Christopher Kremlicka hat zwei Kinder, zwei Katzen und einen leichten Schlaf. Das ist bedauerlich für ihn, aber gut für seinen Arbeitgeber, die Stadt Korneuburg. Denn in der Nacht auf den 6. Februar fügten sich sein täglicher Beruf und seine unruhigen Nächte zu einem glücklichen Zufall. Kremlicka wachte weit nach Mitternacht auf, blickte auf sein Handy und sah eine Nachricht von Microsoft. Keine gute, das wurde dem IT-Leiter schnell klar. Er weckte seine Frau und sagte ihr, dass er ins Rathaus müsse. Dort ging Kremlicka durch das verwaiste Gebäude, schaltete alle Geräte ab, die ihm wichtig erschienen, und trennte die Netzwerkverbindungen zu den Außenstellen. Am Ende zog er noch das Kabel vom Modem. „Um drei in der Früh waren wir weg vom Netz.“
Das war so schnell, dass Schulen und Kindergärten verschont blieben, aber eben nicht schnell genug. Das niederösterreichische Korneuburg bemerkte plötzlich, wie digital vernetzt es ist. Nur nicht auf eine gute Art und Weise. Die Gemeinde war gehackt worden, es war ein Cyberangriff mit Ransomware, Erpresser-programmen, die Daten absaugen, verschlüsseln und das Opfer „aussperren“ können. Plötzlich stand alles still: Meldezettel und Sterbeurkunden konnten nicht mehr ausgestellt werden, Mitarbeiter hatten keinen Zugriff auf Computer, Erlagscheine mussten händisch zur Bank gebracht werden. Die Leiterin der Finanzabteilung packte sogar ihre elektronische Schreibmaschine aus. „Nostalgisch könnt’ ma werden“, sagt Vizebürgermeisterin Helene Fuchs-Moser ironisch. Wäre da nicht die Sache mit dem kriminellen Angriff.
Ganz grundsätzlich wissen in der Theorie viele, wie sie sich vor Hackern schützen können: sichere Passwörter (ja, Mehrzahl) verwenden, Daten mit einem Back-up sichern, nicht jeden Link anklicken. Aber erstens halten sich nicht alle daran. Und zweitens brauchen eine Privatperson, ein Unternehmen, eine Republik viel mehr, um sicher zu sein. Wie macht man ein Land also cybersicher?
Zunächst einmal muss man sich mit dem Schlimmsten auseinandersetzen, um das Ausmaß von Cyberangriffen zu erkennen.
Die Cyber-Verteidigung
Zwischen Korneuburg und Kyiv (Kiew) liegen nur 1000 Kilometer Luftlinie, gleichzeitig aber sicherheitspolitisch Welten. Wer wissen will, wie weit Attacken gehen können, muss Richtung Ukraine blicken. Walter Unger, Leiter der Abteilung Cyber Defence im Abwehramt, dem Nachrichtendienst des Bundesheeres, tut es. Der Angriffskrieg der Russen findet nicht nur auf der konventionellen militärischen Ebene statt, sondern auch in der sogenannten hybriden Form, einer Mischung aus mehreren Ebenen, unter anderem auch mit Hackerangriffen.
In der Nacht auf den 24. Februar 2022, dem Beginn des Angriffskrieges, wurde das Satellitensystem der Ukraine infiltriert. Dieses KA-SAT versorgt Polizei und Militär mit Internet, ein Komplettausfall hätte also verheerende Folgen gehabt. Die Ukraine hatte aber eine Art Sicherheitsnetzwerk. Am 26. Februar schaltete auch Elon Musk seine Satelliten frei. „Heute weiß man ziemlich sicher, dass der Angriff zwei Jahre lang vorbereitet wurde“, sagt Unger.
Russland attackiert die Ukraine nicht nur mit konventionellen, militärischen Mitteln sondern auch durch massive Cyberangriffe.
Zuerst wurden Schwachstellen im System gesucht, dann überlegt, wie man die Schadsoftware hineinbringt. Mutmaßlich im Herbst 2021 schafften es die Angreifer, „dann wurde das Programm in der Nacht aktiviert, und binnen einer Stunde war das Satellitensystem lahmgelegt.“ Das ist nur ein Beispiel von vielen, im Jahr 2022 kommunizierte die Ukraine mehr als 1100 schwerwiegende Cyber-Angriffe.
