18 Monate Haft

IT-Techniker nach Ransomware-Attacke verurteilt

(Bild: stock.adobe.com, krone.at-Grafik)

Ein 21-jähriger IT-Techniker ist am Montag am Wiener Landesgericht im Zusammenhang mit einer Ransomware-Attacke auf ein bekanntes Wiener Unternehmen wegen Datenbeschädigung und Erpressung zu 18 Monaten Haft verurteilt worden. Dem bisher Unbescholtenen, der zum Tatzeitpunkt 19 Jahre alt war, wurde die Strafe unter Setzung einer dreijährigen Probezeit bedingt nachgesehen. Der junge Mann, der in der Verhandlung versichert hatte, dem betroffenen Unternehmen keinen Verschlüsselungstrojaner untergejubelt zu haben, erbat Bedenkzeit. Das Urteil ist nicht rechtskräftig.

Das Computersystem des Betriebs, der jährlich mehrere 100 Millionen Euro Umsatz macht, war Mitte Juli 2019 lahmgelegt worden. Jemand hatte sich über einen Benutzer-Account mittels einer VPN-Verbindung Zugang ins Netzwerk verschafft und das System mit einem Schadprogramm „verseucht“, was dazu führte, dass auf sämtliche Firmendaten nicht mehr zugegriffen werden konnte. Für das Entfernen der verschlüsselten Schadsoftware und das Entsperren  der Daten verlangte der Angreifer 420 Bitcoins im damaligen Gegenwert von 3,7 Millionen Euro. Der betroffene Betrieb, der zur Abwehr der Cyberattacke schlagkräftige Experten einschaltete, zahlte laut Anklage ein Prozent des geforderten Betrags - umgerechnet 37.000 Euro -, wobei man sich erhoffte, damit auf die Spur des Hackers zu kommen.

Nach langwierigen Ermittlungen konnte im August 2020 ein 19-Jähriger ausgeforscht werden, der bei einer IT-Firma, die in geschäftlicher Verbindung mit dem betroffenen Betrieb stand, eine Lehre absolviert hatte. Der Bursche wanderte sogar für ein paar Tage in U-Haft. Er behauptete, er habe mit der Sache nichts zu tun, das System des Unternehmens sei derart veraltet, dass sich praktisch jeder Zugriff darauf verschaffen hätte können.

(Bild: ©normalfx - stock.adobe.com)

„Blödsinn gemacht“
Ein vom zertifizierten IT-Sachverständigen Horst Eidenberger eingeholtes Gutachten förderte jedoch Indizien zutage, die für die Täterschaft des 21-Jährigen sprachen. Der an der TU Wien tätige IT-Experte wies etwa nach, dass für den Angriff ein regulärer Benutzer-Account verwendet wurde, da vom Login bis zum Platzieren der Ransomware kaum Zeit verging. Außerdem zeigte sich, dass der Bursche kurz vor dem Angriff einschlägige Begriffe gegoogelt hatte und offenbar Pläne wälzte, sich ins Ausland abzusetzen. Als der Cyber-Angriff die Runde machte und entsprechende Aufregung auslöste, teilte er einer Freundin per Textmitteilung mit, er habe „einen Blödsinn gemacht“ und müsse „untertauchen“.

Richterin schenkte Unschuldsbeteuerungen keinen Glauben
Am Ende hatte die Richterin keine Zweifel, dass der 21-Jährige ungeachtet seiner Unschuldsbeteuerungen der Täter war. Die in Mitleidenschaft gezogene Firma bekam 10.000 Euro Schadenersatz zugesprochen. Der 21-Jährige lebt seiner Aussage zufolge derzeit von seinen Ersparnissen, hat aber zwei verschiedene Jobangebote in Aussicht.

Laut Eidenberger gibt es aktuell eine Fülle von Cyber-Attacken speziell auf mittelständische Unternehmen: „Die Zahlen explodieren.“ Er werde im Schnitt alle drei bis vier Wochen mit einer Gutachtenerstellung beauftragt. Den prozessgegenständlichen Fall hatte Eidenberger gemeinsam mit dem Bundeskriminalamt und dem Austrian Institute for Technology bearbeitet. Alles klären ließ sich nicht. So konnte beispielsweise bislang nicht nachvollzogen werden, wo die übermittelten Bitcoins am Ende landeten.