Am Dienstag, dem 24. Mai 2022, wurde es finster in Kärnten: Hacker hatten das EDV-System des Landes lahmgelegt. Vorbereitet wurde die Attacke, wie spätere Ermittlungen ergeben haben, schon Wochen zuvor. Die unbekannten Täter haben Mails, Links und Dateien mit Schadsoftware an zahlreiche der rund 4000 E-Mail-Adressen in der Landesverwaltung verschickt. Nachdem einige diese Post geöffnet wurde, hatten die Kriminellen ihr Ziel erreicht: Die Schadsoftware verbreitete sich im EDV-System und um 5.45 Uhr des besagten Dienstags war Schluss. Nichts ging mehr, etwa 100 Rechner waren mit einem Virus verseucht.
Das Amt der Kärntner Landesregierung (AKL), die acht Bezirkshauptmannschaften, der Landesrechnungshof und das Landesverwaltungsgericht waren von der digitalen Außenwelt abgeschnitten. Kein Telefon, keine E-Mail funktionierten, Pässe und Führerscheine konnten nicht ausgestellt werden, keine Anfragen beantwortet und Akte bearbeitet werden. 4000 Landesmitarbeiter und Abertausende weitere Kärntner waren betroffen.
Angreifer wollten Lösegeld
Um ein noch größeres Desaster zu verhindern, wurde die gesamte EDV heruntergefahren. „Wir hatten ein sehr gutes und sehr gut gesichertes Back-up-System“, sagt Christian Inzko, seit September 2023 Chef der Unterabteilung Informationstechnologie im AKL. Doch auch diese Maßnahme konnte nicht verhindern, dass die unbekannten Täter rund 250 Gigabyte an Daten gestohlen haben – und später dem Land um fünf Millionen Dollar verkaufen wollten. „Dass das Land nicht zahlen wollte und auch nicht durfte, war unsere wichtigste Schutzmaßnahme“, sagt Inzko. „Denn damit war den Erpressern klar: Wenn wir beim ersten Mal nicht zahlen, zahlen wir auch später nicht.“
Als das Land die Zahlung verweigerte, sollen die Daten im Juni 2022 im Darknet – einem nur über spezielle Browser zugänglichen, verschlüsselten Teil des Internets – zum Verkauf angeboten worden sein. Ob diese tatsächlich verkauft worden sind und an wen, weiß man nicht. Auch nicht, wer hinter dem Angriff steckte. Zwar gab es von Anfang an Vermutungen, dass die Hackergruppe „Black Cat“ dafür verantwortlich sei, doch Beweise gibt es nicht.
Ebenso wenig, wie es bis heute irgendeine Spur von den Kriminellen gibt. Bereits im November 2023 hat die Staatsanwaltschaft Klagenfurt daher ihre Ermittlungen zu dem Fall abgebrochen. Dass die Spuren ins Ausland führen, wohl zu russischen Hackern, war zu wenig. „Die Ermittlungsansätze haben allesamt kein Ergebnis gebracht“, so Behördensprecher Markus Kitz damals. Daran hat sich bis heute nichts geändert. Sollten sich neue Ansätze ergeben, werden die Ermittlungen in diesem Cold Case (ungelöster Kriminalfall) wieder aufgenommen.
„So schwer wie möglich machen“
Fünf Tage nach der Hackerattacke funktionierten erste, einfache Dienste wieder, wie etwa E-Mails. Allerdings nur eingeschränkt. Bis alle Schäden beseitigt waren, dauerte es mehrere Monate. Die Höhe des Schadens war enorm: Rund zwei Millionen Euro kostete es die unmittelbaren Folgen der Cyber-Attacke zu beseitigen. Dazu kommen weitere 5,5 Millionen Euro, die in Sicherheitsmaßnahmen investiert wurden.
Und das Land habe aus der Hackerattacke gelernt und die IT-Sicherheit massiv erhöht, sagt Landes-IT-Chef Inzko. Kritische und besonders wichtige Stellen im EDV-System werden durch mehrere, verschiedene Technologien geschützt. Erkennt ein Sicherheitssystem einen Eindringling nicht, können andere einspringen. Dazu gibt es in unregelmäßigen Abständen, nicht angekündigte Sicherheitschecks durch externe Firmen, erklärt Inzko. So wird einerseits das eigene EDV-System und andererseits Dienstleister des Landes überprüft.
Seit dem Frühjahr 2022 habe es keine weitere Cyber-Attacke auf das Land gegeben. Ist das Thema damit durch? „Nein. Hackerangriffe sind immer möglich, niemand kann diese ausschließen“, sagt Inzko. „Wir können es den Kriminellen aber so schwer wie nur möglich machen.“
