Sicherheits-Experte

Russische Verbrecher griffen offenbar IT System an

Kärnten wurde offenbar von Verbrechern aus dem Umfeld russischer Strukturen angegriffen. LH Kaiser dazu:  "Wir lassen uns nicht erpressen. Kärnten zahlt kein Lösegeld". IT-Experte Granig dazu : "Russland führt Cyberkrieg gegen den Westen. Landes-IT hat höchste Sicherheitsstandards."

KÄRNTEN. Hinter dem hinterlistigen Hackerangriff auf Kärnten dürfte mit hoher Wahrscheinlichkeit eine mit russischen Strukturen zusammen hängende Verbrecherbande stecken. Davon geht der vom Land Kärnten beigezogene IT- und Cybercrime-Experte Cornelius Granig aus.

Pressekonferenz

In einer heute von Landeshauptmann Peter Kaiser einberufenen Pressekonferenz, an der auch die Leiterin des Landesamtes für Verfassungsschutz und Terorrismusbekämpfung, Viola Trettenbrein, sowie der Leiter der Landes-IT-Abteilung, Harald Brunner, teilnahmen, wurde über den aktuellen Stand in der Causa informiert.

Ganz Kärnten wurde zum Opfer

"Das Land Kärnten und damit auch die Kärntner Bevölkerung wurde – wie hunderte Unternehmen und Organisationen – Opfer eines verbrecherischen Hackerangriffs. Wir werden mit internationalen Verbrecherbanden nicht zusammenarbeiten und kein Lösegeld bezahlen – das sind wir Kärnten und den Bürgerinnen und Bürgern schuldig", stellte Landeshauptmann Peter Kaiser klar.

Unterstützung von Experten

Er verwies darauf, dass die IT Systeme des Landes erst unlängst erfolgreich rezertifiziert wurden. "Cornelius Granig, ein ausgewiesener IT-Sicherheitsexperte und Fachmann im Bereich der Cyberkriminalität, unterstützt uns", sagt Kaiser. Krisenstab hochgefahren. Gleich nach Bekanntwerden der Cyberattacke wurde der Krisenstab hochgefahren und alle relevanten Behörden – wie beispielsweise die Datenschutzbehörde, das Landesamt für Verfassungsschutz und Terrorismusbekämpfung, sowie das Bundeskriminalamt – in die Beweissicherung eingebunden.

Sicherheit vor Schnelligkeit

Die aktuellen Entwicklungen werden direkt mit Innenminister Gerhard Karner abgestimmt. "Alle Systeme wurden sofort abgeschaltet und werden nun schrittweise, nach der Wichtigkeit für die Bürgerinnen und Bürger hochgefahren. Dabei gilt das Prinzip Sicherheit vor Schnelligkeit", sagte Kaiser, der sich bei allen Mitarbeiterinnen und Mitarbeitern der Abteilung IT und den externen Partnern, die unermüdlich an der Beseitigung den Folgen des Hackerangriffs arbeiten, bedankte.

Neue Form der Kriminalität

Laut aktueller Kriminalitätsstatistik hat es 2020 35.000 und 2021 bereits 46.000 Fälle von Cyberkriminalität in Österreich gegeben. "Diese neue Form der Kriminalität ist im Vormarsch, daher ist es notwendig die personellen Ressourcen in den Ermittlungsbehörden aufzustocken und die Strafgesetze zu novellieren", sagte Kaiser in Richtung Bund und betonte, dass er diese Forderungen bei der Landeshauptleutekonferenz einbringen wird. Parallel dazu soll die Präventionsarbeit für Österreich intensiviert werden um die Bürgerinnen und Bürger zu schützen.

