Im Mai 2022 wurde ein größerer Cyberangriff auf die IT der Landesregierung von Kärnten (Österreich) bekannt. Während deren IT immer noch damit kämpft, die Schäden zu beseitigen, erhöhen die Cyberkriminellen den Druck auf die Landesregierung. Die Black Cat-Ransomware-Gruppe hat erste Dateien, die beim Angriff abgezogen wurden, im Internet veröffentlicht. Dazu gehören Ausweis-Ausschnitte von Kindern, Informationen über Einwanderer und mehr. Der Pressesprecher wiegelt derweil ab, es seien ja lediglich "Dateien und keine Daten entwendet und veröffentlicht worden" – ob die vom "Hack" stammen, seit unbekannt. Der Hack scheint ein Phishing-Angriff auf ein Benutzerkonto gewesen zu sein. Zeit für eine Nachlese: Österreich, wie es lebt und lacht.
Anzeige
Der Cyberangriff auf die Landesregierung Kärnten
Die Landesregierung von Kärnten (Österreich) kämpft seit Dienstag-Vormittag (24.5.2022) mit massiven IT-Problemen. Zuerst bin ich nur auf einen Tweet gestoßen, der dann auf den Artikel hier verlinkt. Das Ganze hörte sich noch recht harmlos an, wenn auch das komplette IT-System der Landesregierung heruntergefahren werden musste.
Laut Gerd Kurath, Chef des Landespressedienstes (LPD), waren die IT-Systeme des Amt der Kärntner Landesregierung (AKL) und dort speziell Outlook von diesem Cyber-Angriff betroffen. Aber auch alle acht Bezirkshauptmannschaften, der Landesrechnungshof und das Landesverwaltungsgericht hingen wohl mit an der IT-Infrastruktur. Da ging nichts mehr, selbst die Telefonanlage ist, neben dem E-Mail-System, ausgefallen, heißt es im verlinkten Pressebericht.
Der Artikel der Kleine Zeitung zitiert Gerd Kurath aber mit "Derzeit ist es unwahrscheinlich, dass Daten gestohlen wurden oder verloren gegangen sind, aber ausschließen können wir das leider nicht". Wer hinter dem Cyberangriff stände (es war die Rede von Hackern), sei unklar. Auch habe es keinen Kontakt mit den Cyberkriminellen gegeben, Lösegeld-Forderungen einer Ransomware-Gruppe wurden negiert – man wisse von nichts.
Anzeige
BlackCat-Gruppe fordert 5 Millionen
Ich hatte im Blog-Beitrag Cyberangriffe: Rathaus Bissingen, Landesregierung Kärnten, BGV-Versicherung über den Fall berichtet, das Thema aber nicht weiter verfolgt. Am 25. Mai 2022 gab es bereits "die gute Nachricht-Schlagzeile" der Kleine Zeitung, dass das SAP-System wieder laufe und Auszahlungen klappen würden. Vage wurde auch ein Angriff der Black Cat-Ransomware-Gruppe angesprochen, die "neu in der Szene" sei und sich auf Schwachstellen im Windows-System kapriziere.
Immerhin findet sich im Artikel der Hinweis, dass es der Black Cat-Ransomware-Gruppe bereits am 14. Mai 2022 gelungen seit, einen Account zu knacken. Von diesem Konto ausgehend, wurde die Verschlüsselungssoftware (Ransomware) im Netzwerk verbreitet, so Kurath. In den zehn Tagen wurden von den rund 3000 PC-Arbeitsplätzen in der Landesverwaltung rund 100 mit der Ransomware infiziert. "200 Server müssen gereinigt werden", wird Kurath zitiert. Auch in diesem Artikel findet sich immer noch die Negation, dass etwas über einen Datenverlust bekannt sei, wenn dieser auch nicht ausgeschlossen wurde.
Das österreichische Medium Kurier berichtet aber am 25. Mai 2022 bereits in diesem Artikel, dass die Cyberkriminellen hinter der Ransomware-Attacke auf die Landesregierung von Kärnten doch eine Lösegeldforderung gestellt hätten. Bezogen wurde sich auf den Chef des Landespressedienstes (LPD), Gerd Kurath. Die Erpresser würden 5 Millionen US-Dollar an Lösegeld fordern.
Black Cat veröffentlicht Daten
Bereits am 3. Juni 2022 berichtete futurezone.at in diesem Beitrag, dass die Hackergruppe Black Cat E-Mails der Kärntner Landesregierung, Fotos von Reisepässen und Daten zur Hypobank geleakt habe. Quelle sind Tweets des Sicherheitsexperten Sebastian Bicchi, der die Daten auf der Veröffentlichungsseite der Black Cat-Gruppe im Internet gefunden hat.
Es handelt es sich um 250 GB an Daten, von denen zur Zeit 5,6 GB geleaked wurden, gibt Bicchi an und schreibt: Wenn Sie elektronischen Kontakt zum Land Kärnten hatten, ist die Chance groß, dass übermittelte Daten in den nächsten Tagen publik werden.
Interessant ist, dass die Landesregierung Kärnten am 3. Juni 2022 beim Cyberangriff abgezogene Daten weiterhin negiert – es gäbe keine Beweise für ein Datenleck. Der ORF Kärnten titelt dazu Hackerangriff: Land dementiert Datenleak und zitiert Gerd Kurath vom Landespressedienst, dass es sich "lediglich um eine Liste mit Dateinamen und nicht um tatsächliche, verifizierbare Dateien" handele. Laut Kurath seien die Experten der Landes-IT dabei, die Daten zu sichten, um festzustellen, ob es beim Hack erbeutete Daten handelt. "Dass es tatsächlich Daten des Landes sind und dass es mit uns zu tun hat, das kann ich derzeit nicht bestätigen", wird Kurath zitiert.
Der IT-Experte Bicchi hat dagegen einen Teil der Daten stichprobenartig überprüft und dort reale Daten wie größere Menge von Reisepässen als Kopien, Screenshots von der "Grüner Pass"-App, VISA-Anträge etc. gefunden habe. Aktuell entbrennt ein politischer Streit in der Landesregierung, da sich das Ganze als SuperGAU, so der ORF, entpuppt. Ich wurde von Blog-Leser Gerd P. an Pfingsten in einer privaten Nachricht auf Facebook diesbezüglich kontaktiert. Gerd verwies mich dabei auf diesen Artikel, in dem am 3. Juni 2022 über den Fall berichtet wird. Die IT der Landesregierung Kärnten ist weiterhin nicht voll arbeitsfähig. Ein anonymer IT-Experte wird zitiert, dass dieser in den Daten auch Kopien von Kinderpässen gefunden habe. Es wird gemutmaßt, dass diese Daten von Corona-Testzentren stammen.
Der Artikel legt weitere Details zu den veröffentlichten Daten offen. Das sieht alles nicht sonderlich gut aus – während das Land Kärnten da irgendwie – so mein Eindruck – noch abzuwiegeln scheint.
Hinweise aus der Leserschaft
Ergänzung: Nach Veröffentlichung dieses Beitrags haben mich Hinweise aus der Leserschaft erreicht. Ich kann dies nicht selbst überprüfen, stelle diese Informationen aber mal hier ein. Ein Betroffener schreibt dazu:
Heute meinten sie dass die Dateinamen und auch die Gesamtgröße passen aber dass sie noch nicht bestätigen können dass es die ihnen abhanden gekommenen Dateien sind. Irgendwie so.
Außerdem ist ktn.gv.at offline weil sie DOS-Angriffe vermuten. Also man erhält den zu vermeidenden Zustand aus Angst davor dass er eintreten könnte.
Und natürlich war es eine stinknormale Phishing-Mail, kein "Hack".
Wenn der letzte Satz so stimmt, dass eine Phishing-Mail für die Kontenübernahme reichte und sich die Ransomware auf hunderte Arbeitsplätze und Server ausbreiten konnte, hat entweder ein Administrator als Empfänger gepennt. Oder die Struktur der Berechtigungen ist verbesserungswürdig, oder es lagen ungepatchte Sicherheitslücken vor, die zur Infektion benutzt werden konnten. Keine der Möglichkeiten ist berauschend.
Der Betroffene ist ob dieser Situation am verzweifeln, denn seine Daten sind nun öffentlich. Ein weiterer Leser vermutet, dass die erbeuteten Daten eigentlich längst gelöscht sein müssten (Thema Datensparsamkeit). Die Antwort des Betroffenen ist, dass er diesen Eindruck, dass unnötige Daten erhoben wurden, auch hat.
Zumindest war das mein Eindruck bei der Anmeldung zur Coronaschutzimpfung auf *ttps://www.kaernten-impft.ktn.gv.at/
Der Betroffene geht davon aus, dass alle seine personenbezogenen Daten im Internet frei verfügbar sind und fragt sich, in welcher Form er sich dafür bedanken darf. Angesichts der Bräsigkeit, mit der der Pressesprecher des Landes Kärnten mit dem Thema, zumindest den obigen Zitaten nach, umgeht, ist das Ganze für Betroffene eine einzige Katastrophe.
