Ich habe ein paar Fragen und Antworten mit meinem Wissensstand als Gemeinderat der Marktgemeinde Gössendorf zu den Handlungen der Gemeinde rund um den Hackerangriff im April zusammengeschrieben, um vielleicht ein paar immer wieder gestellte Fragen zu klären.
Vorweg sei angemerkt, dass ich nicht wirklich involviert gewesen bin. Mein Wissen sollte auf dem Stand der restlichen Gemeinderäte sein, die sich für die Thematik interessieren bzw. bei der letzten Gemeinderatssitzung im Juni zugehört haben.
Ich habe die HTLBA Kaindorf für EDV und Organisation absolviert und arbeite seit über 20 Jahren in einem EDV unternehmen.
Die breite Öffentlichkeit hat über den Hackangriff das erste Mal über den Woche Artikel am 5. Mai erfahren:
Warum wurde Lösegeld bezahlt?
Nachdem die Server der Gemeinde verschlüsselt wurden, stand die Arbeit im Gemeindeamt still bzw. wurden zur Überbrückung Tätigkeiten ausgeführt, für die keine EDV benötigt wird. Jeder Tag ohne Zugriff verursachte Kosten und war kein Bürgerservice möglich. Bürgermeister Gerald Wonner hat sich nach ein paar Tagen dazu entschieden, nachdem keine Entschlüsselung möglich war, 8.000 Euro Lösegeld aus eigener Tasche vorab zu bezahlen und so selbst das volle Risiko zu nehmen. Als praktikabelste Lösung sollte damit in kurzer Zeit das Bürgerservice wieder vorhanden sein und die Gemeindemitarbeiterinnen wieder produktiv arbeiten können.
Die Bezahlung geschah über eine Kryptowährung (ähnlich Bitcoin) wodurch die Überweisung nicht nachverfolgt werden konnte.
In der Gemeinderatsitzung im Juni 2021 wurde einstimmig von SPÖ, ÖVP, FPÖ und Grüne beschlossen, dass Bürgermeister Gerald Wonner diese 8.000 Euro von der Marktgemeinde Gössendorf erstattet bekommt.
Die Chance, dass die Hacker nach der Lösegeldzahlung die Daten wieder entschlüsseln, war hoch. Das ist quasi ihr „Geschäftsmodell“, es wurden ja in den letzten Jahren und Monaten einige Firmen und Gemeinden angegriffen. Wenn einmal nach der Lösegeldzahlung nicht entschlüsselt wird, wird niemand mehr bezahlen …
Ich habe in der letzten Gemeinderatssitzung den Vorschlag gemacht, das Thema im Prüfungsausschuss der Gemeinde zu behandeln. Das wurde von der Opposition (FPÖ usw.) nicht als sinnvoll erachtet.
Warum nicht die LKA Ermittlung abwarten?
Das LKA hat direkt nach dem Auftreten bzw. der sofortigen Meldung der Gemeinde die Ermittlung begonnen, Festplatten mitgenommen und kopiert. Das Lösegeld wurde erst später bezahlt, auch weil man ja die Festplatten für die Entschlüsselung wieder gebraucht hat. Die Ermittlung haben sich aber lange hingezogen (bis Ende Juli/Anfang August). Hätte man so lange zugewartet wäre ein Vielfaches an Schaden entstanden bzw. wäre das Gemeindeamt sehr lange stillgestanden.
Ohne dass die Ermittlung an der grundsätzlichen Situation bisher etwas geändert hätten.
Warum wurde nicht versucht die Daten zu retten?
Eine direkte Entschlüsselung war nicht möglich. Weiters muss man wissen, wie solch eine Rettung in Einzelfällen funktioniert hat:
Beispiel „St. Ruprecht an der Raab Hackerangriff auf Feuerwehr von HTL-Schüler repariert“
Dort wurden die Daten nicht entschlüsselt, sondern die gelöschten Daten mit viel Aufwand wiederhergestellt. Dafür muss es natürlich die gelöschten Originaldaten physikalisch noch geben.