Niemand hofft, dass Österreich jemals in einer ähnlichen Lage sein wird, aber lassen sich Lehren aus der Ukraine ziehen? „Für mich gibt es einen Rückschluss“, sagt Unger, nämlich: „Der Schutz der eigenen Systeme hat Priorität, weil man damit das eigene Überleben sichert.“ Für das Bundesheer bedeutet das zuallererst, die eigene Infrastruktur abzusichern. „Die modernen Waffensysteme funktionieren alle nur mit zentralen Rechnern – und die müssen auch bei einem Angriff funktionieren.“
De facto haben wir nicht die Befugnisse, die wir bräuchten, um Cyber Defence vorzubereiten und durchzuführen.
Walter Unger
Abwehramt
Österreich hat den Aufbau seiner Cyber-Verteidigung noch lange nicht abgeschlossen. Denn die Gefahren variieren ständig. Unger: „Durch künstliche Intelligenz hat sich das Bedrohungsbild noch einmal qualitativ verändert, selbst ChatGPT kann Schadprogramme schreiben.“ Ungers Abteilung ist zwar innerhalb von 20 Jahren sechs Mal vergrößert worden, aber: Das Militär hat noch keine Cyber-Truppe aufstellen können, so wie es sich Experten wünschen: „Vor allem das Personal ist eine ganz große Herausforderung. Der IT-Markt in Österreich ist ausgetrocknet.“ An der Theresianischen Militärakademie gibt es einen eigenen Studiengang dazu, das Militär überlegt einen Masterlehrgang in Cyber Defence. Unger plädiert auch für eine Gesetzesänderung: „De facto haben wir nicht die Befugnisse, die wir bräuchten, um Cyber Defence vorzubereiten und durchzuführen.“ Denn man verfolge ja keine Einzelperson, sondern müsste zuerst einmal überhaupt feststellen, wer hinter einem Angriff steckt: ein Staat mit politischen Zielen oder eine Einzelperson. Dafür braucht man spezielle Software und die Berechtigung, sie einzusetzen.
Die Cyber-Kriminalität
Zurück nach Korneuburg, 1000 Kilometer Luftlinie retour von Kyiv, eineinhalb Wochen nach dem Hacker-Angriff. IT-Leiter Kremlicka sitzt im Bürgermeister-Büro und schaut ins Darknet. Daten aus Korneuburg findet er dort nicht, zum Glück. Dafür aber andere. Zum Beweis hält er profil sein Handy hin: Wer den Hackern Informationen einer anderen niederösterreichischen Einrichtung abkaufen will, der kann das jetzt tun.
Von Iris Bonavida,
Edith Meinhart und
Robert Treichler
Es ist Mitte Februar, und die Gemeinde weiß nun etwas mehr über den Angriff. Zum Beispiel, dass es keine gezielte Attacke war. Die Täter wählten ihre Opfer zufällig aus, das Wifi St. Pölten, die Therme Laa oder eben Korneuburg. Wo sie eine Schwachstelle fanden, nutzten sie sie. Im Fall von Korneuburg war es wohl eine verschlüsselte VPN-Datenleitung von jemandem aus dem Homeoffice. Einige Tage versuchten die Hacker mittels Schadsoftware, so viele Informationen und Zugangsdaten wie möglich zu sammeln. Als sie genug Admin-Rechte im Netzwerk von Korneuburg gesammelt hatten, begann das Programm sich auszubreiten und das System zu verschlüsseln – bis Kremlicka den Stecker zog.
Wie viele Daten sind verloren?
52 Server waren davon betroffen, alle Computer wurden gereinigt und neu aufgesetzt. Die Daten der Gemeinde mussten von einem Magnetband wieder hochgeladen werden, auf dem Trägermedium wird wöchentlich ein Back-up gemacht. Das letzte Back-up war vom 27. Jänner. Neuere Daten oder Dateien, die nur am Desktop gespeichert worden waren, sind verloren. „Wir waren auch einige Tage nicht per Mail erreichbar, und es dauerte um die 50 Stunden, bis die Bürger eine Fehlermeldung bekamen“, erzählt Bürgermeister Gepp. Die Gemeinde muss also überprüfen, ob zum Beispiel Anmeldungen für Kindergartenplätze zwar per E-Mail abgeschickt wurden, aber nie ankamen. Auch bei Gepp selbst muss das Passwort für seinen PC neu gesetzt werden, bei Vizebürgermeisterin Fuchs-Moser genauso. Kremlicka ist gerade erst dabei, allen Mitarbeitern wieder Zugang zu ihren Computern zu geben, Homeoffice ist ohnehin nicht möglich. „So aufgeräumt waren die Büros noch nie“, sagt Fuchs-Moser.
PG NEHAMMER "AKTUELLES AUS DER BUNDESREGIERUNG: NEHAMMER
Kanzler Karl Nehammer (ÖVP)
Cybersicherheit liegt in Österreich nicht in einer Hand, das liegt auch an der fehlenden Richtlinienkompetenz des Bundeskanzlers.
Korneuburg ist nicht allein. Dem Innenministerium wurden 2022, das sind die aktuellsten Zahlen, 181 Anzeigen speziell wegen Erpresser-Software, also Ransomware, gemeldet. Die Angriffe trafen Einzelpersonen, Firmen oder Stadtverwaltungen. Insgesamt gab es in dem Jahr knapp 22.400 Anzeigen wegen Cybercrime „im engeren Sinne“, also Attacken auf Computersysteme und Daten durch die Ausnutzung von Technik. Der prozentuelle Anstieg ist beunruhigend, im Vergleich zum Vorjahr war es ein Plus von 44,5 Prozent. Experten gehen zusätzlich von einer sehr hohen Dunkelziffer aus, denn noch immer melden viele Opfer die Attacken nicht.
Die Täter hingegen haben sich professionalisiert. Das Klischee vom Hoodie-Hacker stimmt schon länger nicht mehr, heute sind es gut organisierte Unternehmer. Einige von ihnen bieten ihren Opfern richtige Package-Lösungen an: Wer mehr zahlt, dem wird auch die eigene Sicherheitslücke verraten. Es ist ein zweischneidiges Schwert. Im Darknet werden Listen über Unternehmen geführt, die dazu bereit waren, Lösegeld zu zahlen. Das erhöht das Risiko, ein zweites Mal getroffen zu werden. Umgekehrt legt man sogar innerhalb der Hacker-Szene Wert auf den eigenen Ruf, erzählen Experten in Hintergrundgesprächen mit profil. Zumindest eine gewisse Handschlagqualität müssen selbst Cyberangreifer haben. Denn verlangt jemand Lösegeld, ohne die Daten freizugeben, könnte ein anderes Opfer beim nächsten Mal nicht mehr bezahlen.
Die Cyber-Sicherheit
Der Staat passt seine Maßnahmen im Kampf gegen Cybercrime und für Cybersicherheit Schritt für Schritt an, um den Angreifern nachzukommen. Einfach ist es nicht, auch wegen eines urösterreichischen Problems. Die Kompetenzen sind breit verteilt und oft auch nicht ganz klar definiert. Weil der Bundeskanzler keine Richtlinienkompetenz hat, kann er den Ministerien nur Empfehlungen geben, für ihre Sicherheit sind sie allerdings selbst verantwortlich. Das gilt auch für die Bundesländer.
PK ÜBERGABE VORSITZ DER LANDESHAUPTLEUTE-KONFERENZ VON KÄRNTEN AN NIEDERÖSTERREICH: LH KAISER (SPÖ)
Landeshauptmann Peter Kaiser (SPÖ)
Das Land Kärnten wurde 2022 von der Tätergruppe „Black Cat“ gehackt.
Diese Zersplitterung hat einige große Nachteile. Es braucht mehr Personal und kostet mehr Geld, aber zumindest gibt es, ironisch gesehen, auch einen Vorteil: Die Sicherheit ist höher, weil man weniger intern vernetzt ist. Als im Mai 2022 die kriminelle Gruppe „Black Cat“ das Land Kärnten angriff, wollte sie, vermutet man heute, über Klagenfurt Zugang zu Regierungsdaten im Außenministerium bekommen. Föderalismus als Firewall, sozusagen. Das Außenministerium wurde schon 2020 Opfer eines massiven Angriffs.
