Author Topic: [Datenpannen und Identitätsdiebstahl...]  (Read 87708 times)

0 Members und 3 Gäste betrachten dieses Thema.

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10502
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #175 on: November 20, 2019, 10:10:18 vorm. »
Quote
[...] Unbekannte sind durch eine Sicherheitslücke in das IT-System des Versandhändlers Conrad Electronic eingedrungen. Dadurch hätten die Angreifer offenbar über Monate hinweg Zugriff auf fast 14 Millionen Kundendatensätze in einer Elasticsearch-Datenbank nehmen können, teilte die Conrad Electronic SE mit. Es gebe aber keine Hinweise darauf, dass die Hacker die Daten tatsächlich abgegriffen und missbraucht hätten.

Kreditkarteninformationen und Kundenpasswörter seien nicht kompromittiert worden. Vielmehr handelte es sich Conrad zufolge um Postadressen, teilweise E-Mail-Adressen sowie Fax- und Telefonnummern und bei einem Fünftel der Datensätze auch um Bankverbindungen (IBANs). Die Sicherheitslücke, die den Zugang ermöglichte, sei inzwischen geschlossen sowie weitere Vorkehrungen getroffen worden.

Die Conrad-Gruppe hat eigenen Angaben nach Strafanzeige beim Landeskriminalamt gestellt und das das Bayerische Landesamt für Datenschutzaufsicht informiert. Das Oberpfälzer Familienunternehmen rät Kunden trotzdem zu Vorsicht – vor allem, wenn diese E-Mails mit Anhängen erhielten. Es hat eine Internetseite eingerichtet, wo Kunden sich informieren und Fragen stellen können. “Die Sicherheit unserer Kunden und ihrer Daten ist uns sehr wichtig. Wir bedauern sehr, dass es zu dieser Datenpanne gekommen ist und bitten unsere Kunden aufrichtig um Entschuldigung“, erklärte Conrad-Chef Werner Conrad. (Mit Material der dpa) / (axk)


Aus: "Unbekannte dringen in Server von Conrad Electronic ein" Axel Kannenberg (19.11.2019)
Quelle: https://www.heise.de/newsticker/meldung/Unbekannte-dringen-in-Server-von-Conrad-Electronic-ein-4591326.html

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10502
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #176 on: Januar 19, 2020, 05:16:11 nachm. »
Quote
[...] Ein Vertriebsnetz für Porno-Websites, die sich auf kostenpflichtige Streams von Live-Kameras spezialisiert haben, hat eine riesige Sammlung mit hochsensiblen Daten der beteiligten Sexarbeiterinnen und Sexarbeitern frei im Internet zugänglich aufbewahrt. Das Affiliate-Unternehmen mit dem vielsagenden Namen "PussyCash" hat in einem offenen S3-Bucket in der Amazon-Cloud eine Sammlung persönlicher Daten samt Bildern von über 4000 Beteiligten vorgehalten. Das haben Security-Spezialisten von vpnMentor aufgedeckt.

Der knapp 20 Gigabyte große Objektspeicher des Amazon-Cloud-Dienstes Simple Storage Service (S3) enthielt laut dem Bericht von vpnMentor mehr als 875.000 Dateien, darunter Videos, Marketingmaterialien, Screenshots von Videochats sowie ZIP-Archive mit gesammelten Daten zu jeweils einer dort tätigen Personen. Enthalten sind Fotos bzw. Scans von Pässen, Personalausweisen, Führerscheinen, US-Militärausweisen, Sozialversicherungsausweisen, Kreditkarten, Eheschließungs- und Geburtsurkunden – also nahezu alle Dokumente, die eine moderne bürgerliche Existenz vollständig enthüllen.

Doch damit nicht genug: Enthalten waren in dem Leak außerdem die gescannten Verträge, in denen die Frauen und Männer bei dem Affiliate-Netz als "Models" beschäftigt werden, sowie schematische Körperdarstellungen mit etwaigen Piercings, Tattoos und Narben samt Angaben zu diversen Körpermaßen. Manche der "Models" hielten ihre Ausweise auch selbst ins Bild. Betroffen sind Sexarbeiter aus zahlreichen Ländern in aller Welt. Wie vpnMentor schreibt, sind manche Daten 15 bis 20 Jahre alt, andere erst wenige Wochen. Die Inhalte stammen demnach hauptsächlich von der LiveCam-Website imlive.com, andere Daten verweisen jedoch auf den Eigentümer des S3-Bucket, das Affiliate-Unternehmen "PussyCash", das auf seiner Website selbst keine pornografischen Inhalte anbietet.

Die Security-Spezialisten fanden die offene Datensammlung am 3. Januar und informierten am folgenden Tag "PussyCash" sowie das zugehörige Unternehmen "ImLive". Da es zunächst keine Reaktion gab, setzten sie am 7. Januar Amazon in Kenntnis – am selben Tag reagierte dann auch "ImLive" und teilte mit, man werde sich um die Angelegenheit kümmern und sie an das Technikteam von "PussyCash" weiterreichen. Zwei Tage später war der S3-Bucket nicht mehr offen zugänglich. Von "PussyCash" hat vpnMentor bislang keine Antwort erhalten, auch nicht von dessen Datenschutzbeauftragtem.

Der Eigentümer beider Unternehmen hat seinen Sitz in Andorra – da dieser Staat kein EU-Mitglied ist, greift hier die EU-Datenschutzgrundverordnung nicht. Durch diese könnten Behörden derartige Datenschutzverstöße mit teils empfindlichen Geldbußen ahnden.

