT-Systeme lahm. Die Online-Dienstleistungen für die ecuadorianische Bevölkerung waren während mehrerer Wochen gestört oder gar nicht verfügbar. Es sei ein «stiller und gewaltfreier Angriff» gewesen, schrieb «El Comercio», «aber er beschädigte die gesamte Hauptstadt».
Der Cyberangriff auf Quito ereignete sich an einem Samstag «im Morgengrauen», wie Swissinfo.ch berichtete. Genau so, wie nun beim Angriff auf das Bundesland Kärnten.
In Kärnten wurde die Attacke am vergangenen Dienstag, 24. Mai, bemerkt. Der Hackerangriff – das erste Eindringen ins Netzwerk – fand aber bereits am Samstag, 14. Mai, statt, wie eine erste forensische Untersuchung ergab. Das heisst, die Angreifer hatten zehn Tage Zeit, um das fremde Netzwerk auszuspionieren und attraktive Ziele zu sichten.
Daten seien «aus derzeitiger Sicht nicht von den Hackern gestohlen worden», heisst es auch in der am Freitag veröffentlichten Medienmitteilung aus Kärnten. Und auf der Darknet-Seite der Internet-Erpresser waren am Freitag (noch) keine Hinweise auf eine Daten-Veröffentlichung zu finden.
Eine Experten-Einschätzung der IT-Sicherheitsfirma Talos zu Black Cat lässt allerdings Unheil befürchten:
