DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Das von der IT-Sicherheitsfirma Talos kreierte Logo für die «BlackCat»-Hackergruppe prangt vor einem Tourismus-Bild, das den Wörthersee zeigt.
Das von der IT-Sicherheitsfirma Talos kreierte Logo für die «BlackCat»-Hackergruppe prangt vor einem Tourismus-Bild, das den Wörthersee zeigt.bild: watson / screenshots: talos / kaernten.at

Hacker legen ganzes Bundesland lahm – und es droht ein Daten-GAU

Die berüchtigte Ransomware-Bande ALPHV, alias «BlackCat», hat im Südosten Österreichs zugeschlagen. Den Betroffenen scheint allerdings nicht klar zu sein, mit was für einem Gegner sie es zu tun haben.
28.05.2022, 19:2530.05.2022, 07:53

Das österreichische Bundesland Kärnten musste am Dienstag unerwartet «in den Notbetrieb» gehen. Der Grund: eine Ransomware-Attacke auf die staatlichen IT-Systeme.

Betroffen war nicht nur die Regierung des Bundeslandes im Südosten Österreichs, es traf auch die Bezirksverwaltungen, den Rechnungshof und das Verwaltungsgericht.

Die gesamte Telefonanlage fiel aus, das interne E-Mail-System funktioniert ebenfalls nicht mehr. Rund 3900 Mitarbeitende und etwa 3000 PC-Anschlüsse waren direkt betroffen, weil alle Rechner vorsichtshalber heruntergefahren wurden.

Urlaub für Angestellte

Die Internet-Auftritte waren tagelang nicht verfügbar, Aufrufe der Website ktn.gv.at gingen ins Leere. Die Kärntner Regierung kündigte an, die Öffentlichkeit über einen unabhängigen Online-Dienst (OTS) auf dem Laufenden zu halten.

screeshot: facebook

Da die Behörden keinen Zugriff mehr auf die digitalen Akten hatten, mussten administrative Arbeiten pausiert werden. Auszahlungen von Sozialhilfeleistungen und Behördentermine wurden kurzfristig verschoben. Und sogar das Contact Tracing war wegen des Angriffs beeinträchtigt.

Staatliche Angestellte wurden ermuntert, Urlaub zu machen oder Überstunden abzubauen. Und sie sollten auch nach Auffahrt nicht zur Arbeit erscheinen, sondern einen «Fenstertag» nehmen (hierzulande auch Brückentag genannt).

5 Millionen Lösegeld

Allerdings ist noch unklar, ob die mehr als 500'000 Bürgerinnen und Bürger des südlichsten Teils von Österreich glimpflich davon kommen. Denn noch immer ist unklar, ob es den Hackern gelungen ist, Daten zu stehlen.

Seitens der Landesregierung hiess es zunächst:

«Derzeit ist es unwahrscheinlich, dass Daten gestohlen wurden oder verloren gegangen sind, aber ausschliessen können wir das leider nicht.»
Gerd Kurath, Regierungssprecher

Deshalb sei auch die zuständige Datenschutzbehörde informiert worden, wie es in Berichten heisst.

Am Mittwoch bestätigte der Regierungssprecher, die internationale Hackergruppe «Black Cat» habe eine Lösegeldforderung über fünf Millionen Dollar in Bitcoin deponiert.

Die Kriminellen behaupteten, Daten abgesaugt bzw. verschlüsselt zu haben. Man habe diesbezüglich aber keine Hinweise gefunden. Und man wolle nicht bezahlen und es seien Sicherheitskopien (Backups) «aller relevanten Daten» vorhanden.

«Es wird nicht gezahlt. Das weitere Vorgehen wird nun mit dem Landesamt für Verfassungsschutz und der Polizei abgestimmt. Derzeit gibt es keine Hinweise, dass tatsächlich Daten aus dem System abgeschöpft wurden.»
Gerd Kurath, Regierungssprecher

Das Problem: Die Kriminellen, die unter der Bezeichnung «Black Cat» oder ALPHV agieren, sind eine der gefährlichsten und aggressivsten Ransomware-Banden überhaupt. Sie gehören in die Kategorie «Ransomware as a Service» (RaaS). Das heisst, sie bieten ihre Hackerwerkzeuge und die dazugehörige Infrastruktur gegen Bezahlung auch Dritten an.