Es gibt zwei große Herausforderungen, die man in der Branche nennt. Die erste ist das mangelnde Personal. Hätte der Hackerangriff auf das Außenministerium länger gedauert oder wäre ein zweiter in dem Ausmaß dazugekommen, hätte Österreich Schwierigkeiten bei der Bekämpfung gehabt. Die zweite ist das mangelnde Problembewusstsein, angefangen bei der Bevölkerung. Sogenannte Phishing-Mails strotzen längst nicht mehr vor Grammatikfehlern und können täuschend echt aussehen. Experten raten also dazu, aufzupassen, auf welche Links man klickt, und womit man seine Geräte verbindet: Niemals, heißt es zu profil, würden sich die Fachleute einfach so in ein Flughafen-WLAN einloggen. Die Gefahr sei zu groß, dass es gehackt ist oder von Betrügern aufgesetzt wurde.
Tausend Unternehmen verpflichtet
Schlichte Empfehlungen reichen aber nicht. Ab Oktober werden in Österreich Tausende Firmen gezwungen sein, ihre Sicherheitsstandards zu erhöhen. Dann soll die EU-Richtlinie „NIS2“ in Kraft treten. Bei ihrer Vorgängerin „NIS1“ galten bestimmte Vorgaben nur für wenige, essenzielle Unternehmen. Nun sollen striktere Vorgaben für bis zu 6000 Firmen gelten. Sie müssen bestimmte Präventionsmaßnahmen treffen: Zum Beispiel sicherstellen, dass Büros versperrt sind, dass es eine sogenannte Multifaktor-Authentifizierung beim Verbinden ins Netzwerk gibt oder dass eine ISO-Zertifizierung vorgenommen wird. Cybersecurity wird Sache der obersten Führungsriege. Wird sie nicht ernst genommen, drohen harte Strafen. Hackerangriffe können auch nicht verheimlicht werden, es gilt eine Meldepflicht.
Wir werden alle Mittel bereitstellen und die Sicherheitsstandards erhöhen, damit zukünftig ein Cyberangriff nicht so leicht passieren kann
Christian Gepp
Korneuburger Bürgermeister
Details werden noch zwischen ÖVP und Grünen verhandelt, dabei hätte das Gesetz längst in Begutachtung gehen sollen. Die Grünen, sagt der Abgeordnete David Stögmüller, plädieren vor allem für eine Zertifizierungsstelle in staatlicher Hand. Am Ende muss aber ohnehin entweder die SPÖ oder die FPÖ noch von den Plänen überzeugt werden, Schwarz-Grün braucht eine Zweidrittelmehrheit. Experten raten Firmen allerdings dazu, sich jetzt schon auf die höheren Ansprüche vorzubereiten. Zu ihrem eigenen Schutz. Einen gewissen Bedarf gibt es ohnehin: Bei der Cybersecurity-Hotline der Wirtschaftskammer gab es in diesem Jahr rund 1000 Anrufe, 29 Prozent mehr als im Vorjahr.
In Korneuburg wurden mittlerweile die Täter ausgeforscht: Die kriminelle Gruppe „LockBit“ mit Spuren nach Russland soll für den Angriff verantwortlich sein. Die Daten wurden nicht abgesaugt, sondern verschlüsselt. Bisher blieben sie es auch, der Gemeinde fehlen also Informationen für den Zeitraum von eineinhalb Wochen. Am bittersten ist wohl der finanzielle Schaden für Korneuburg, geschätzt 100.000 Euro – die Personalkosten, um die Folgen des Hackerangriffs aufzuarbeiten, nicht eingerechnet. „Wir werden alle Mittel bereitstellen und die Sicherheitsstandards erhöhen, damit zukünftig ein Cyberangriff nicht so leicht passieren kann“, schreibt Gepp auf der Gemeinde-Website.
Immerhin: Die Hackergruppe „LockBit“ wurde kurz nach dem Angriff durch eine internationale Polizeiaktion zerschlagen. Und in Korneuburg laufen die Computer wieder.
Kremlicka kann jetzt also womöglich wieder etwas ruhiger schlafen.
Newsletter
Drucken
(profil.at)
|
Stand:
Iris Bonavida
ist seit September 2022 als Innenpolitik-Redakteurin bei profil. Davor war sie bei der Tageszeitung "Die Presse" tätig.