Ergänzung: Laut diesem Tweet hat die Ransomware-Gruppe BlackCat nach eigenen Angaben die gestohlenen Daten des Landes Kärnten an eine „dritte Partei" verkauft. Könnte ein Fake sein, aber es steigt die Gefahr für einen Missbrauch der Daten.
Anzeige
Warum funktioniert zum wiederholten Male die Ordnerüberwachung im Windows 10 nicht?
Genau diese Sicherheitsfunktion soll doch Ransomwareangriffe verhindern.
Warum sind sicherheitsrelevante Daten wie Ausweise nicht zusätzlich mit zum Beispiel mit Veracrypt verschlüsselt, so dass das Knacken eines Windows-Benutzerkennwortes alleine noch nicht ausreicht, um an die Daten heran zu kommen?
Wenn ein Hacker dann mittels Phishing auch noch nach dem Veracrypt-Passwort fragen muss, dann dürften auch bei dem allerblödesten Mitarbeiter die Alarmglocken läuten.
Warum müssen sich Mitarbeiter bei Behörden nicht zusätzlich mit einer Smartcard authentifizieren, an die ein Hacker nicht heran kommt?
Warum hat ein einzelner Mitarbeiter Kopierrechte für alle diese Datenbanken gleichzeitig?
Was gehen den Mitarbeiter, der für den Impfstatus zuständig ist, all die anderen Datenbanken an?
Wie wäre es, bei sowas ein 2-Augen-Prinzip einzuführen, so dass mindestens 2 Admins so einem Kopiervorgang zustimmen müssen und zwar für jede Datenbank einzeln, weil so ein Kopiervorgang als sehr ungewöhnlich eingestuft werden sollte, denn ein normaler Mitarbeiter macht normalerweise lediglich eine Datenbankabfrage anstatt alles zu kopieren?
Bei der NSA wurde das 2-Augen-Prinzip seit dem Snowden-Vorfall verpflichtend eingeführt, warum also nicht auch bei europäischen Behörden?
Warum setzt man bei Behörden kein gehärtetes Linux oder BSD ein statt ein immer wieder total versagendes Windows?
Früher gab es mal das Sprichwort "Aus Schaden wird man klug", aber das gilt heute offenbar nicht mehr, denn man setzt die Server wieder genauso auf wie vorher, also Windows ohne Ordnerüberwachung und die Mitarbeiter sollen auch wieder genauso arbeiten wie vorher, also ohne zusätzliche Smartcard, ohne Nachschulung bezüglich Kennwortsicherheit oder Phishing.
Wer immer wieder das selbe macht, aber ein anderes Ergebnis erwartet, der ist ein Idiot.
Die werden also demnächst wieder gehacked, genauso wie alle anderen auch, die die selben Fehler machen.
Dabei geht es auch real um Leben und Tod, denn der russische Geheimdienst kann durch solche Hacks herausfinden, wo ein geflohener Dissident wohnt und schickt dann seine Killerteams zu dieser Adresse.
Also sollten die Behörden aufhören, so debil herumzuspielen und endlich mal aktuelle Sicherheitsstandards umsetzen und alle Mitarbeiter, die nicht qualifiziert sind und sich haben phishen lassen, indem sie Kennwortanfragen eines Hackers per email brav beantwortet haben, rausschmeissen.
Korrigiere mich, aber Veracrypt ist ein Single-User Produkt? Was willst du damit in einer Umgebung wo potentiell dutzende oder hunderte Mitarbeiter gleichzeitig mit den Daten arbeiten müssen?
Da braucht es schon schwere Geschütze wie FideAS. Und das ist dann leider wieder Windows only.
Ich kann dir das relativ leicht erklären.
Ich arbeite selber beim Österreichischen Bund in der IT.
Es wird einfach kein Geld dafür ausgegeben,
die IT ist immer an letzter Stelle.
Die Gehälter der ITler sind auf dem Niveau "normaler" Verwaltungspersonen.
Was glaubst was du für ITler bekommst wennst 1400€ Netto anbietest?
Ich kann das auch so bestätigen.
Auch scheint es keine Rolle zu spielen, ob du umfangreiche Aus- und Weiterbildungen genossen hast, relevante Zertifizierungen besitzt oder jahrelange Erfahrung besitzt.