Im November vergangenen Jahres hatten offen zugängliche Logdateien eines spanischen Betreibers von Porno-Websites die Identität von Millionen Betrachtern und der Sexarbeiterinnen ("Camgirls") zumindest indirekt – etwa über E-Mail-Adressen oder Nutzernamen – enttarnt. Im vorliegenden Fall ist die Enthüllung der Identität jedoch total und die Auswirkungen für die Betroffenen könnten katastrophal sein; sie könnten etwa Opfer von Mobbing, Stalking oder Erpressung werden. 2015 war es im Zuge der Enthüllung von Nutzern des Seitensprung-Portals "Ashley Madison" mutmaßlich zu einem damit zusammenhängenden Selbstmord gekommen. (tiw)


Aus: "Eimerweise hochsensible Daten: Schwerwiegender Leak bei LiveCam-Pornowebsites" Tilman Wittenhorst (18.01.2020)
Quelle: https://www.heise.de/newsticker/meldung/Eimerweise-hochsensible-Daten-Schwerwiegender-Leak-bei-LiveCam-Pornowebsites-4641374.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10502
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #177 on: Januar 23, 2020, 05:12:35 nachm. »
Quote
[...] Es ist wohl eines der größten Datenlecks in der Geschichte der Bundesrepublik: Persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder standen wochenlang ungeschützt im Netz, darunter Adressen und Telefonnummern von Prominenten und Politikern wie Robert Habeck von den Grünen. Zugänglich waren außerdem Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe. Das ergab eine gemeinsame Recherche des Computermagazins c't und der Wochenzeitung DIE ZEIT.

Ursache des Lecks war ein Konfigurationsfehler bei einem Backup-Server. Es stand der Port 445 offen, der Zugriffe über das Netzwerkprotokoll SMB erlaubt. Deshalb konnte jeder Internet-Nutzer die von Buchbinder auf dem Server abgelegten Dateien herunterladen – insgesamt über 10 Terabyte. Ein Passwort war dafür nicht nötig. Man musste lediglich die IP-Adresse des Servers im Windows-Datei-Explorer eingeben, große Festplatten und ein paar Stunden Zeit zum Download investieren.

Buchbinder ist einer der größten deutschen Autovermieter und nach eigenen Angaben "Marktführer im Privatkundensegment PKW und LKW in Deutschland und Österreich". Die Unternehmensgruppe mit Hauptsitz in Regensburg beschäftigt mehr als 2500 Mitarbeiter und betreibt rund 165 Mietstationen in Europa. Die Kerngesellschaft der Gruppe, die Charterline Fuhrpark Service GmbH, machte 2018 laut Jahresabschluss einen Umsatz von knapp 350 Millionen Euro. Ihr zur Seite stehen laut Datenschutzerklärung die Carpartner Nord GmbH sowie die Terstappen Autovermietung GmbH in Duisburg. Seit 2017 gehört Buchbinder zum französischen Europcar-Konzern.

Buchbinders IT-Abteilung nutzte laut Who-is-Abfrage einen durch die Charterline angemieteten Cloud-Rechner bei der PlusServer GmbH in Köln. Auf diesem wurden jeden Wochentag .bak- und .log-Dateien gespeichert – jede davon mehrere hundert Gigabyte bis über ein Terabyte groß.

Den Hinweis auf den offenen Server erhielten c't und DIE ZEIT von dem IT-Sicherheits-Experten Matthias Nehls. Dessen Firma "Deutsche Gesellschaft für Cybersicherheit" war bei Routine-Scans auf den offenen SMB-Server gestoßen. Nehls wandte sich zunächst zwei Mal per Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zuständigen Landesdatenschutzbeauftragen in Bayern als auch c't und DIE ZEIT.

Die Backups enthielten über 5 Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. Es handelt sich dem Augenschein nach um die komplette MSSQL-Firmendatenbank, auf die sich ohne Passwortabfrage zugreifen ließ.

Sie umfasste laut den Analysen von c't und ZEIT über neun Millionen Mietverträge, von 2003 bis heute. Neben den Mietern sind auch die Fahrer mit Namen, Adresse, Geburtsdatum, Führerscheinnummer und -Ausstellungsdatum aufgeführt. Viele haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern fanden sich nicht in der Datenbank, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen.

In der ungeschützt zugänglichen MSSQL-Datenbank ließen sich Kunden und Fahrer nach sensiblen Arbeitgebern, Ministerien oder auch Botschaften ausfiltern. Von über 3 Millionen Mietern der vergangenen 18 Jahre stammten rund 2,5 Millionen aus Deutschland, etwa 400.000 aus Österreich und die übrigen rund 114.000 aus Italien, der Slowakei und Ungarn. Ihnen zugeordnet sind 3,1 Millionen Fahrer aus aller Herren Länder.

Außerdem gab es eine Datenbank mit über 500.000 Unfällen, die bis ins Jahr 2006 zurückreichen. Erfasst wurden dort neben Informationen über die Fahrer der gemieteten Autos auch Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern. Vereinzelt fanden wir auch Namen und Kontaktdaten von Verletzten und tödlich Verunglückten. Neben Zeit und Ort war auch vermerkt, ob eine Blutprobe von der Polizei angeordnet wurde.

Mitarbeiter und Geschäftskunden wurden ebenfalls erfasst. Zudem fanden wir Login-Informationen von Angestellten und Nutzern der Online-Portale sowie dem Flottenmanagement von Buchbinder. Über 3000 von etwa 170.000 Passwörtern waren im Klartext gespeichert.

Die Authentizität der Kundendatenbank verifizierte c't anhand der Informationen von einem Dutzend Buchbinder-Kunden aus dem Kreis der Angestellten von Heise Medien. Das Datenleck betrifft offenbar auch Personen, die nicht direkt bei Buchbinder gebucht haben. Ein ZEIT-Redakteur, der ein Auto über billiger-mietwagen.de und Car Del Mar gemietet hatte, fand seine persönlichen Informationen ebenfalls in der Datei – obwohl er selbst nicht wissentlich Kunde von Buchbinder war.

Die Buchbinder-Gruppe arbeitet offenbar mit vielen solchen Vermittlern und Vergleichsportalen zusammen, die dafür laut Firmendatenbank eine Provision erhalten. Kunden wissen am Ende mitunter gar nicht, dass ihr Fahrzeug von Buchbinder stammt und ihre Daten dort gespeichert sind. Organisiert werden Fahrzeugvermietungen oft über die Carpartner Nord GmbH. Über Global Rent-a-Car vermittelt Buchbinder zudem weltweit Fahrzeuge.

Oft sind Konfigurationsfehler schuld, wenn Kundendaten im großen Stil im Netz landen. Bereits ein Klick an der falschen Stelle genügt – und schon ist das System auf der ganzen Welt erreichbar. Stellt man einen Dienst ins Netz, ist es nur eine Frage von Minuten oder höchstens Stunden, bis das jemandem auffällt und Zugriffsversuche starten. Wenn ein Datendieb wie bei Buchbinder dabei keinerlei Schutzmechanismen umgehen muss, handelt es sich dabei im juristischen Sinne nicht einmal um einen "Hackerangriff".

Um solch exponierte Systeme aufzuspüren, ist keine Handarbeit nötig: Open-Source-Tools wie der Netzwerkscanner ZMap klopfen in weniger als einer Stunde sämtliche IPv4-Adressen auf offene Dienste ab.

Die Deutsche Gesellschaft für Cybersicherheit war auf den offenen Port bei einem ihrer Routine-Scans gestoßen. Die Firma unterhält eine Online-Datenbank namens cyberscan.io, die Firmen bei der Abdichtung eventueller Sicherheitslöcher helfen soll. Die SMB-Freigabe von Buchbinder war aber nicht nur cyberscan.io aufgefallen. Die auf Sicherheitslücken spezialisierte Suchmaschine Shodan.io zeigte den Rechner ebenfalls an – zusammen mit 125 weiteren Servern mit ungeschützten SMB-Freigaben für Backups in Deutschland.

Für Neugierige war der Buchbinder-Server also relativ leicht zu entdecken. Jeder, der wusste, wo er nachzuschauen hatte, konnte sich frei daran bedienen.

Die bei Buchbinder geleakten Daten sind für Cyber-Schurken enorm wertvoll. Es handelt sich um valide Informationen von Millionen Bürgern – einschließlich Name, Firmenzugehörigkeit, Anschrift, Geburtsdatum, Telefon- und Führerscheinnummer. Im Unterschied zu Daten, die Nutzer etwa für die Teilnahme an einem Gewinnspiel angeben, müssen die bei Buchbinder hinterlegten Daten echt sein, damit es zum Abschluss eines gültigen Mietvertrags kommen kann.

Den größten Schaden hat gewiss Buchbinder: Die Kundendaten gehören zu den größten Schätzen eines Unternehmens, die Datenbank wurde über mehr als ein Jahrzehnt aufgebaut. Wer jetzt alles darauf Zugriff hatte, lässt sich nicht mehr nachvollziehen. Mitbewerber könnten unbezahlbare Einblicke in die Flotte des Unternehmens erhalten haben. Der Leak dürfte auch zu einem erheblichen Vertrauensverlust seitens der Kunden führen – ganz zu schweigen von etwaigen DSGVO-Bußgeldern und eventuellen Schadenersatzforderungen.

Die erbeuteten Daten könnten sich auf verschiedene Arten missbrauchen lassen. Zunächst geht es ums große Geld: Ein Angreifer könnte etwa gezielt nach Mietvorgängen von Unternehmenskunden suchen, um die persönlichen Kontaktdaten der involvierten Mitarbeiter herauszusuchen. Anschließend könnte er diese Daten nutzen, um im Namen des Mitarbeiters mit dessen Kollegen oder Chef zu kommunizieren, um sich Vertrauen zu erschleichen und sich weiter vorzuarbeiten.

Denkbar wäre auch ein groß angelegter Phishing-Angriff auf Buchbinder-Kunden: Der Täter könnte Phishing-Mails verschicken, die dazu auffordern, die bei der Autovermietung hinterlegten Kreditkartendaten zu aktualisieren. Er könnte vorgeben, dass es bei einer Abbuchung zu einem Problem gekommen ist und sich dabei sogar konkret auf eine Vermietung beziehen. Für die Empfänger wäre eine solche Mail kaum von einer echten zu unterscheiden.

