18 Monate bedingt für Ransomeware-Angriff auf Wiener Firma
Der nunmehr 21-Jährige, der in der Verhandlung versichert hatte, er habe dem betroffenen Unternehmen keinen Verschlüsselungstrojaner untergejubelt, erbat Bedenkzeit. Das Urteil ist nicht rechtskräftig.
Das Computersystem des Betriebs, der jährlich mehrere 100 Mio. Euro Umsatz macht, wurde Mitte Juli 2019 lahmgelegt. Jemand hatte sich über einen Benutzer-Account mittels einer VPN-Verbindung Zugang ins Netzwerk verschafft und das System mit einem Schadprogramm "verseucht", was dazu führte, dass sämtliche Firmendaten nicht mehr abgegriffen werden konnten und somit nicht mehr nutzbar waren. Für das Entfernen der verschlüsselten Schadsoftware und das Entsperren verlangte der Angreifer 420 Bitcoins. Der betroffene Betrieb, der zur Abwehr der Cyberattacke schlagkräftige Experten einschaltete, zahlte laut Anklage ein Prozent des geforderten Betrags - umgerechnet 37.000 Euro -, wobei man sich erhoffte, damit auf die Spur des Hackers zu kommen.
Nach langwierigen Ermittlungen konnte im August 2020 ein 19-Jähriger ausgeforscht werden, der bei einer IT-Firma eine Lehre absolviert hatte, die in geschäftlicher Verbindung mit dem betroffenen Betrieb stand. Der Bursch wanderte sogar für ein paar Tage in U-Haft. Er behauptete, er habe mit der Sache nichts zu tun, das System des Unternehmens sei derart veraltet, dass sich praktisch jeder Zugriff darauf verschaffen hätte können.
Ein vom zertifizierten IT-Sachverständigen Horst Eidenberger eingeholtes Gutachten widerlegte diese Verantwortung und förderte Indizien zutage, die für die Täterschaft des 21-Jährigen sprachen. Der an der TU Wien tätige IT-Experte wies etwa nach, dass für den Angriff ein regulärer Benutzer-Account verwendet wurde, da vom Log In bis zum Platzieren der Ranswomware kaum Zeit verging. Außerdem zeigte sich, dass der Bursch kurz vor dem Angriff einschlägige Begriffe gegoogelt hatte und offenbar Pläne wälzte, sich ins Ausland abzusetzen. Als der Cyber-Angriff nämlich die Runde machte und entsprechende Aufregung auslöste, teilte er einer Freundin per Textmitteilung mit, er habe "einen Blödsinn gemacht" und müsse "untertauchen".
Am Ende hatte die Richterin keine Zweifel, dass der 21-Jährige ungeachtet seiner Unschuldsbeteuerungen der Täter war. Die in Mitleidenschaft gezogene Firma bekam 10.000 Euro an Schadensgutmachung zugesprochen. Der 21-Jährige lebt seiner Aussage zufolge derzeit von seinen Ersparnissen, hat aber zwei verschiedene Jobangebote in Aussicht.
Wie der IT-Sachverständige Eidenberger am Rand der Verhandlung auf APA-Anfrage erklärte, gibt es aktuell eine Fülle von Cyber-Attacken speziell auf mittelständische Unternehmen: "Die Zahlen explodieren." Er werde im Schnitt alle drei bis vier Wochen mit einer Gutachtenerstellung beauftragt. Den prozessgegenständlichen Fall hatte Eidenberger gemeinsam mit dem Bundeskriminalamt und dem Austrian Institute for Technology (AIT) bearbeitet. Alles klären ließ sich nicht. So konnte beispielsweise nicht nachvollzogen werden, wo die übermittelten Bitcoins am Ende landeten.
Zusammenfassung
- Die in Mitleidenschaft gezogene Firma bekam 10.000 Euro an Schadensgutmachung zugesprochen.