Gehaltsmäßig liegst du auf dem selben Level wie ein Neuling, Gartenarbeiter, o.ä. (ohne andere Berufsbilder herunterheben zu wollen)
Updates rechtzeitig installieren und ordentlich testen, mal Logs durchschauen, Sicherheitsverbesserungen vornehmen, usw. … für so etwas bleibt einfach keine Zeit.
Auf der einen Seite wird mit Geld herumgeschleudert, aber für personelle Ressourcen gibt es gar nichts.
Ich selbst habe mich auch bald wieder verabschiedet.
Vielleicht ist es ja nicht schlecht, wenn es mal ordentlich scheppert!
Schreibst du über mit Veracrypt vollständig verschlüsselte Laufwerke oder über Container? Vollständig verschlüsselte Laufwerke sind nicht anders/besser als Bitlocker-Verschlüsselung, außer dass es zentral gemanaged werden kann. Und Veracyrpt-Container sind Benutzungstechnisch schon etwas schwierig und auf einem Fileserver macht sowas auch nur wenig Sinn, weil die darin befindliche Ordnerfreigabe für den Nutzer über das Netzwerk ohne weitere Passwortabfrage auskommt. Also irgendwie sinnlos. Eher Boxcryptor, aber wenn die Ransomware im Kontext eines Benutzers läuft, der den Pfad zugereifen kann, nützt auch das nichts mehr…
Die Ransomware-Erkennung "Ordnerüberwachung" von Windows ist auch eher für die Füße, die schlägt schon an, wenn man eine Datei bearbeitet und innerhalb weniger Minuten mehrfach Änderungen speichert.
Viel wichtiger ist, dass man auf den Netzwerklaufwerken genau weiß, was wo liegt, und wer da drauf unbedingt Zugriffsrechte braucht, und wer nicht, und dass das dann genau so eingeschränkt werden kann. Das hilft viel mehr als als eine transparente Verschlüsselung. Das zu ermitteln und gescheit umzusetzen ist mit Bordmitteln schon sportlich, es gibt aber ein paar (teure) Tools, die einen da unterstützen können.
Letztlich am besten ist es, einen Antivirus mit gescheiter EDR/XDR-Funktionalität zu haben, und irgendwas, was im AD und auf dem Fileservern zentral intern auditiert, Ereignisse per KI miteinander in Zusammenhang bringt und dann mindestens warnt oder gleich auch mal handelt.
"Warum setzt man bei Behörden kein gehärtetes Linux oder BSD ein statt ein immer wieder total versagendes Windows?"
Auch Linux kann genauso versagen wie Windows, der größte Fehler in der IT ist derjenige, der VOR dem Monitor sitzt.
btw kannst du auch Windows härten, absichern… so dass es eben sicher ist.
Auch das liegt am Menschen VOR dem Monitor.
Wenn ich dann noch die Aussage eines Nachredners lesen muss, dass Fachinformatiker sich schlecht bezahlen lassen, da ist klar, dass der Arbeitswille dann genauso ist, wie in Österreich die IT behandelt wird – stiefmütterlich.
Österreich fährt an die Wand. Korruption, manipulierte Wahlen, Vergabemissbrauch, inkompetentes politisches Personal und eine kaputte Justiz.
Österreich Game over
Schön prägnant zusammengefasst!
Das Schlimme daran (was eigentlich schon alleine für sich schlimm genug ist) ist, dass Österreich nicht das einzige Land (in der EU – von anderen sprechen wir hier erst mal lieber gar nicht) ist, das inzwischen so "gemanaged" wird. Ungarn, Polen, Bulgarien, Rumänien und auch Großbritannien (ja, sie gehören nicht mehr so richtig dazu … Und doch …) Dort sieht es ja ähnlich schlimm aus … Weitere dürften "schleichend" folgen …
Dieses ewige negieren von diversen, mehr oder weniger bestätigten Vorfällen, wird ja auch hier bei uns, immer mehr zum beliebten Sport der Politiker. Und dann wundern sich die Politiker über "schwindendes Staats- und Demokratievertrauen" und darüber, dass immer mehr Menschen einfach nur noch abwinken und sich von allem genervt abwenden. Es ist wahrlich ein Trauerspiel in endlosen Akten.
Weiterhin sieht man auch hier wieder, dass eben alles miteinander zu vernetzen, einfach doch irgendwie keine ganz so gute Idee ist. Früher musste man in Behörden einbrechen und Aktenordner und Disketten klauen, um an Daten zu gelangen. Das Telefon ging nach so einer Aktion danach dann auch noch … Und heute? Wenn es einer schafft einzubrechen, dann ist halt wirklich oft ALLES weg und komplett am A….! >> "3.000 PC-Arbeitsplätze und 200 Server", die "gereinigt" werden müssen (klingt so harmlos, als wenn jemand nur mal mit Schrubber und Putzlappen ordentlich durchwischen muss …!)