Spam, Phishing, Einkäufe im fremden Namen oder anderer Identitätsklau stehen erst am Ende der Verwertungskette und könnten noch Jahre später eintreten, wenn der Vorfall längst vergessen ist. Dazu ließe sich die Datenbank etwa in kleinere Häppchen aufteilen. Da viele Kunden einen Wagen auf Geschäftskosten mieten, lassen sich einzelne Personen leicht verschiedenen Firmen, Vereinen und Parteien zuordnen.

Unter den Kunden findet man beispielsweise zahlreiche Prominente aus Sport und Unterhaltung, Spitzenpolitiker von CSU und AfD sowie Robert Habeck von den Grünen – mit Privatadresse, Handynummer und E-Mail-Adresse. Darüber hinaus sind mehrere hundert Angehörige verschiedener Botschaften gelistet – nicht nur aus Deutschland und Österreich, sondern auch aus den USA, Russland, China, Beirut, Israel, Iran, Saudi-Arabien oder auch Nord-Korea.

Dutzende Einträge führen zu Mitarbeitern verschiedener Bundesministerien, darunter ein ehemaliger hochrangiger Beamter des Verfassungsschutzes. Zu den Betroffen zählt unter anderem auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm. Gegenüber den Kollegen von der ZEIT erklärte er: "Der Fall zeigt leider, dass auch sehr sensible personenbezogene Daten immer wieder nur unzureichend geschützt werden. Egal ob ich – wie in diesem Fall – persönlich betroffen bin oder nicht, solche Fälle ärgern mich sehr, weil sie vermeidbar wären."

Betroffen sind auch Mitarbeiter der Polizei und der Bundeswehr. Aus Österreich hatte 2008 sogar ein Mitglied des "Einsatzkommando Cobra Süd" einen Wagen gemietet, eine Art Pendant zur GSG 9 in Deutschland. Aus Deutschland findet man beispielsweise zwei Mitarbeiter von FinFisher, einem öffentlichkeitsscheuen Hersteller von Spionage-Software.

c't und DIE ZEIT informierten Buchbinder am 20. Januar über das Datenleck: "Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst", teilte uns die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH schriftlich mit. Auf Fragen, wie lange das Datenleck bestand und wie viele Zugriffe es von außen gab, ging das Unternehmen ebenso wenig ein wie auf die Rechtsgrundlage, auf der Kunden- und Unfalldaten weit über zehn Jahre gespeichert wurden.

Aus juristischer Sicht ist ein derart offener Server ein geradezu katastrophaler Verstoß gegen die Vorgaben der DSGVO. Sollten die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein sehr hohes Bußgeld fällig.

Erschwerend kann im vorliegenden Fall sein, wenn besonders sensible personenbezogenen Daten im Sinne von Art. 9 DSGVO betroffen sind, die noch stärker geschützt werden müssen. In der Buchbinder-Datenbank lassen sich beispielsweise Kunden politisch, religiös, nach sexuellen Vorlieben oder Erkrankungen zuordnen. So findet man Fahrten von Kreis- und Landesverbänden aller im Bundestag vertretenen Parteien, wie auch der DKP und NPD. Gelistet sind mehrere Hundert islamische Vereine, Einträge jüdischer Gemeinden wie auch von Schwulen- und Lesben-Vereinen sowie Selbsthilfegruppen von Süchtigen.

Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies bei Buchbinder erfragen. ...


Aus: "Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz" (22.01.2020)
Quelle: https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10502
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #178 on: Januar 28, 2020, 09:25:34 vorm. »
Das Kammergericht ist das oberste Gericht für Straf- und Zivilangelegenheiten im Land Berlin. Es steht über den Amtsgerichten und dem Landgericht. Die 144 Richter verhandeln unter anderem politische Strafsachen wie Spionage und Terrorismus sowie Berufungen, Beschwerden, Revisionen, unterhaltsrechtliche Fragen. Sie können Urteile und Beschlüsse anderer Gerichte aufheben. Das Gericht wird von einem Präsidenten/einer Präsidentin geleitet. Das Kammergericht ist Ausbildungsbehörde für die Rechtsreferendare im Land Berlin. ...
https://de.wikipedia.org/wiki/Kammergericht


-

Quote
[...] Der IT-Supergau am Kammergericht hatte vor vier Monaten seinen Anfang genommen. Am 25. September hatte das IT-Dienstleistungszentrum festgestellt, dass aus den Systemen des Kammergerichts Kontakt mit sogenannten Command-and-Control-Servern hergestellt wurde. Solche Server werden dazu benutzt, um Schadsoftware zu steuern.

Am 1. Oktober wurde dann bei T-Systems ein forensischer Bericht in Auftrag gegeben, mit dem der Umfang des Angriffs festgestellt werden sollte. Dazu wurde am 2. Oktober vor Ort eine Ersteinschätzung erhoben, in deren Verlauf Anzeichen für einen „schwerwiegenden Fall einer Emotet-Infektion“ mit „nicht abzuschätzenden Folgen für das Netzwerk, die Systeme und die Daten des Kammergerichts“ gefunden wurden.

...


Aus: "Möglicherweise gesamter Datenbestand des Berliner Kammergerichts geraubt" Robert Kiesel (27.01.2020)
Quelle: https://www.tagesspiegel.de/berlin/gutachten-zur-virus-attacke-moeglicherweise-gesamter-datenbestand-des-berliner-kammergerichts-geraubt/25477570.html

Quote
marla44 27.01.2020, 19:50 Uhr

Wer sagt eigentlich den ganzen Zeugen und verdeckten Ermittlern jetzt, dass sie ja nichts zu verbergen haben.


