Nach dem Hackerangriff der Gruppe "BlackCat" auf das Land Kärnten hat es in den vergangenen Tagen weitere Angriffe, sogenannte Überlastungsangriffe, gegeben. "Diese konnten allerdings erfolgreich abgewehrt werden", sagt Landeshauptmann Peter Kaiser (SPÖ) am Montag. Kaiser betonte abermals, dass auf die Lösegeldforderung der Hacker nicht eingegangen werde. "BlackCat" fordert vom Land immer noch fünf Millionen Dollar in Bitcoins.

Das Land wehrt sich weiter gegen den Angriff. Neben einem internen Krisenstab wurden drei externe Firmen mit der Beweismittelsicherung beauftragt. Laut dem neuen Leiter der IT-Abteilung des Landes Kärnten, Harald Brunner, konnten mittlerweile alle im täglichen Betrieb benötigten Systeme wieder hochgefahren werden, bei anderen Systemen werde man das schrittweise tun. Alle notwendigen Auszahlungen im Sozialbereich sind wieder verfügbar, ebenso das Passwesen. Die Homepage des Landes werde zur Sicherheit noch einige Tage offline sein.

Opfer werden verständigt

Am Freitag aufgetauchte Berichte über geleakte Daten wurden auch am Montag vom Land nicht bestätigt. Cybercrime-Experte Cornelius Granig, den das Land zu Hilfe geholt hat, meinte: "Die Faktenlage ist derzeit noch nicht klar, wir müssen uns erst die Daten genau ansehen." Brunner räumte ein, dass eine Analyse der IT zu der im Darknet publizierten Verzeichnisliste zeige, dass Datenmenge und Ablageort korrelieren: "Was wir derzeit definitiv noch nicht sagen können, ist, ob und welche Daten tatsächlich abgesaugt wurden." Laut dem Wiener IT-Security-Unternehmer Sebastian Bicchi seien allerdings sehr wohl ganze Dateien veröffentlicht worden, darunter Ausweise, Reisepässe, Coronatests und politische Positionspapiere. Brunner versichert, sollten Kärntner Bürger tatsächlich Opfer von Identitätsdiebstählen geworden sein, dass diese darüber informiert werden.

Russische Tätergruppe

Das Landesamt für Verfassungsschutz und Terrorismusbekämpfung (LVT), welches die Ermittlungen leitet, hat wegen des Verdachts der schweren Erpressung einen Erstbericht der Staatsanwaltschaft Klagenfurt übermittelt. "Wir sichern derzeit alle digitalen Spuren, sichten Daten, analysieren und dokumentieren sie", sagt Polizeioffizierin Viola Trettenbrein vom LVT. "Digitale Datenermittlungen sind langwierig und schwierig."

Die Hoffnung, die Täter zu fassen, ist gering. Die Aufklärungsquote liegt bei Cybercrime-Delikten allgemein bei 35 Prozent, bei Hackerangriffen in dieser Dimension ist sie noch geringer. Laut Granig ist es auf technische Weise ein Ding der Unmöglichkeit, die Täter zu fassen. "Nur wenn sich Täter sozial auffällig verhalten, findet man sie", sagt er. Bei "BlackCat" handelt es sich laut Granig möglicherweise um eine russische Tätergruppe bzw. Tätergruppe, die mit russischen Strukturen zusammenarbeitet. Er gehe aber nicht davon aus, dass Kärnten und seine Bevölkerung gezielt in ihr Visier geraten waren. Der Verfassungsschutz wird jetzt ein internationales Rechtshilfeersuchen stellen.

Jetzt wurde auch der Auslöser des Hackerangriffs bekannt: Laut Brunner sei gesichert, dass es sich um eine Phishing-Attacke gehandelt hatte. Auslöser sei ein problematisches E-Mail an einem Arbeitsplatz im April gewesen. Die Schadsoftware habe sich dann über eine bekannte Betriebssystem-Schwachstelle ausgebreitet.

Drohung während Pressekonferenz

Im Chat der Pressekonferenz, in dem online teilnehmende Journalisten schriftlich Fragen stellen konnten, tauchte dann ein Eintrag auf, der Fragen aufwirft: Ein unbekannter User drohte in englischer Sprache sinngemäß mit der Veröffentlichung weiterer Daten, wenn kein Lösegeld gezahlt werde. "Der Eintrag wurde sofort gesichert und der Polizei übergeben", sagt Gerd Kurath, Leiter des Landespressediensts. Ob es sich tatsächlich um die Hackergruppe oder um einen Trittbrettfahrer gehandelt hat, wird jetzt untersucht.

Team Kärnten-Chef Bürgermeister Gerhard Köfer drängt weiter auf vollständige Aufklärung und wird sich dieser auch im Landtag widmen: „Im Rahmen der Fragestunde der Landtagssitzung am Donnerstag werden wir diese Cyber-Attacke bereits zum Thema machen, zudem gibt es einen ganzen Fragenkatalog unserer Fraktion an den zuständigen Landeshauptmann.“ Auch FPÖ-Landesparteiobmann Erwin Angerer fordert die lückenlose Aufklärung des möglichen Datendiebstahls.