Nein, ich bin kein "Zukunftsverweigerer", oder "Schwarzmaler", aber ich verstehe es so langsam wirklich nicht mehr, dass (nach all den dramatischen Vorfällen, die ja auch ständig mehr und schlimmer werden) nicht viel mehr Wert auf wirklich (!) funktionieren Schutz gelegt wird und dieser auch ständig den sich ändernden Bedingungen angepasst wird. DAFÜR sollte mit an erster Stelle Geld zur Verfügung stehen: Nämlich für bestbezahltes IT-Personal und entsprechende Hard- und Softwarestruktur! Aber scheinbar haben alle Politiker die Schüsse noch immer nicht gehört. Sollten alle mal zum Ohren-Doc gehen …
(Habe ja immer die Hoffnung, dass diverse Politiker hier insgeheim mitlesen und drüber nachdenken … Angeblich sehen ja auch viele Politiker die "Heute-Show". – Aber viele merken wohl nicht mal, dass sie gerade über sich selbst lachen, denn sonst würden sie eher heulen …)
Man muss nur die Erklärung des Leiter der IT-Abteilung Harald Brunner lesen. Sie sind gerade dabei die Sicheheitsmassnahmen auszubauen und aktualisieren was für mich heißt das Firewall, Virenscanner, Patchmanagement & Co. wohl nicht regelmässig gewartet wird falls überhaupt vorhanden.
Mittlerweile musste Hr. Kurath die Echtheit der geleakten Daten bestätigen, denen geht der Arsch gerade gewaltig auf Grundeis.
Und ausgerechnet die Politik will die Digitalisierung fördern…
Das nennt man: fahrlässiger Datenschutzsicherheits- und Sicherungsmangel. Sensible Daten sollten stets vom aktiven und offenen Netz getrennt gespeichert werden. Würde das ein mittelständisches privates Unternehmen passieren, dann könnte der Inhaber mit einem Bußgeld wegen Verletzung der DSGVO in Höhe von bis zu 20 Millionen Euro und bei einem international agierenden Unternehmen bis zu 4 % des gesamten Umsatzes rechnen. Da Behörden meistens gegen Bußgelder geschützt sind, braucht man sich hierüber gar keine Gedanken mehr zu machen, wer am Ende eigentlich der Dumme ist.
Verantwortliche wissen nicht was Backups sind
"Bei 24:48 wird gefragt, wie oft es Backups gibt, und der IT-Chef des ganzen Bundeslandes erklärt dann, Microsoft bringt jedes Monat Backups heraus, die dann eingespielt werden. Er kennt offensichtlich den Unterschied zwischen Backups und Updates nicht."
https://www.danisch.de/blog/2022/06/07/microsoft-bringt-jedes-monat-backups-heraus-die-dann-eingespielt-werden/
Es kann nur schlimmer werden:
"Ich habe vor 20 Jahren mal als Bewerber ein Bewerbungsgespräch abgebrochen und bin gegangen. Ein Headhunter hatte mich zu einer Firma gefahren, so als Überraschung, ich wusste vorher nicht, zu welcher Firma wir fahren, sollte aber da der Datenschutzbeauftragte werden. In einer Firma, in der das eine ziemlich kritische Sache wäre. Als ich diskutieren wollte, was da wie zu machen wäre, sagte man mir direkt und unverhohlen, dass ich mich rauszuhalten hätte. Ich würde nicht dafür bezahlt, dass ich was tue, sondern dafür, dass ich nichts tue und mich darauf beschränke, ein Türschild mit „Datenschutz" drauf zu haben. Ich würde gut bezahlt, bräuchte nichts zu arbeiten, und es wäre in Ordnung, wenn ich den größten Teil meiner Arbeitszeit auf dem Golfplatz verbrächte. Dafür wäre ich dann der, der rausfliegen muss, wenn was anbrennt.
Ich hatte mich auch schon auf solche Stellen als Datenschützer oder IT-Sicherheitsleiter beworben, nur um dann vorne- oder hintenrum herauszufinden, dass die Ausschreibungen nicht echt waren und man gar niemanden einstellen wollte, aber nach außen hin den Anschein erwecken wollte, dass man sich schon darum gekümmert hätte,"