Quote
sinnsucher 27.01.2020, 16:39 Uhr

Und das ist nur die Spitze des Eisbergs. ...



Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10502
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #179 on: Mai 08, 2020, 02:28:39 nachm. »
Quote
[...] Die Aufregung um personenbezogene Daten in einem Onlineregister ist groß. Regierung und Datenschutzbehörde sind seit Wochen über den Umstand informiert.

Sie wollten schon immer wissen, wo der Bundespräsident haust? Wo andere Politiker wohnen? Das war bis Donnerstagabend tatsächlich einfach möglich. Wie berichtet, gelangte ein Onlineregister in die breite mediale Berichterstattung, in dem private Daten von bis zu einer Million Bürger einsehbar waren. Unter anderem waren Privatanschriften, Geburtsdaten und Angaben zum Steuerprozedere abrufbar. Mittlerweile wurde die Datensammlung offline genommen. Die Neos orten den größten Datenschutzskandal der Republik, die Regierung pocht hingegen auf Gesetzeskonformität.

Tatsächlich ist das sogenannte "Ergänzungsregister" nach Informationen des Wirtschaftsministeriums seit 2004 online – und war seither "immer öffentlich einsehbar". Demnach wurden die Daten von der Finanzverwaltung eingespeist. Das Register geht auf eine von Altkanzler Werner Faymann (SPÖ) erlassene Verordnung zurück, heißt es bei der ÖVP. Bis vor kurzem will man im Ministerium unter Margarete Schramböck (ÖVP) jedenfalls nichts von der Existenz der Datenbank gewusst haben – obwohl sie auf der Seite des Ministeriums zu finden war.

Wie DER STANDARD in Erfahrung bringen konnte, wusste man im Ressort jedoch seit mehr als drei Wochen von dem öffentlichen Zugang zu den Informationen, ohne dass das Register vom Netz genommen worden wäre. Zudem liegt eine Anfrage an die Datenschutzbehörde vom 14. April vor. Die Behörde antwortete darauf sinngemäß, dass das Register laut Verordnung öffentlich zu führen sei.

Vermutlich dürfte man in der Regierung bereits wesentlich früher von der Datenbank gewusst haben, wie Neos-Abgeordneter Douglas Hoyos am Freitag in einer Pressekonferenz betonte. Demnach haben sich in dem Register Gelistete bereits vor sechs Wochen bei einer Zweigstelle der Wirtschaftskammer gemeldet und auf das Problem aufmerksam gemacht. Daraufhin kontaktierten auch die Neos die Datenschutzbehörde und auch die zuständigen Ministerien – "seitdem ist nichts passiert", so Hoyos.

Welche Daten genau in dem System – und vor allem im Hintergrund – gespeichert sind, sei nicht klar, betont Datenschützer Thomas Lohninger von der Grundrechte-NGO Epicenter Works. In vielen Fällen sei der öffentliche Zugriff auf Privatadressen aber äußert bedenklich: Psychotherapeuten etwa, die im Strafvollzug tätig sind, oder Menschen, die mit Stalkern zu kämpfen haben, würden so einer physischen Gefahr ausgesetzt werden. "Für uns war es unverständlich, wie diese Daten jemals an die Öffentlichkeit kommen konnten."

Zudem besteh das Problem des Datenhandels und Identitätsdiebstahls, sagt Lohninger. Laut dem Experten kann man mit Name, Geburtsdatum und Privatadresse "relativ viel anfangen".

Seit Donnerstagnacht ist die Homepage jedenfalls offline, aus "Verantwortungsbewusstsein", wie es aus dem Kabinett Schramböck heißt. Wieso das Register dann nicht gleich nach Bekanntwerden für die Öffentlichkeit gesperrt wurde? Vor Donnerstagabend habe "de facto niemand" das Register gekannt, heißt es aus dem Ministerium. Es gebe eine rechtliche Grundlage dafür und damit "keinen Grund, es offline zu nehmen".

Am Donnerstagabend habe man sich dann doch dafür entschieden, das Register offline zu nehmen, weil sich die Zugriffe auf einmal gehäuft hätten, heißt es im Wirtschaftsministerium. Technische Probleme seien ein Grund dafür gewesen, dass die Seite zeitweise nicht aufrufbar war.

Ans Licht der Öffentlichkeit geriet das Register durch das Prozedere zum Härtefallfonds. Für die Einreichung mussten Selbstständige eine Nummer angeben, die über die Datenbank bis zuletzt einsehbar war. Erst dadurch hätten viele Betroffene erfahren, dass sie in der öffentlichen Datenbank geführt werden, sagt Hoyos.

Die Wirtschaftskammer (WKO), über die die Abwicklung des Fonds geschieht, betonte auf Anfrage jedoch, dass es keine "technische Schnittstelle" zwischen der Härtefall-Applikation und dem Register gebe, das Register liege nicht im Wirkungsbereich der Kammer. Mittlerweile ist die Nummer für den Antrag jedenfalls nicht mehr notwendig, heißt es bei der Kammer.

