Nach Hacker-Angriff: Keine Bestätigung für Datenleak

Bei den Daten, die am Freitag die Runde machten, handelte es sich laut Gerd Kurath vom Landespressedienst lediglich um eine Liste mit Dateinamen und nicht um tatsächliche, verifizierbare Dateien. Die Onlineplattform "futurezone.at" hatte sich am Freitag auf einen Tweet eines Wiener IT-Security-Unternehmers berufen.

Dieser präsentierte einen Screenshot einer Ordnerstruktur, die Ordner trugen Namen wie "Reisepässe", "Hypo-Heta USA" (Untersuchungsausschuss, Anm.), "impfungen" oder "cards". Es seien Ausweise, Reisepässe, Corona-Tests und politische Positionspapiere veröffentlicht worden.

Bicchi: Rechnet mit Veröffentlichung weiterer Daten

Wie Bicchi im Gespräch mit der APA sagte, habe er einen Teil der Daten "stichprobenartig" heruntergeladen: "Und das waren sehr wohl Dateien." Screenshots von der Grüner-Pass-App und eine "größere Menge von Reisepässen" seien dabei gewesen: "Wobei ich nicht sagen kann, ob sie von Bürgern des Landes oder Angestellten waren. Tatsache ist, ich konnte sie herunterladen." Ein großer Mailfolder, hauptsächlich die Ukraine betreffend, war dabei, außerdem habe er größere Ordner mit ausgefüllten Visa-Formularen gesehen, so Bicchi.

Vorerst wurden knapp sechs Gigabyte Daten onlinegestellt, die Erpresser gaben an, 250 Gigabyte zu haben. "Ich rechne damit, dass sie weitere Dateien onlinestellen", so Bicchi. Die Dateien seien nicht im Darknet, sondern im öffentlich zugänglichen Teil des Internets, auf einem Hostingprovider, veröffentlicht worden. Laut Bicchi aus Kalkül: Damit solle größtmögliche Aufmerksamkeit geschaffen und Druck erzeugt werden. Unterdessen wurde der Inhalt vom Hostingprovidern entfernt, laut Landespressedienst auf Betreiben des Innenministeriums.

Die Vorgehensweise war typisch, meinte Bicchi: "Die Veröffentlichung ist dazu da, um auch späteren Opfern klarzumachen, dass es dazu kommen wird." Vor allem E-Mails werden gerne erbeutet, weil: "Man muss nicht wissen, was drin ist, um großen Druck zu erzeugen."

Hacker stellen Ultimatum

Wie Kurath am Freitagnachmittag vor Journalisten sagte, hätten die Hacker Anfang der Woche auf einer Seite im Darknet dem Land ein neues Ultimatum gestellt: Wenn kein Lösegeld bezahlt wird, wurde damit gedroht, eine "Denial of Service-Attacke", also eine gezielte Überlastung des Systems, durchzuführen. Außerdem wurde mit der Veröffentlichung von gestohlenen Daten gedroht.

Ende der Woche habe diese Attacke begonnen, diese habe man aber bisher abwehren können, sagte Kurath: "Unser IT-System ist - auch durch einen externen Dienstleister - derzeit wahrscheinlich eines der besten und sichersten Systeme, die es gibt, weil es gleich mehrfach abgesichert ist."

Kleiner Bereich der Daten gelesen

Weiterhin offen blieb die Frage, ob es den Hackern tatsächlich gelungen war, Daten abzusaugen. "Wir können nur sagen, dass ein kleiner Bereich an Daten gelesen wurde. Wir haben von Anfang an gesagt, es ist unwahrscheinlich, aber nicht auszuschließen, dass Daten auch abgesaugt wurde." Kurath konnte auch nicht bestätigen, dass Reisepässe oder Bankomatkarten im Umlauf seien. Letzteres bezweifelte er sogar: "Wir stellen keine Bankomatkarten aus, wir haben diese sensiblen Daten überhaupt nicht."

Die Landes-IT sei derzeit, unterstützt von externen Experten und der Polizei, damit beschäftigt, die Daten vom Freitag auszuwerten. Das Problem sei, dass es sich dabei nur um eine Liste von Dateinamen handle, hinter denen keine konkreten Dateien stehen würden, die man überprüfen könne. Auf Spekulationen, ob die Erpresser Dateinamen gewählt hätten, die einigermaßen plausibel sind, um zu bluffen, wollte sich Kurath nicht einlassen.

Hackergruppe "Black Cat" verantwortlich

Der Hackerangriff war am Dienstag vor einer Woche publik geworden. Landesverwaltung, Bezirkshauptmannschaften, Rechnungshof und Verwaltungsgericht waren von dem Hackerangriff betroffen, das System wurde abgeschaltet und nach und nach wieder hochgefahren. Schon bald nach der Tat hatte sich die internationale Hackergruppe "Black Cat" gemeldet und eine Lösegeldforderung in Höhe von fünf Millionen Dollar in Bitcoins gestellt. Vom Land Kärnten hatte es geheißen, man werde die geforderte Summe auf keinen Fall bezahlen - dabei blieb man auch am Freitag.