Cyberangriff auf Stadtgemeinde

Hackergruppe „Lockbit“ war verantwortlich für den Angriff auf Stadtgemeinde. 

Der sichere Normalbetrieb der Stadtgemeinde läuft seit 23. Februar, alle Notlaptops wurden retourniert, die Mitarbeiter:innen arbeiten mit ihren Dienstgeräten. Alle relevanten Server der Stadtgemeinde können bedient werden, daher sind die Dienste der Verwaltung wieder (Bescheid-Erstellung, Buchhaltung) ausführbar. Durch den Angriff entstand ein beträchtlicher finanzieller Schaden, der zurzeit auf rund 100.000 Euro geschätzt wird. Zusätzlich ist auch ein hoher Personalaufwand notwendig den entstandenen Schaden aufzuarbeiten. Im Dezember 2023 fand ein IT-Health-Check statt, bei dem die IT der Stadtgemeinde eine sehr gute Bewertung, auch im Bereich der Daten- und Netzwerksicherheit erhielt.

Rückblick

In der Nacht von Montag, den 5.2.2024 auf Dienstag, wurde der Cyberangriff durch Ransomware auf die Stadtgemeinde durch die interne IT-Abteilung entdeckt. Aus Sicherheitsgründen wurde das gesamte Gemeindenetzwerk stillgelegt. Die Stadtgemeinde hat Anzeige erstattet, weitere Sicherheitsbehörden eingeschaltet und externe IT-Spezialist:innen hinzugezogen. Das Landesamt Staatsschutz und Extremismusbekämpfung (LSE) ist mit der Direktion Staatsschutz und Nachrichtendienst (DSN) an der Arbeit. In die Ermittlungen eingebunden sind auch das Landeskriminalamt (LKA) Niederösterreich und das Bundeskriminalamt (BK). Laut aktuellem Ermittlungsstand fand keine Datenexfiltration statt - das ist die unbefugte Übertragung von Daten der Stadtgemeinde an die Täterschaft - aufgrund der raschen Maßnahmenumsetzung.

Bürgermeister Christian Gepp betont: „Danke für die Geduld und das Verständnis der Bürger:innen während der herausfordernden Situation. Wir sind zuversichtlich, dass die Entschlüsselung der Daten vom Backupstand 27. Jänner bis zum Angriff durch die Sicherheitsbehörden erfolgen kann. Wir werden alle Mittel bereitstellen und die Sicherheitsstandards erhöhen, damit zukünftig ein Cyberangriff nicht so leicht passieren kann.“

Tätergruppe

Die Hackergruppe „Lockbit“ gehört internationalen Ermittlungen zufolge zur „schädlichsten Cyberkriminalitätsgruppe“ der Welt und diese war für den Angriff auf die Stadtgemeinde Korneuburg verantwortlich. Rund 1.000 Opfer gibt es weltweit nach Schätzungen zufolge und rund 35 Opfer in Österreich. Die Hackerbande war seit vier Jahren aktiv, und dürfte Milliarden durch Erpressungen und Geldwäsche mit Kryptowährung erbeutet haben. In einer internationalen Polizeiaktion unter dem Namen „Operation Cronos“ wurden zwei „Lockbit“-Akteure festgenommen und die IT der Hacker lahmgelegt. Federführend bei den Erhebungen waren die National Crime Agency (NCA) in Großbritannien sowie Europol.

Verschiedene Arten von Schadprogrammen

Ransomware ist in den vergangenen Jahren zu einer immer größeren Bedrohung geworden, die für die Täter:innen sehr lukrativ ist. Zwar gibt es auch Angriffe gegen öffentliche Einrichtungen und Privatpersonen, hauptsächlich haben es die Cyberkriminellen aber auf Unternehmen abgesehen. Mittlerweile ist die Komplexität solcher Angriffe deutlich gewachsen. Angreifer:innen sind in der Lage gezielt ganze Netzwerke und Systeme zu verschlüsseln. Gleichzeitig etablieren sich einschlägige Gruppen in dem Bereich zunehmend als Dienstleister, die ihre Ransomware-Lösungen Dritten als "Software-as-a-Service" (SaaS) anbieten. Gegen Entgelt können somit auch bösartige Akteure, die selbst nicht über entsprechendes Knowhow verfügen, Angriffe durchführen, wobei die Anbieter mitunter auch die Zahlungsabwicklung übernehmen.

Hinweis für Bevölkerung

Falls Sie Fragen zu Cybersicherheitsfällen, oder einen Verdacht auf Internetkriminalität haben, oder Hilfe und Informationen benötigen, wenden Sie sich bitte per Mail an against-cybercrime@bmi.gv.at Die Expert:innen des Bundeskriminalamts geben gerne Auskunft.

Stand: 23.2. um 11:42 Uhr


Pressestatement nach Arbeitsgespräch am 20.2.2024Bundesinnenminister Gerhard Karner und BGM Christian Gepp informierten die anwesenden Journalist:innen zur „Operation Cronos“ und der erfolgreichen Lahmlegung der Hackergruppe „Lockbit