Dass es keine Verbindung zur WKO gibt, sieht man bei den Neos anders. Aus den Logdaten gehe hervor, dass die Wirtschaftskammer Daten in das Register einfügt, es sei allerdings nicht ersichtlich, ob die WKO auch auf die Datenbank zugreife. Wer die Datenbank in der Vergangenheit nutzte, bleibt vorerst ungewiss. Diese wird seit 2010 von der Statistik Austria gehostet, das sei gesetzlich so vorgesehen, heißt es aus dem Amt. Laut Statistik Austria gab es im Schnitt "200 bis 300 Abfragen pro Tag", durch den Härtefond sei es punktuell zu Spitzen von bis zu 70.000 Abfragen gekommen. Informationen dazu, aus welchen Ländern die Zugriffe stammen, lägen noch nicht vor.

Während die Neos sich "sehr glücklich" zeigten, dass die Datenbank mittlerweile nicht mehr zugänglich ist, kontert die ÖVP mit scharfer Kritik. Klubobmann August Wöginger sprach in einer Aussendung von einem "peinlichen Irrtum" der Pinken. Diese würden versuchen, "in künstlicher Aufregung einen Skandal zu basteln". Die 2009 erlassene Verordnung regle klar, dass das Register öffentlich zu führen sei, so Wöginger. "Es gibt aus unserer Sicht kein klares Gesetz, wieso das öffentlich zugänglich ist", kontern die Neos. "Jeder, der nur ein Grundverständnis von Datenschutz hat, sieht sofort, dass da etwas faul ist."

Wie soll es nun weitergehen? Man werde sich die Sache natürlich genau anschauen, heißt es aus dem Wirtschaftsministerium. "Vermutlich werden wir das Register überarbeiten." Wer genau in der Datenbank geführt wird, konnte eine Sprecherin des Ministeriums dem STANDARD nicht beantworten.

Fest steht jedenfalls, dass nicht nur Unternehmer in dem Register landen. Dem STANDARD sind mehrere Fälle bekannt, in denen gelistete Personen in der Vergangenheit keiner selbstständigen Tätigkeit nachgegangen sind.

Aus datenschutzrechtlicher Sicht sei das Register prinzipiell nicht zu beanstanden, sagt der Rechtsanwalt Markus Dörfler. "Ob es sinnvoll ist, dieses Register (wie auch das Vereinsregister oder das Firmenbuch) öffentlich im Internet abrufbar zu machen, ist eine politische Frage." Die mangelhafte Transparenz – also dass Personen in dem Register eingetragen sind, aber darüber nicht in Kenntnis gesetzt werden – könnte nach Ansicht des Juristen tatsächlich einen Verstoß gegen die Datenschutzgrundverordnung darstellen. "Da die wenigsten Personen, die im Ergänzungsregister eingetragen sind, Kenntnis über das Ergänzungsregister haben, scheint die öffentliche Verwaltung diese Pflicht nicht ordnungsgemäß wahrgenommen zu haben." Da das Register nicht mehr online verfügbar ist, sei in Verstoß derzeit nur schwer zu prüfen.

Insgesamt gibt es laut Dörfler jedenfalls "zig Fälle", wieso man in diesem Register aufscheinen könnte. Als Beispiel nennt er die Registrierungspflicht für die Haltung von Schweinen, Schafen und Ziegen. Die Verordnung sieht vor, dass Tierhalter eine Stammzahl bekanntgeben müssen, diese sei die Vereinsregisternummer, die Firmenbuchnummer oder die Ordnungsnummer des Ergänzungsregisters für sonstige Betroffene.

Aus Kreisen des Ministeriums ist jedenfalls zu hören, dass eigentlich eine Novellierung des Registers angedacht war, diese sei schon relativ gut vorbereitet gewesen. Aufgrund der Corona-Pandemie wurden dahingehende Arbeiten aber offenbar nach hinten geschoben. (Nora Laufer, 8.5.2020)


Aus: "Register einsehbar - Für ÖVP sind hunderttausende Daten im Netz "künstliche Aufregung"" Nora Laufer (8. Mai 2020)
Quelle: https://www.derstandard.at/story/2000117369798/fuer-oevp-sind-hunderttausende-daten-im-netz-kuenstliche-aufregung

Datenschutz: Hunderttausende Adressen von Bürgern in Onlineregister auffindbar
Register gibt tiefe Einblicke: Unter anderem sind Privatadressen von heimischen Politikern gelistet – Ministerium sieht kein Datenleck
Nora Laufer 7. Mai 2020, 19:29
https://www.derstandard.at/story/2000117351903/gigantisches-datenleck-hunderttausende-adressen-von-buergern-im-netz-auffindbar



Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10502
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #180 on: Juni 21, 2020, 05:59:17 nachm. »
Quote
[...] Weitgehend unbemerkt von der Öffentlichkeit hat der Datenbankkonzern Oracle die Spuren von Online-Nutzern verfolgt und ein umfangreiches Tracking-Netzwerk aufgebaut. Eine massive Datenpanne hat jetzt Einblicke in die entsprechenden Aktivitäten des Konzerns aus dem Silicon Valley gegeben. Die Panne hat der Sicherheitsforscher Anurag Sen entdeckt. Auf einem ungesicherten, ohne Passwort zugänglichen Server stieß der Experte auf ein Verzeichnis mit Milliarden personenbezogener Datensätze, die für jedermann offen einsehbar waren.

Sen hat Oracle inzwischen über seinen brisanten Fund informiert, die klaffende Sicherheitslücke ist der Firma zufolge wieder geschlossen. Das US-Magazin TechCrunch hatte nach eigenen Angaben zuvor Gelegenheit, die Datenbank über den eingeschalteten Informanten zu überprüfen. Diese enthielt demnach Namen, Anschriften, E-Mail-Adressen und andere personenbeziehbare Daten von Nutzern aus aller Herren Länder. Darunter seien auch sensible Browsing-Verläufe gewesen, die von Shopping-Touren im Web bis zu Abbestellungen von Newsletter-Abonnements reichten.

