Mehr als zwei Jahre nach einem folgenschweren Hackerangriff auf das IT-System des Landes Kärnten hat der Rechnungshof (RH) Österreich weiterhin Verbesserungsbedarf geortet. Ende 2023 fehlten weiterhin „die Zwei-Faktor-Authentifizierung für alle IT-Arbeitsplätze, die vollständige Dokumentation der umgesetzten IT-Sicherheitsmaßnahmen oder etwa ein umfassendes IT-Notfallhandbuch sowie verstärkte IT-Sicherheitsüberprüfungen“, heißt es in einem aktuellen RH-Bericht.
Ende Mai 2022 war die Kärntner Landesverwaltung durch den Hackerangriff tagelang komplett lahmgelegt worden, monatelang gab es deshalb Einschränkungen. Die Hacker waren über ein Phishingmail in das System gelangt und hatten so Zugang auf einen Fileserver erlangt. Die Gruppe „Black Cat“ hatte sich zu dem Angriff bekannt, bei dem eine Datenmenge von 250 Gigabyte zumindest eingesehen wurde. Bei den Daten hatte es sich vor allem um solche aus den Büros der Mitglieder der Kärntner Landesregierung gehandelt. Betroffen waren etwa 80.000 Stammdatenblätter von Niederlassungs- und Aufenthaltsbewilligungen, 4000 Kontaktdaten des Veranstaltungsmanagements und interner Schriftverkehr von Regierungsmitgliedern sowie Mitarbeitern.
Daten im Darknet verkauft
Wie viel von den Daten auch kopiert wurde, ließ sich nicht genau sagen. Im Darknet wurde allerdings ein 5,6 Gigabyte großer Teil der Daten veröffentlicht. Die Hacker gaben bekannt, dass sie die Daten weiterverkauft hätten, weil das Land das geforderte Lösegeld – fünf Millionen Dollar – nicht bezahlen wollte. Ob die Daten wirklich verkauft wurden, ist nach wie vor unklar. Vor einem Jahr gab die Staatsanwaltschaft Klagenfurt bekannt, dass die Ermittlungen abgebrochen wurden, weil es keine Spuren mehr gab, die aktiv zu verfolgen wären – alles, was man gehabt habe, sei im Sand verlaufen. Ermittlungserfolge bei Hackerangriffen oder Online-Betrügereien seien äußerst selten, wurde betont.
Auf Hochtouren lief hingegen seither die Aufarbeitung des Angriffs – auch der Rechnungshof widmete sich diesem Thema. In einem am Freitag veröffentlichten Bericht wurde festgehalten, dass das Land Kärnten zwar bereits vor dem Cyberangriff Maßnahmen im Bereich der IT-Sicherheit umgesetzt hatte – dadurch habe man den Angriff jedoch „weder erkennen noch verhindern“ können: „Das IT-Sicherheitsmanagement insgesamt war lückenhaft.“
Nach dem Cyberangriff habe das Land Kärnten weitere Schritte zur Erhöhung der Sicherheit gesetzt, so wurden etwa für Sofort- und Wiederherstellungsmaßnahmen 5,75 Millionen Euro zur Verfügung gestellt. Weiters wurde ein „Rapid Response Team“ eingerichtet, eine neue Firewall und ein DDoS-Schutz aufgebaut. „Zur Zeit der Rechnungshof-Prüfung waren auch weitere technische Maßnahmen abgeschlossen, etwa die Absicherung des Netzwerks oder die Sicherung der notwendigen IT-Dienste“, hieß es vom RH – einige Maßnahmen fehlten aber weiterhin.
Wie das Land Kärnten dazu am Freitag mitteilte, wurde die flächendeckende Zwei-Faktor-Authentifizierung mittlerweile ausgerollt und sei auf allen Geräten verfügbar. Außerdem wurde „die Landes-IT nach ISO 9001 und 27001 (Informationssicherheit) zertifiziert“, für das Jahr 2024 wurde im Februar ein gültiges Zertifikat ausgestellt: „Dies umfasst natürlich selbstverständlich auch die Aktualität aller sicherheitstechnischen Dokumentationen wie Wiederanlauf oder IT-Notfallhandbuch.“
Der RH zog in dem Bericht auch eine Verbindung zu den DDoS-Angriffen auf die Websites österreichischer Parteien und öffentlicher Einrichtungen im Umfeld der Nationalratswahl 2024: „Neben der Erhöhung der IT-Sicherheit ist auch die Zusammenarbeit mit Bundesbehörden und Cybergremien wesentlich, um die Auswirkungen von Cyberangriffen zu verhindern oder möglichst gering zu halten.“
Kommentare
Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung. Hier können Sie das Community-Team via unserer Melde- und Abhilfestelle kontaktieren.
User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB). Hier können Sie das Community-Team via unserer Melde- und Abhilfestelle kontaktieren.