Phasen des Angriffs

IT- und Cybercrime-Experte Cornelius Granig, betonte, dass die Sicherheitssysteme des Landes auf dem neuesten Stand seien. Er schilderte den Ablauf des Angriffs auf das Land. "Der Angriff erfolgte in drei Phasen. Zuerst drangen die Täter über ein problematisches Mail in die Systeme ein, danach wurden Daten verschlüsselt und eine Lösegeldforderung deponiert. Schließlich ein Überlastungsangriff, der erfolgreich abgewehrt wurde, gestartet, um den Forderungen Nachdruck zu verleihen. Das ist die übliche Vorgangsweise dieser kriminellen Gruppe", schildert Granig und verweist darauf, dass es keine 100-prozentige Sicherheit gibt.

Neue Schadsoftware

"In diesem konkreten Fall wurde eine neue Schadsoftware verwendet, die von den vorhandenen Sicherheitssystemen nicht erkannt wurde", sagt der Experte. Granig geht davon aus, dass der Angriff in Zusammenhang mit russischen Strukturen steht. "Die Täter agieren im Darknet. Es ist daher schwer zu sagen, woher sie tatsächlich kommen. Die Vorgangsweise ähnelt bekannten Tätergruppen, die von Russland aus aktiv sind", sagt Granig. Und: "Fakt ist, dass Russland einen Cyberkrieg gegen den Westen führt."

Kein Lösegeld wird bezahlt

Von der Bezahlung der Lösegeldforderung rät Garnig vehement ab: "Es sind Kriminelle und man hat keine Garantie, dass die Entschlüsselungssoftware funktioniert und die Daten nicht dennoch geleakt werden. Häufig werden überdies falsche Daten veröffentlicht, um Strategien der digitalen Desinformation umzusetzen. Zudem wird durch jede Lösegeldbezahlung der Ausbau der kriminellen Aktivitäten im Darknet unterstützt, indem mit dem Geld etwa Plattformen für den Handel mit Kinderpornographie, Waffen oder Drogen finanziert werden".

Stand der Ermittlungen

Die Leiterin des Landesamtes für Verfassungsschutz und Terrorismusbekämpfung, Viola Trettenbein, berichtete über den Stand der Ermittlungen. "Der Staatsanwaltschaft Klagenfurt wurde bereits ein Erstbericht übermittelt. Es handelt sich um sehr umfangreiche Ermittlungen, da riesige Datenmengen analysiert werden müssen und internationale Rechtshilfeansuchen notwendig sind, um den Sachverhalt präzise darstellen zu können", sagt Trettenbrein.

Bei Verdacht: Anzeige erstatten

Bürgerinnen und Bürgern, die fürchten, dass ihrer Daten von Hackern abgerufen wurden, rät die LVT-Leiterin: "Ich ersuche alle, mit ihren Daten sorgfältig umzugehen. Sobald man einen Verdacht hat, dass etwas nicht stimmt, oder verdächtige Mails erhält, sollte man Anzeige erstatten".

Alles Mögliche wird getan

Harald Brunner – der seit 1. Juni des Jahres die Abteilung IT im Land Kärnten leitet – erklärte, dass derzeit alles Menschenmögliche getan wird um weitere Angriffe abzuwehren und die Systeme wiederherzustellen. "Das Prinzip lautet Sicherheit vor Schnelligkeit. Die neu installierten Sicherheitssysteme konnten einen Überlastungsangriff, erfolgreich abwehren", berichtet Brunner und verwies darauf, dass aus diesem Grund die Seite ktn.gv.at für die Bürgerinnen und Bürger noch nicht zugänglich ist. "Die Seite wäre ein potentielles Ziel für einen erneuten Angriff", sagte Brunner.

Geleakte Daten stammen aus Landes-IT

Hinsichtlich der unlängst aufgetauchten Datenbestandteile, die angeblich von den Servern des Landes stammen sollten, sagt der Leiter der Landes-IT: "Wir können bestätigen, dass die veröffentlichten Bezeichnungen mit jenen auf unseren Systemen übereinstimmen, aber nicht verifizieren, dass es sich tatsächlich um unsere Daten handelt“. Dennoch wurde die Datenschutzbehörde darüber bereits informiert.