Computerforensiker zum Hackerangriff

ZIB: Wie sind die Hacker vorgegangen? Warum gerade die Kärntner Landesregierung? Und ist es realistisch, dass bald wieder alles normal läuft? Das wollen wir jetzt besprechen. Deshalb bin ich verbunden mit Michael Meixner. Einen schönen guten Abend.

Michael Meixner: Guten Abend.

ZIB: Sie sind jetzt in so einem Fall gefragt, wenn sozusagen eine Cyber-Attacke passiert ist, um herauszufinden, wie es die Hacker geschafft haben, in die Systeme einzudringen. Haben Sie eine Vermutung? Wie das in Kärnten passiert ist und warum gerade Kärnten?

Michael Meixner: Das ist sicherlich nur ein Zufall, dass es passiert ist, oder wie es passiert ist. Aus meinem Erkenntnisstand war es ein Rechner, der am 14. Mai 2022 befallen wurde, und danach haben sich die Hacker ganz einfach im System breit gemacht und dann schlussendlich am 24. Mai 2022 zugeschlagen.

ZIB: Aber jetzt haben Laien sich gefragt, wie schaffen es die Hacker sich im System breit zu machen?

Michael Meixner: Die Hacker haben heutzutage zwei Möglichkeiten, die wirklich effizient sind. Die eine Möglichkeit ist, Sie bekommen eine E-Mail mit einem Attachment, Sie öffnen das von einer Person wo Sie glauben Sie kennen sie, wobei es aber in Wirklichkeit nicht ist, und Sie öffnen diese Datei und sind somit infected, oder Sie begeben sich auf einen Link oder Sie folgen einem Link von einer E-Mail und bekommen einen so genannten „Drive-by“, sodass sich eine Datei, welche sich automatisch downloaded, sich nachher auf dem PC festfrisst.

ZIB: Jetzt wird jedenfalls unter Hochdruck daran gearbeitet, damit die Systeme wieder funktionieren. Derzeit geht eben das E-Mail System nicht, Reisepässe können nicht ausgestellt werden. Ist auch damit zu rechnen, das sensible Daten gestohlen wurden?

Michael Meixner: Das ist von der Ferne sehr sehr schwer zu sagen.Ich gehe davon aus, dass dadurch die Hacker zehn Tage unerkannt auf den Systemen waren, dass sie sehr wohl auch Daten mitgenommen haben, um zusätzlich den Druck für die Erpressung und für die Lösegeldzahlung zu erhöhen.

ZIB: Es gibt eine Lösegeld-Forderung von fünf Millionen Dollar. Da das Land Kärnten aber schon gesagt hat, wir werden das nicht bezahlen, ist das die richtige Vorgangsweise, generell die richtige Vorgangsweise?

Michael Meixner: Generell ist es eine richtige Entscheidung. Es ist eine Risikoabschätzung, welche Systeme können sie wieder herstellen, und welche Systeme kann ich nicht wiederherstellen.

ZIB: Das heißt, wie viel Geld muss Kärnten jetzt in die Hand nehmen, damit eben die Systeme wieder zum Laufen gebracht werden können?

Michael Meixner: Aufgrund der Größe und aufgrund der Lösegeldforderung gehe ich davon aus, dass es sich bei einem Wiederaufbau und Normalbetrieb von einem Jahr bewegen wird, und es in einem Umfang von zirka 1 bis 1,5 Millionen Euro kosten wird.

ZIB: Also enorme Kosten, die dann auch noch auf das Land Kärnten zukommen. Die Spur führt zu einer Tätergruppe namens BlackCat. Was weiß man über diese Gruppe, und ist es realistisch, dass man diese Täter auch irgendwann einmal erwischen wird?

Michael Meixner: Ich glaube, erwischen wird man sie irgendwann sicherlich, aber sicherlich nicht in naher Zukunft. Soweit man aus verschiedenen Quellen im Internet lesen kann, ist diese Gruppe seit November 2021 tätig, sie hat sich spezialisiert auf große Unternehmen, große Erpressungen. Man sieht es ja in Kärnten, und die Lösegeldzahlungen passierten nicht auf Zufall, sondern die Lösegeldzahlung, die Höhe der Lösegelder bewegen sich immer.

Wie viele Daten konnten die Hacker wirklich verschlüsseln, und wie lange wird der Kunde brauchen? Weil sie werden sicherlich nicht für eine Bäckerei eine Million Euro Lösegeld verlangen, wenn sie wissen, dass es nicht nur fünf Rechner sind. Aber wenn ein gewisses Potenzial dahinter ist, und sie haben genug Daten verschlüsselt, ist natürlich auch das Lösegeld entsprechend höher.

ZIB: Jetzt gab es in Österreich zuletzt gehäuft Meldungen über Cyberattacken, da gab es etwa die Salzburg Milch oder den Kranhersteller Palfinger. Hat das damit zu tun, dass im Zuge der Corona Krise vieles einfach ins Home Office übersiedelt ist?

Michael Meixner: Ja, das hat sicherlich auch etwas damit zu tun dass manche Unternehmen oder Institutionen, die eigentlich ihre Kernsysteme ins Internet nie geöffnet gehabt haben, aber jetzt aufgrund von Corona dies natürlich machen mussten. Weil mit Homeoffice kommen Mitarbeiter nicht ins Büro, das ist natürlich ein zusätzliches Einfallstor und ein zusätzlicher Punkt für die Hacker.

ZIB: Apropos Einfallstor, eine Studie des Wirtschaftsprüfers KPMG hat ergeben, dass drei von vier Unternehmen die Anforderungen an die Cybersicherheit nicht erfüllen würden. Hätte dieser Angriff jetzt auch, wie wir ihn jetzt in Kärnten erlebt haben, verhindert werden können?

Michael Meixner: Rein theoretisch hätte er verhindert werden können, weil genau diese Signatur, wie genau diese BlackCat vorgeht, seit dem 25. Februar 2022 öffentlich zugänglich ist. Natürlich kann man keinem einzigen Mitarbeiter bzw. keiner einzigen Mitarbeiterin vom Land Kärnten einen Vorwurf machen, weil es kommen wirklich so viele Informationen und Einstellungen, dass man da einfach nicht nachkommt. Und wie man ja auch von den BlackCat weiß, sind dass ja keine Amateure, sondern das sind ja wirklich gute Leute, und man sieht ja auch, das ist ja eigentlich auch nicht leicht, sich in ein Unternehmen zu hacken, sondern da muss schon wirklich sehr hohe Energie und auch sehr gutes Know How dahinter sein, um wirklich bei einer Behörde einbrechen zu können.

ZIB: Herr Meixner, vielen Dank für das Gespräch und einen schönen Abend.