Ecuadors Hauptstadt gehackt

Es ist noch nicht lange her, da attackierte Black Cat die Hauptstadt des südamerikanischen Landes Ecuador, Quito, und legte die staatlichen IT-Systeme lahm. Die Online-Dienstleistungen für die ecuadorianische Bevölkerung waren während mehrerer Wochen gestört oder gar nicht verfügbar. Es sei ein «stiller und gewaltfreier Angriff» gewesen, schrieb «El Comercio», «aber er beschädigte die gesamte Hauptstadt».

Der Cyberangriff auf Quito ereignete sich an einem Samstag «im Morgengrauen», wie Swissinfo.ch berichtete. Genau so, wie nun beim Angriff auf das Bundesland Kärnten.

Hacker waren 10 Tage «drin»

In Kärnten wurde die Attacke am vergangenen Dienstag, 24. Mai, bemerkt. Der Hackerangriff – das erste Eindringen ins Netzwerk – fand aber bereits am Samstag, 14. Mai, statt, wie eine erste forensische Untersuchung ergab. Das heisst, die Angreifer hatten zehn Tage Zeit, um das fremde Netzwerk auszuspionieren und attraktive Ziele zu sichten.

Regierungssprecher Gerd Kurath nahm während eines Live-Streams im Internet zu Fragen Stellung.
Regierungssprecher Gerd Kurath nahm während eines Live-Streams im Internet zu Fragen Stellung.screenshot: watson

Daten seien «aus derzeitiger Sicht nicht von den Hackern gestohlen worden», heisst es auch in der am Freitag veröffentlichten Medienmitteilung aus Kärnten. Und auf der Darknet-Seite der Internet-Erpresser waren am Freitag (noch) keine Hinweise auf eine Daten-Veröffentlichung zu finden.

Eine Experten-Einschätzung der IT-Sicherheitsfirma Talos zu Black Cat lässt allerdings Unheil befürchten:

«Ein wichtiger Aspekt dieser Angriffe ist, dass die Angreifer sich Zeit nehmen, die Umgebung zu erkunden und sie auf einen erfolgreichen und umfassenden Angriff vorzubereiten, bevor sie die Ransomware starten, wobei jede Sekunde Datenverlust bedeutet.»
quelle: talosintelligence.com

Quellen

Nico schickt Marco hoch hinaus – zum Glück mit erfahrenen Skydivern:

Video: watson
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Die gefährlichsten Cyberwaffen und ihre Folgen

1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Wow - Wenn deine Kollegen wie Hunde wären

Video: watson

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

54 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Subjekt
28.05.2022 20:36registriert Januar 2022
«Auszahlungen von Sozialhilfeleistungen und Behördentermine wurden kurzfristig verschoben»
Das heisst, dass Leute vorübergehend kein Geld erhalten, heisst ihre Miete nicht bezahlen können, kein Essen kaufen, keine Schulsachen.
Für Sozialhilfeempfänger ist das eine Katastrophe.
18010
Melden
Zum Kommentar
avatar
Pontifax
28.05.2022 21:17registriert Mai 2021
Es wird Zeit, für Hacker wirklich äusserst harte Strafen einzuführen. Und zwar nix mit "bedingt" sondern zwingend. Ohne erleichternde Faktoren. 15 Jahre Zuchthaus ohne Zugang zu Handy oder Computern oder Fachwissen bezüglich IT.
11225
Melden
Zum Kommentar
avatar
Skuld
29.05.2022 01:00registriert Mai 2016
Schützt sich die Schweiz vor sowas?
Oder ist Internet für unsere Politiker noch zu Neuland?
437
Melden
Zum Kommentar
54
Er sang sie wohl nicht selbst: Drei Songs aus Michael-Jackson-Album entfernt

Inmitten von Zweifeln an der Echtheit der Songs sind drei Lieder des 2009 verstorbenen Popstars Michael Jackson von Streaming-Plattformen entfernt worden.

Zur Story