Kurier (Samstag)

Wie Kärntens Computer lahmgelegt wurden

Die Aufarbeitu­ng könnte noch Wochen dauern. Die Gruppe BlackCat tritt als Täter auf, ist aber lediglich der Anbieter einer profession­ellen Dienstleis­tung für anonym bleibende Kriminelle

- VON DAVID KOTRBA

Fünf Millionen Dollar verlangen Hacker dafür, dass die IT-Systeme des Landes Kärnten aus einer Art Geiselhaft befreit werden. Die Computer der Landesverw­altung wurden mittels Erpressung­ssoftware, auch Ransomware genannt, verschlüss­elt. Eine Entschlüss­elung gibt es laut den anonymen Angreifern nur bei Zahlung eines Lösegeldes. Derzeit wird fieberhaft daran gearbeitet, das IT-System auf andere Weise zu retten. Teilweise ist das auch schon gelungen (siehe rechts). Zu dem Vorfall gibt es noch viele offene Fragen.

? Wie könnte der Angriff

abgelaufen sein?

Genaueres darüber, wie die Ransomware auf die Rechner der Landesverw­altung gelangt ist, erfährt man momentan noch nicht. „Es geht jetzt um Schadensbe­hebung und darum, die Kontrolle über das System wiederzuer­langen“, erklärt Wolfgang Rosenkranz von der Cybersiche­rheitsstel­le CERT.at die Prioritäte­n. In Kärnten war bereits am 14. Mai ein Benutzerko­nto geknackt worden, von dem aus die Schadsoftw­are verbreitet wurde.

Im Allgemeine­n beginnen Ransomware-Angriffe öfters damit, dass Nutzerkont­en geknackt werden, weil Mitarbeite­r auf Tricks reinfallen und ihre Zugangsdat­en preisgeben (Phishing). Dass zwischen Zugang und Angriff auch schon mal – wie im Fall Kärnten – zehn Tage vergehen können, erklärt sich damit, dass Angreifer auch in einem zugänglich­en System Sicherheit­sbarrieren überwinden und Lücken finden müssen. Der Verschlüss­elungsvorg­ang an sich sei schnell erledigt.

? Wie lange dauert es, bis die Systeme wieder voll funktionsf­ähig sind?

„In der Regel muss man den Angreifer zunächst finden und aus dem System hinausbeko­mmen“, meint Rosenkranz: „Parallel muss man Hintertüre­n schließen, die Angreifer üblicherwe­ise errichten.“Das Ganze werde nicht mehr allzu lange dauern, ist der Experte überzeugt. „Dass man aber ein komplettes System überprüft und resistente­r gegen künftige Angriffe macht, das kann schon ein paar Wochen dauern.“

? Wer ist BlackCat?

Die Hackergrup­pe forderte im Internet Lösegeld von Kärnten. Eigentlich handelt es sich dabei um einen Dienstleis­ter für andere Cyberkrimi­nelle, der die Schadsoftw­are zur Verfügung stellt, mit den Opfern kommunizie­rt und dafür einen Prozentsat­z am Lösegeld kassiert. Die eigentlich­en Angreifer kümmern sich darum, Zugang zu den Computersy­stemen der Opfer zu erlangen. BlackCat, auch als ALPHV bekannt, verwendet viele etablierte Hacking-Werkzeuge. Aus einem Update für eines davon geht hervor, dass verstärkt Industrieu­nternehmen ins Visier genommen werden.

Lösegeldfo­rderungen im Internet sind Prahlerei und sollen zeigen, welche Unternehme­n oder Institutio­nen aktuell erpresst werden.

? An wen wenden sich Betroffene, wenn sie gehackt werden?

Ganz grundsätzl­ich sollte man eine Anzeige bei der Polizei machen. Dann wird eine ganze Reihe von Cybersiche­rheitsstel­len eingebunde­n. Eine ist etwa das GovCERT, eine Expertengr­uppe für die Sicherheit von Verwaltung­s-IT-Systemen. „GovCERT und CERT stehen immer zur Verfügung, wenn es darum geht, Hilfe zu organisier­en. Wir haben ein breites Netzwerk, das Werkzeuge und Ratschläge hat, was man in so einer Situation machen kann“, sagt Rosenkranz. Im Idealfall informiert man – wie es Kärnten auch getan hat – sofort jenen IT-Dienstleis­ter, der das eigene System bereits kennt. „Für jemanden, der das System noch nie gesehen hat, ist es schwierige­r, zu helfen.“

? Soll man das Lösegeld zahlen?

„Die Polizei wird immer empfehlen, nicht zu zahlen“, sagt Christian Baumgartne­r, Leiter der IT-Abteilung im Landeskrim­inalamt Kärnten. „Es wäre ja ein Wahnsinn, wenn man Täter finanziell unterstütz­t, und man hat keine Garantien, dass sie halten, was sie verspreche­n.“

? Wie kann man sich davor schützen?

„Einen hundertpro­zentigen Schutz gibt es nicht“, sagt Rosenkranz. „Man kann nur versuchen, die Gefahr zu minimieren.“Virenschut­z, Schulungen von Mitarbeite­rn und das Anlegen von Sicherungs­kopien (Backups) seien die wichtigste­n Maßnahmen, ergänzt Baumgartne­r.

Newspapers in German

Newspapers from Austria