"Man kann es kaum beschreiben, wie aufschlussreich einige dieser Daten sein können", erklärte Bennett Cyphers von der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) gegenüber dem Online-Dienst. Fein abgestufte Aufzeichnungen über die Surfgewohnheiten von Menschen im Web könnten Hobbys, politische Vorlieben, Einkommensklassen, den Gesundheitszustand, sexuelle Präferenzen und andere persönliche Details offenbaren. Die Aussagekraft nehme ständig zu, "da wir einen immer größeren Teil unseres Lebens online verbringen".

Die umfangreichen, als nicht-pseudonymisierte Rohdaten nach außen gedrungenen Nutzerspuren hat Oracle dem Bericht nach vor allem über seine Tochter BlueKai zusammengetragen. Das Unternehmen hatte das Start-up 2014 für gut 400 Millionen US-Dollar gekauft. Obwohl es außerhalb von Marketingkreisen kaum bekannt ist, hat es mithilfe von Cookies und anderen Tracking-Instrumenten wie Schnüffelpixeln auf Webseiten inklusive Porno-Portalen und in HTML-Mails einen großen einschlägigen Werbeverbund aufgebaut. Auf dem zugehörigen Markt für Profiling und personenbezogene Werbung gelten etwa Google mit seinem Netzwerk DoubleClick, Facebook und Amazon als noch größere Datensammelmaschinen.

TechCrunch spricht allein angesichts der schieren Größe der exponierten Datenbank von einer der bislang "größten Sicherheitslücken in diesem Jahr". Man habe darin sogar Aufzeichnungen mit Einzelheiten über teils sehr private Online-Einkäufe gefunden, die bis August 2019 zurückreichten. In einem Datensatz werde detailliert beschrieben, wie ein namentlich identifizierter Deutscher am 19. April eine Prepaidkarte benutzt habe, um ein 10-Euro-Gebot auf einer Website für E-Sports-Wetten zu platzieren. Die Aufzeichnungen sollen auch die Adresse, Telefonnummer und E-Mail des Mannes umfasst haben.

Als weiteres Beispiel nennt das Magazin Einträge einer der größten türkischen Investmentfirmen. Darüber habe sich etwa zurückverfolgen lassen, dass ein Nutzer aus Istanbul für 899 US-Dollar Möbel bei einem Online-Ausstatter erstanden habe. Interessenten unter anderem für Dashcams seien ebenfalls leicht persönlich ausfindig zu machen gewesen.

Nach kalifornischem Recht und der Datenschutz-Grundverordnung (DSGVO) wäre Oracle eigentlich verpflichtet gewesen, die zuständigen Aufsichtsbehörden über das Leck binnen enger Fristen zu informieren. Dem Bericht nach versäumte der Konzern dies aber bislang. Die DSGVO sieht bei Verstößen Bußgelder bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes eines Unternehmens vor.

Laut Branchenexperten verfolgt BlueKai rund 1,2 Prozent des gesamten Datenverkehrs im Web und arbeitet mit den Betreibern einiger der größten Homepages und Online-Dienste wie Amazon, ESPN, Forbes, Levi’s, MSN.com, Rotten Tomatoes und der New York Times zusammen. Ironie bei der Geschichte: Sogar in dem TechCrunch-Artikel ist ein BlueKai-Tracker eingebaut, weil die Muttergesellschaft Verizon Media zu den Partnern der Firma gehört. Letztlich setzt fast jede Medienseite, die sich ganz oder teils über Werbung finanziert, auf einschlägige Verfahren zur Nutzeranalyse.

Hierzulande betonten die Datenschutzaufsichtsbehörden erstmals vor zwei Jahren, dass Tracker wie Google Analytics und Cookies selbst in pseudonymisierter Form nur mit ausdrücklicher und informierter Einwilligung der Nutzer erlaubt seien. Die von Anwendersystemen abgegriffenen Daten und daraus geformten Profile würden längst nicht nur für Anzeigen verwendet, beklagte der Bundesdatenschutzbeauftragte Ulrich Kelber voriges Jahr.

(bme)


Aus: "Oracle: Datenpanne mit Milliarden Einträgen enthüllt riesiges Tracking-Netz" Stefan Krempl (21.06.2020)
Quelle: https://www.heise.de/news/Oracle-Datenpanne-mit-Milliarden-Eintraegen-enthuellt-riesiges-Tracking-Netz-4790339.html

Quote
     ALCoolJ, 21.06.2020 11:08

Und nun?

Da ist also ein fieses fettes Leck.
Und was passiert jetzt?
Gibt's ne Anzeige?
Werden die Betroffenen entschädigt?
Können normale User und DAUs das ganze umgehen?


...

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10502
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #181 on: Juni 30, 2020, 12:18:55 nachm. »
Quote
[...] Foodora ist zurück – allerdings in einer Form, die bei den ehemaligen Kunden wohl alles andere als Begeisterung auslösen dürfte. Vor kurzem ist bekannt geworden, dass der mittlerweile eingestellte Lieferdienst bereits im Jahr 2016 gehackt wurde – und zwar im großen Stil.

