Innenminister Karner erklärt

Korneuburger Rathaus mit Lockbit-Methode gehackt

Jetzt steht fest, die Cyberattacke auf das Korneuburger Rathaus wurde von Lockbit durchgeführt. Das ist jene weltweit agierende Tätergruppe, die in der Nacht von Montag auf Dienstag von internationalen Ermittlern, unter Federführung Großbritanniens und mit Beteiligung des Bundeskriminalamtes, ausgeschalten wurde. Ein Ukrainer und ein Pole wurden dabei festgenommen. Spuren führen in die ehemaligen Staaten der Sowjetunion und bis nach Russland.

NÖ | BEZIRK | STADT KORNEUBURG. Drei Tage lang hatte die Korneuburger Rathaus-IT einen unbekannten "Wochenendmitarbeiter".

"Wir wissen jetzt, dass von 28. Jänner bis 2. Februar jemand in unserem Netzwerk war und die Daten verschlüsselt hat. Das heißt für uns, dass wir drei Tage nach wie vor nicht rekonstruieren können",

erklärt Bürgermeister Christian Gepp bei einer gemeinsamen Pressekonferenz mit Innenminister Gerhard Karner. Schlimmeres konnte damals nur durch IT-Chef Christopher Kremlicka verhinderte werden. Dieser bemerkter eine bereits verschlüsselte E-Mail in seinem Postfach, fuhr daraufhin zum Rathaus und zog den Stecker.

Enge Zusammenarbeit mit Behörde

"Die Stadtgemeinde Korneuburg wurde mit der Lockbit-Schadsoftware angegriffen, auch das WIFI St. Pölten",

erklärte Innenminister Karner. Die Methode sei bekannt, nicht aber die Untergruppierungen, die sie verwenden.

"Die große Frage ist, wer hat sie angekauft? Das, was in den letzten zweieinhalb Wochen in Korneuburg passiert ist, wird direkt in unsere Ermittlungen einfließen. Die enge Zusammenarbeit und das rasche Handeln Korneuburgs waren hier essentiell."

Rund 1.000 Lockbit-Opfer gibt es weltweit, über 30 davon in Österreich. Da man nun die Methode kenne, bestünde eine große Chance, Daten wieder rekonstruieren und entschlüsseln zu können. "Das sind die Ermittlungsstränge, die nun beginnen", erklärt Karner.

Zwei Drittel funktionieren wieder

Dass es eine Lösegeldforderung für die verschlüsselten Korneuburger Daten gegeben hat, bestätigt Bürgermeister Christian Gepp. Die Höhe will man jedoch nicht bekanntgeben. Was der Stadtgemeinde zugute kommt, man hatte eine "Offline-Sicherung" aller Daten.

"Erst im Dezember haben wir von externen IT-Experten unser gesamtes System einem sogenannten Health Check unterzogen. Damals wurde uns ein gutes Attest ausgestellt. Heute sind wir immer noch nicht dort, wo wir vor dem Cyberangriff waren. Rund zwei Drittel unserer PCs sind wieder frei und funktionstüchtig",

erklärt der Stadtchef.
52 Server gibt es im Rathaus, 22 davon sind systemrelevant.

"Zwischenzeitlich konnten wir weder drucken noch kopieren. Es ging nichts mehr, weder im Standes- oder Meldeamt oder Mails. Wir wissen jetzt aber auch, der Angriff auf uns dürfte zufällig und nicht gezielt gewesen sein",

sagt Gepp. Bis zu 100 Laptops mussten nun neu aufgesetzt werden.

Lösegeld nicht bezahlen

Cyberattacken nehmen zu und klettern in der Kriminalitätsstatistik rasant nach oben. Umso wichtiger sei nun dieser schlag auf die internationale Tätergruppierung gewesen, versichert Karner.

"Wichtig ist, Lösegeldforderungen nicht zu erfüllen und umgehend mit der Polizei Kontakt aufzunehmen. Nur so können wir und unsere Experten des Bundeskriminalamtes (BKA) und des Landesamtes für Staatsschutz und Extremismusbekämpfung (LSE) aktiv werden."

Einher gehe dies mit einer Österreichweiten Reform des Kriminaldienstes, um die Kompetenz für das Aufspüren von Cyberkriminellen auch in den einzelnen Polizeiinspektionen zu bündeln.

"Unverzichtbar ist auch eine entsprechende Sicherung der Daten im Vorfeld und eine Sensibilisierung für Mitarbeiter, verdächtige Mails nicht zu öffnen. Gerade unsere Klein- und Mittelbetriebe sind hier besonders gefordert."

Es wird teuer

Es wird wohl noch Monate dauern, bis die Korneuburger Rathaus-IT wieder so funktioniert, wie vor dem Angriff.

"Wir arbeiten jetzt mit einem Doppelnetzwerk. Alles muss danach nochmal neu eingerichtet und aufgesetzt werden. Die Hilfe der externen IT-Experten wird uns zwischen 50.000 und 100.000 Euro kosten. Dazu kommt dann noch die Arbeitszeit unserer Mitarbeiter, die seit dem Cyberangriff zahlreiche Überstunden machen",

so der Bürgermeister.

Was ist Lockbit?

Die Experten von BKA und LSE versuchen eine Erklärung für Laien: Im Grunde gibt es eine Muttergesellschaft, dahinter eine Kerngruppierung von Tätern, die die Lockbit-Schadsoftware vertreiben. So entstehen zahlreiche Tochtergesellschaften, die dann Lockbit verwenden. "Es sind quasi die Lockbit Franchise-Firmen, die die Software verwenden, die Angriffe ausführen und dann mit den verschlüsselten Daten Geld erpressen wollen."

Das könnte Sie auch interessieren: