{"id":266153,"date":"2022-06-07T00:02:00","date_gmt":"2022-06-06T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=266153"},"modified":"2023-03-10T00:18:49","modified_gmt":"2023-03-09T23:18:49","slug":"cyberangriff-auf-landesregierung-krnten-black-cat-gruppe-verffentlicht-private-daten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/07\/cyberangriff-auf-landesregierung-krnten-black-cat-gruppe-verffentlicht-private-daten\/","title":{"rendered":"Cyberangriff auf Landesregierung Kärnten: Black Cat-Gruppe veröffentlicht private Daten"},"content":{"rendered":"

\"SicherheitIm Mai 2022 wurde ein gr\u00f6\u00dferer Cyberangriff auf die IT der Landesregierung von K\u00e4rnten (\u00d6sterreich) bekannt. W\u00e4hrend deren IT immer noch damit k\u00e4mpft, die Sch\u00e4den zu beseitigen, erh\u00f6hen die Cyberkriminellen den Druck auf die Landesregierung. Die Black Cat-Ransomware-Gruppe hat erste Dateien, die beim Angriff abgezogen wurden, im Internet ver\u00f6ffentlicht. Dazu geh\u00f6ren Ausweis-Ausschnitte von Kindern, Informationen \u00fcber Einwanderer und mehr. Der Pressesprecher wiegelt derweil ab, es seien ja lediglich \"Dateien und keine Daten entwendet und ver\u00f6ffentlicht worden\" – ob die vom \"Hack\" stammen, seit unbekannt. Der Hack scheint ein Phishing-Angriff auf ein Benutzerkonto gewesen zu sein. Zeit f\u00fcr eine Nachlese: \u00d6sterreich, wie es lebt und lacht.<\/p>\n

<\/p>\n

Der Cyberangriff auf die Landesregierung K\u00e4rnten<\/h2>\n

\"\"Die Landesregierung von K\u00e4rnten (\u00d6sterreich) k\u00e4mpft seit Dienstag-Vormittag (24.5.2022) mit massiven IT-Problemen. Zuerst bin ich nur auf einen Tweet<\/a> gesto\u00dfen, der dann auf den Artikel hier<\/a> verlinkt. Das Ganze h\u00f6rte sich noch recht harmlos an, wenn auch das komplette IT-System der Landesregierung heruntergefahren werden musste.<\/p>\n

\"K\u00e4rnten,<\/p>\n

Laut Gerd Kurath, Chef des Landespressedienstes (LPD), waren die IT-Systeme des Amt der K\u00e4rntner Landesregierung (AKL) und dort speziell Outlook von diesem Cyber-Angriff betroffen. Aber auch alle acht Bezirkshauptmannschaften, der Landesrechnungshof und das Landesverwaltungsgericht hingen wohl mit an der IT-Infrastruktur. Da ging nichts mehr, selbst die Telefonanlage ist, neben dem E-Mail-System, ausgefallen, hei\u00dft es im verlinkten Pressebericht.<\/p>\n

Der Artikel der Kleine Zeitung zitiert Gerd Kurath aber mit \"Derzeit ist es unwahrscheinlich, dass Daten gestohlen wurden oder verloren gegangen sind, aber ausschlie\u00dfen k\u00f6nnen wir das leider nicht\". Wer hinter dem Cyberangriff st\u00e4nde (es war die Rede von Hackern), sei unklar. Auch habe es keinen Kontakt mit den Cyberkriminellen gegeben, L\u00f6segeld-Forderungen einer Ransomware-Gruppe wurden negiert – man wisse von nichts.<\/p>\n

BlackCat-Gruppe fordert 5 Millionen<\/h2>\n

Ich hatte im Blog-Beitrag Cyberangriffe: Rathaus Bissingen, Landesregierung K\u00e4rnten, BGV-Versicherung<\/a> \u00fcber den Fall berichtet, das Thema aber nicht weiter verfolgt.\u00a0 Am 25. Mai 2022 gab es bereits \"die gute Nachricht-Schlagzeile<\/a>\" der Kleine Zeitung, dass das SAP-System wieder laufe und Auszahlungen klappen w\u00fcrden. Vage wurde auch ein Angriff der Black Cat-Ransomware-Gruppe angesprochen, die \"neu in der Szene\" sei und sich auf Schwachstellen im Windows-System kapriziere.<\/p>\n

Immerhin findet sich im Artikel der Hinweis, dass es der Black Cat-Ransomware-Gruppe bereits am 14. Mai 2022 gelungen seit, einen Account zu knacken. Von diesem Konto ausgehend, wurde die Verschl\u00fcsselungssoftware (Ransomware) im Netzwerk verbreitet, so Kurath. In den zehn Tagen wurden von den rund 3000 PC-Arbeitspl\u00e4tzen in der Landesverwaltung rund 100 mit der Ransomware infiziert. \"200 Server m\u00fcssen gereinigt werden\", wird Kurath zitiert. Auch in diesem Artikel findet sich immer noch die Negation, dass etwas \u00fcber einen Datenverlust bekannt sei, wenn dieser auch nicht ausgeschlossen wurde.<\/p>\n

Das \u00f6sterreichische Medium Kurier berichtet aber am 25. Mai 2022 bereits in diesem Artikel<\/a>, dass die Cyberkriminellen hinter der Ransomware-Attacke auf die Landesregierung von K\u00e4rnten doch eine L\u00f6segeldforderung gestellt h\u00e4tten. Bezogen wurde sich auf den Chef des Landespressedienstes (LPD), Gerd Kurath. Die Erpresser w\u00fcrden 5 Millionen US-Dollar an L\u00f6segeld fordern.<\/p>\n

Black Cat ver\u00f6ffentlicht Daten<\/h2>\n

Bereits am 3. Juni 2022 berichtete futurezone.at in diesem Beitrag<\/a>, dass die Hackergruppe Black Cat E-Mails der K\u00e4rntner Landesregierung, Fotos von Reisep\u00e4ssen und Daten zur Hypobank geleakt habe. Quelle sind Tweets<\/a> des Sicherheitsexperten Sebastian Bicchi, der die Daten auf der Ver\u00f6ffentlichungsseite der Black Cat-Gruppe im Internet gefunden hat.<\/p>\n

\"Black<\/a><\/p>\n

Es handelt es sich um 250 GB an Daten, von denen zur Zeit 5,6 GB geleaked wurden, gibt Bicchi an und schreibt: Wenn Sie elektronischen Kontakt zum Land K\u00e4rnten hatten, ist die Chance gro\u00df, dass \u00fcbermittelte Daten in den n\u00e4chsten Tagen publik werden.<\/em><\/p>\n

Interessant ist, dass die Landesregierung K\u00e4rnten am 3. Juni 2022 beim Cyberangriff abgezogene Daten weiterhin negiert – es g\u00e4be keine Beweise f\u00fcr ein Datenleck. Der ORF K\u00e4rnten titelt dazu Hackerangriff: Land dementiert Datenleak<\/a> und zitiert Gerd Kurath vom Landespressedienst, dass es sich \"lediglich um eine Liste mit Dateinamen und nicht um tats\u00e4chliche, verifizierbare Dateien\" handele. Laut Kurath seien die Experten der Landes-IT dabei, die Daten zu sichten, um festzustellen, ob es beim Hack erbeutete Daten handelt. \"Dass es tats\u00e4chlich Daten des Landes sind und dass es mit uns zu tun hat, das kann ich derzeit nicht best\u00e4tigen\", wird Kurath zitiert.<\/p>\n

Der IT-Experte Bicchi hat dagegen einen Teil der Daten stichprobenartig \u00fcberpr\u00fcft und dort reale Daten wie gr\u00f6\u00dfere Menge von Reisep\u00e4ssen als Kopien, Screenshots von der \"Gr\u00fcner Pass\"-App, VISA-Antr\u00e4ge etc. gefunden habe. Aktuell entbrennt ein politischer Streit in der Landesregierung, da sich das Ganze als SuperGAU, so der ORF, entpuppt. Ich wurde von Blog-Leser Gerd P. an Pfingsten in einer privaten Nachricht auf Facebook diesbez\u00fcglich kontaktiert. Gerd verwies mich dabei auf diesen Artikel, in dem am 3. Juni 2022 \u00fcber den Fall berichtet wird. Die IT der Landesregierung K\u00e4rnten ist weiterhin nicht voll arbeitsf\u00e4hig. Ein anonymer IT-Experte wird zitiert, dass dieser in den Daten auch Kopien von Kinderp\u00e4ssen gefunden habe. Es wird gemutma\u00dft, dass diese Daten von Corona-Testzentren stammen.<\/p>\n

Der Artikel legt weitere Details zu den ver\u00f6ffentlichten Daten offen. Das sieht alles nicht sonderlich gut aus – w\u00e4hrend das Land K\u00e4rnten da irgendwie – so mein Eindruck – noch abzuwiegeln scheint.<\/p>\n

Hinweise aus der Leserschaft<\/h2>\n

Erg\u00e4nzung:<\/strong> Nach Ver\u00f6ffentlichung dieses Beitrags haben mich Hinweise aus der Leserschaft erreicht. Ich kann dies nicht selbst \u00fcberpr\u00fcfen, stelle diese Informationen aber mal hier ein. Ein Betroffener schreibt dazu:<\/p>\n

Heute meinten sie dass die Dateinamen und auch die Gesamtgr\u00f6\u00dfe passen aber dass sie noch nicht best\u00e4tigen k\u00f6nnen dass es die ihnen abhanden gekommenen Dateien sind. Irgendwie so.<\/p>\n

Au\u00dferdem ist ktn.gv.at offline weil sie DOS-Angriffe vermuten. Also man erh\u00e4lt den zu vermeidenden Zustand aus Angst davor dass er eintreten k\u00f6nnte.<\/p>\n

Und nat\u00fcrlich war es eine stinknormale Phishing-Mail, kein \"Hack\".<\/p><\/blockquote>\n

Wenn der letzte Satz so stimmt, dass eine Phishing-Mail f\u00fcr die Konten\u00fcbernahme reichte und sich die Ransomware auf hunderte Arbeitspl\u00e4tze und Server ausbreiten konnte, hat entweder ein Administrator als Empf\u00e4nger gepennt. Oder die Struktur der Berechtigungen ist verbesserungsw\u00fcrdig, oder es lagen ungepatchte Sicherheitsl\u00fccken vor, die zur Infektion benutzt werden konnten. Keine der M\u00f6glichkeiten ist berauschend.<\/p>\n

Der Betroffene ist ob dieser Situation\u00a0am verzweifeln, denn seine Daten sind nun \u00f6ffentlich. Ein weiterer Leser vermutet, dass die erbeuteten Daten eigentlich l\u00e4ngst gel\u00f6scht sein m\u00fcssten (Thema Datensparsamkeit). Die Antwort des Betroffenen ist, dass er diesen Eindruck, dass unn\u00f6tige Daten erhoben wurden, auch hat.<\/p>\n

Zumindest war das mein Eindruck bei der Anmeldung zur Coronaschutzimpfung auf *ttps:\/\/www.<\/span>kaernten-impft.ktn.gv.at\/<\/span><\/p><\/blockquote>\n

Der Betroffene geht davon aus, dass alle seine personenbezogenen Daten im Internet frei verf\u00fcgbar sind und fragt sich, in welcher Form er sich daf\u00fcr bedanken darf. Angesichts der Br\u00e4sigkeit, mit der der Pressesprecher des Landes K\u00e4rnten mit dem Thema, zumindest den obigen Zitaten nach, umgeht, ist das Ganze f\u00fcr Betroffene eine einzige Katastrophe.<\/p>\n

Erg\u00e4nzung:<\/strong> Laut diesem Tweet<\/a> hat die Ransomware-Gruppe BlackCat<\/span> nach eigenen Angaben die gestohlenen Daten des Landes <\/span>K\u00e4rnten<\/span> an eine \u201edritte Partei\" verkauft. K\u00f6nnte ein Fake sein, aber es steigt die Gefahr f\u00fcr einen Missbrauch der Daten.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Im Mai 2022 wurde ein gr\u00f6\u00dferer Cyberangriff auf die IT der Landesregierung von K\u00e4rnten (\u00d6sterreich) bekannt. W\u00e4hrend deren IT immer noch damit k\u00e4mpft, die Sch\u00e4den zu beseitigen, erh\u00f6hen die Cyberkriminellen den Druck auf die Landesregierung. Die Black Cat-Ransomware-Gruppe hat erste … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-266153","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=266153"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266153\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=266153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=266153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=266153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}