Mehr als zwei Jahre nach einem folgenschweren Hackerangriff auf das IT-System des Landes Kärnten hat der Rechnungshof (RH) Österreich weiterhin Verbesserungsbedarf geortet. Mit Ende 2023 fehlten weiterhin „die Zwei-Faktor-Authentifizierung für alle IT-Arbeitsplätze, die vollständige Dokumentation der umgesetzten IT-Sicherheitsmaßnahmen oder etwa ein umfassendes IT-Notfallhandbuch sowie verstärkte IT-Sicherheitsüberprüfungen“, heißt es in einem aktuellen RH-Bericht.
Ende Mai 2022 war die Kärntner Landesverwaltung durch den Hackerangriff tagelang komplett lahmgelegt worden, monatelang gab es deshalb Einschränkungen. Die Hacker waren über ein Phishingmail in das System gelangt und hatten so Zugang auf einen Fileserver erlangt. Die Gruppe „Black Cat“ hatte sich zu dem Angriff bekannt, bei dem eine Datenmenge von 250 Gigabyte zumindest eingesehen wurde. Bei den Daten hatte es sich vor allem um solche aus den Büros der Mitglieder der Kärntner Landesregierung gehandelt. Betroffen waren etwa 80.000 Stammdatenblätter von Niederlassungs- und Aufenthaltsbewilligungen, 4.000 Kontaktdaten des Veranstaltungsmanagements und interner Schriftverkehr von Regierungsmitgliedern sowie Mitarbeitern.
Fünf Millionen Dollar
Wie viel von den Daten auch kopiert wurde, ließ sich nicht genau sagen. Im Darknet wurde allerdings ein 5,6 Gigabyte großer Teil der Daten veröffentlicht. Die Hacker gaben bekannt, dass sie die Daten weiterverkauft hätten, weil das Land das geforderte Lösegeld - fünf Millionen Dollar - nicht bezahlen wollte. Ob die Daten wirklich verkauft wurden, ist nach wie vor unklar. Vor einem Jahr gab die Staatsanwaltschaft Klagenfurt bekannt, dass die Ermittlungen abgebrochen wurden, weil es keine Spuren mehr gab, die aktiv zu verfolgen wären - alles, was man gehabt habe, sei im Sand verlaufen. Ermittlungserfolge bei Hackerangriffen oder Online-Betrügereien seien äußerst selten, wurde betont.
Auf Hochtouren lief hingegen seither die Aufarbeitung des Angriffs - auch der Rechnungshof widmete sich diesem Thema. In einem am Freitag veröffentlichten Bericht wurde festgehalten, dass das Land Kärnten zwar bereits vor dem Cyberangriff Maßnahmen im Bereich der IT-Sicherheit umgesetzt hatte - dadurch habe man den Angriff jedoch „weder erkennen noch verhindern“ können: „Das IT-Sicherheitsmanagement insgesamt war lückenhaft.“
Einige Maßnahmen fehlen weiterhin
Nach dem Cyberangriff habe das Land Kärnten weitere Schritte zur Erhöhung der Sicherheit gesetzt, so wurden etwa für Sofort- und Wiederherstellungsmaßnahmen 5,75 Millionen Euro zur Verfügung gestellt. Weiters wurde ein „Rapid Response Team“ eingerichtet, eine neue Firewall und ein DDoS-Schutz aufgebaut. „Zur Zeit der Rechnungshof-Prüfung waren auch weitere technische Maßnahmen abgeschlossen, etwa die Absicherung des Netzwerks oder die Sicherung der notwendigen IT-Dienste“, hieß es vom RH - einige Maßnahmen fehlten aber weiterhin.
Wie das Land Kärnten dazu am Freitag mitteilte, wurde die flächendeckende Zwei-Faktor-Authentifizierung mittlerweile ausgerollt und sei auf allen Geräten verfügbar. Außerdem wurde „die Landes-IT nach ISO 9001 und 27001 (Informationssicherheit) zertifiziert“, für das Jahr 2024 wurde im Februar ein gültiges Zertifikat ausgestellt: „Dies umfasst natürlich selbstverständlich auch die Aktualität aller sicherheitstechnischen Dokumentationen wie Wiederanlauf oder IT-Notfallhandbuch.“
Der RH zog in dem Bericht auch eine Verbindung zu den DDoS-Angriffen auf die Websites österreichischer Parteien und öffentlicher Einrichtungen im Umfeld der Nationalratswahl 2024: „Neben der Erhöhung der IT-Sicherheit ist auch die Zusammenarbeit mit Bundesbehörden und Cybergremien wesentlich, um die Auswirkungen von Cyberangriffen zu verhindern oder möglichst gering zu halten.“
