Wie Kärntens Computer lahmgelegt wurden
Die Aufarbeitung könnte noch Wochen dauern. Die Gruppe BlackCat tritt als Täter auf, ist aber lediglich der Anbieter einer professionellen Dienstleistung für anonym bleibende Kriminelle
Fünf Millionen Dollar verlangen Hacker dafür, dass die IT-Systeme des Landes Kärnten aus einer Art Geiselhaft befreit werden. Die Computer der Landesverwaltung wurden mittels Erpressungssoftware, auch Ransomware genannt, verschlüsselt. Eine Entschlüsselung gibt es laut den anonymen Angreifern nur bei Zahlung eines Lösegeldes. Derzeit wird fieberhaft daran gearbeitet, das IT-System auf andere Weise zu retten. Teilweise ist das auch schon gelungen (siehe rechts). Zu dem Vorfall gibt es noch viele offene Fragen.
? Wie könnte der Angriff
abgelaufen sein?
Genaueres darüber, wie die Ransomware auf die Rechner der Landesverwaltung gelangt ist, erfährt man momentan noch nicht. „Es geht jetzt um Schadensbehebung und darum, die Kontrolle über das System wiederzuerlangen“, erklärt Wolfgang Rosenkranz von der Cybersicherheitsstelle CERT.at die Prioritäten. In Kärnten war bereits am 14. Mai ein Benutzerkonto geknackt worden, von dem aus die Schadsoftware verbreitet wurde.
Im Allgemeinen beginnen Ransomware-Angriffe öfters damit, dass Nutzerkonten geknackt werden, weil Mitarbeiter auf Tricks reinfallen und ihre Zugangsdaten preisgeben (Phishing). Dass zwischen Zugang und Angriff auch schon mal – wie im Fall Kärnten – zehn Tage vergehen können, erklärt sich damit, dass Angreifer auch in einem zugänglichen System Sicherheitsbarrieren überwinden und Lücken finden müssen. Der Verschlüsselungsvorgang an sich sei schnell erledigt.
? Wie lange dauert es, bis die Systeme wieder voll funktionsfähig sind?
„In der Regel muss man den Angreifer zunächst finden und aus dem System hinausbekommen“, meint Rosenkranz: „Parallel muss man Hintertüren schließen, die Angreifer üblicherweise errichten.“Das Ganze werde nicht mehr allzu lange dauern, ist der Experte überzeugt. „Dass man aber ein komplettes System überprüft und resistenter gegen künftige Angriffe macht, das kann schon ein paar Wochen dauern.“
? Wer ist BlackCat?
Die Hackergruppe forderte im Internet Lösegeld von Kärnten. Eigentlich handelt es sich dabei um einen Dienstleister für andere Cyberkriminelle, der die Schadsoftware zur Verfügung stellt, mit den Opfern kommuniziert und dafür einen Prozentsatz am Lösegeld kassiert. Die eigentlichen Angreifer kümmern sich darum, Zugang zu den Computersystemen der Opfer zu erlangen. BlackCat, auch als ALPHV bekannt, verwendet viele etablierte Hacking-Werkzeuge. Aus einem Update für eines davon geht hervor, dass verstärkt Industrieunternehmen ins Visier genommen werden.
Lösegeldforderungen im Internet sind Prahlerei und sollen zeigen, welche Unternehmen oder Institutionen aktuell erpresst werden.
? An wen wenden sich Betroffene, wenn sie gehackt werden?
Ganz grundsätzlich sollte man eine Anzeige bei der Polizei machen. Dann wird eine ganze Reihe von Cybersicherheitsstellen eingebunden. Eine ist etwa das GovCERT, eine Expertengruppe für die Sicherheit von Verwaltungs-IT-Systemen. „GovCERT und CERT stehen immer zur Verfügung, wenn es darum geht, Hilfe zu organisieren. Wir haben ein breites Netzwerk, das Werkzeuge und Ratschläge hat, was man in so einer Situation machen kann“, sagt Rosenkranz. Im Idealfall informiert man – wie es Kärnten auch getan hat – sofort jenen IT-Dienstleister, der das eigene System bereits kennt. „Für jemanden, der das System noch nie gesehen hat, ist es schwieriger, zu helfen.“
? Soll man das Lösegeld zahlen?
„Die Polizei wird immer empfehlen, nicht zu zahlen“, sagt Christian Baumgartner, Leiter der IT-Abteilung im Landeskriminalamt Kärnten. „Es wäre ja ein Wahnsinn, wenn man Täter finanziell unterstützt, und man hat keine Garantien, dass sie halten, was sie versprechen.“
? Wie kann man sich davor schützen?
„Einen hundertprozentigen Schutz gibt es nicht“, sagt Rosenkranz. „Man kann nur versuchen, die Gefahr zu minimieren.“Virenschutz, Schulungen von Mitarbeitern und das Anlegen von Sicherungskopien (Backups) seien die wichtigsten Maßnahmen, ergänzt Baumgartner.