Bei einer Feuerwehr wie oben war der Hackangriff zwar auch dramatisch, aber es entstehen nicht täglich Kosten wenn man versucht das System über einen längeren Zeitraum wiederherzustellen. Außerdem kann man davon ausgehen, dass dort nicht so komplexe Datenbanksysteme wie in Unternehmen im Einsatz sind, jedes zusätzliche System erhöht den Aufwand, wenn man aus den gelöschten Daten wieder das Ursprungssystem zusammenbasteln möchte. Immer unter der Annahme, dass die gelöschten Daten auf den Speichermedium noch vorhanden sind bzw. zusätzlich Platz haben.
Man hätte ein Unternehmen suchen können, das darauf spezialisiert wäre das zu prüfen. Die Kosten wären sicher hoch gewesen, zusätzlich wären weiter Kosten durch den weiteren Stillstand des Gemeindeamts entstanden, ohne zu wissen, ob es wirklich funktionieren würde.
Warum wurde die Wochen davor nicht mehr gesichert?
Offensichtlich der größte Fehler, aus Sicht der Gemeinde beim EDV-Dienstleister. Vorher wurde die Sicherung laufend durchgeführt, die Gemeinde hat keine eigenen IT/EDV Mitarbeiter. Der EDV Dienstleister wurde in Folge auf Vorschlag von Bürgermeister Gerald Wonner auch gewechselt und mit dem neuen Dienstleister ein Sicherungskonzept mit Onlinesicherung erarbeitet.
Klar ist aber auch, dass selbst wenn eine Sicherung vorhanden gewesen wäre, das Aufsetzen der Server und die Konfigurationen bis zum Einspielen der Sicherung einiges an Aufwand bedeutet hätte. Bis alles wieder funktioniert hätte zwar vermutlich nicht die 8.000 Euro Lösegeld, aber schon einen guten Teil davon.
In Summe waren so unter den Gegebenheiten die Zahlungen der 8.000 Euro sicher die klar günstigste Lösung für den Steuerzahler. Natürlich mit dem Beigeschmack, dass man sich sich erpressen hat lassen und schlussendlich an Kriminelle Lösegeld bezahlt hat.
Ich aber soweit gehen und behaupten mittelfristig hat die Gemeinde vermutlich nun das als Lehrgeld nachgezahlt, was der bisherigen EDV-Dienstleister günstiger war als der neue Dienstleister, der mit viel mehr Mitarbeitern viel breiter aufgestellt ist als der bisherige. Bisher hatte die Marktgemeinde Gössendorf als EDV Dienstleister ein Ein-Personen-Unternehmen (EPU) das über viele Jahre auch gut und preiswert gearbeitet hat.
Wurden private Daten gestohlen?
Die Server der Volksschule, die getrennt vom Gemeindeamt sind, waren nicht betroffen. Für die Daten im Gemeindeamt gibt es keine Indizien, dass Daten gestohlen wurden. Sagen wird man das aber nie 100%ig können, weil unklar ist wie gut die Hacker sind.
Die Marktgemeinde Gössendorf hat mit Unterstützung des neuen EDV-Dienstleisters eine ausführliche Meldung an die Datenschutzbehörde erstellt.
Anbei der Bericht von 27. Juli von der Kleinen Zeitung
Abschließend bleibt mein Wunsch, das Thema schon noch mal im Prüfungsausschuss abschließend zu behandeln. Dort hat aber die Opposition die Mehrheit (2 SPÖ, 1 FPÖ, 1 ÖVP und 1 Grüne). Ich gehe nicht davon aus, dass die Prüfung grundsätzlich irgendwas ändert, aber natürlich ist das Thema prädestiniert dafür um es im Prüfungsausschuss nochmal aufzuarbeiten und den Ablauf durchzugehen.
Falls es noch offene Fragen gibt, die jemand beantworten kann, frage ich gerne nach. Einfach ein E-Mail an ulrich.goessendorf@gmail.com schicken.