Namen, Adresse, Telefonnummer, Passwörter und zum Teil auch exakte Standortdaten: All dies konnten bislang unbekannte Angreifer von 727.000 Foodora-Kunden aus 14 Ländern erbeuten. Darunter sind auch zehntausende Kunden aus Österreich – und damit alle, die zu dem damaligen Zeitpunkt einen Foodora-Account hatten. Deutschland, Frankreich und Spanien befinden sich ebenfalls auf der Liste der betroffenen Länder.

Öffentlich wurde der Vorfall nun, weil die Daten Mitte Mai zunächst in einem einschlägigen Forum gepostet und dann von anderen weiterverbreitet wurden. Dies führte wiederum dazu, dass die Informationen in die Hände von Sicherheitsexperte Troy Hunt kamen, der sich auf die Sammlung solch großer Datenlecks spezialisiert hat – und der den Foodora-Besitzer, die deutsche Firma Delivery Hero, informierte.

Bei Delivery Hero bestätigt man den Vorfall mittlerweile und betont, dass die Datenschutzbehörden bereits informiert wurden – so wie es die Datenschutzgrundverordnung vorschreibt. Die betroffenen Kunden wurden hingegen noch nicht in Kenntnis gesetzt, da derzeit noch die internen Untersuchungen laufen. Wann man diesen Schritt nachholen will, lässt die Firma auf explizite Nachfrage des STANDARD allerdings ebenso offen, wie die Antworten zu weiteren Detailfragen..

Welche Daten konkret erbeutet wurden, ist durch den Leak aber ohnehin klar. So besteht die Datensammlung jeweils aus zwei SQL-Dateien für jedes Land, eine für die Adresse, eine für andere Kundeninformationen. Neben den bereits erwähnten Punkten sollen sich darin zum Teil auch Anmerkungen der Nutzer finden, die sie für die Lieferanten hinterlassen haben. Bei den erwähnten Standortdaten soll es sich um exakte GPS-Positionen handeln – auf sechs Nachkommastellen genau.

Zumindest in einer Hinsicht hat Sicherheitsexperte Hunt gute Nachrichten: Die meisten der enthaltenen Passwörter scheinen gut geschützt zu sein. Durch eine Verschlüsselung mit Bcrypt (Faktor 11) sollten sie gegen Angriffe gut gerüstet sein. Allerdings sind auch einige – wohl zu dem Zeitpunkt schon länger nicht mehr genutzte – Konten lediglich mit einem via MD5 gehashten Passwort gespeichert. Dies sollte wesentlich leichter zu knacken sein. Finanzdaten – also etwa Kreditkarteninformationen – sollen hingegen nicht enthalten sein.

Wer wissen will, ob er betroffen ist, kann dies über die von Hunt betriebene Webseite "Have I Been Pwned" überprüfen. Dort reicht es, die eigene E-Mail-Adresse einzugeben, um herauszufinden, ob man Opfer eines bekannten Hacks geworden ist. Und die Foodora-Daten hat Hunt hier bereits eingespielt. Da Foodora mittlerweile nicht mehr existiert, können die Nutzer natürlich dort das Passwort nicht mehr ändern. Stattdessen sollten sie aber überlegen, wo sie sonst noch dieselbe Nutzername-Passwort-Kombination verwendet haben – und dort dann das Passwort tauschen. Immerhin verwenden Angreifer oft automatisiert Informationen aus bekannten Hacks, um dann in die Konten bei anderen Diensten einzubrechen.

Es gibt aber noch einen zweiten Vorfall, der dem aktuellen Leak in der Retrospektive eine besonders pikante Note verleiht, und der auch zeigt, dass die Daten auf dem Schwarzmarkt schon länger kursiert sein dürften. So hat der STANDARD bereits im November 2017 Foodora aufgrund des Hinweises eines Lesers über ein mögliches Datenleck informiert. Dieser hatte Spam-Mails an eine Adresse erhalten, die ausschließlich für den Foodora-Kontakt genutzt wurde. Ein Sprecher des Lieferdiensts versicherte damals allerdings, dass es "keinerlei Anzeichen eines Datenlecks oder Hacks" gebe. Da man auch keine Daten an Dritte weiterverkaufe und die Kundeninformationen auf den eigenen Servern "mit der höchstmöglichen Sicherheit (...) hinterlegt seien", unterstellte man ein Sicherheitsproblem beim Kunden.

Doch auch unabhängig davon könnte bald Ungemach auf den Mutterkonzern Delivery Hero zukommen. Immerhin wird der Vorfall wohl eine Untersuchung nach der Datenschutzgrundverordnung nach sich ziehen, bei der eine saftige Strafe für die Firma anstehen könnte. Es wäre aber auch nicht die erste DSGVO-Strafe, die Delivery Hero berappen muss: Erst im vergangenen September wurde das Unternehmen wegen mehrerer Verstöße gegen die EU-Richtlinie zu 195.000 Euro verurteilt. So wurden etwa die Daten von ehemaligen Kunden auch nach deren Aufforderung nicht gelöscht, sie bekamen weiter Werbemails von der Firma.

In Österreich wurde Foodora im Jahr 2019 eingestellt. Der Grund dafür war recht simpler Natur: Mit Mjam betreibt Delivery Hero hierzulande nämlich noch einen weiteren Lieferdienst. Für die Zukunft wolle man sich lieber auf eine Marke konzentrieren, hieß es zum Abschied. Marktstart in Österreich war 2015, gegründet wurde der Service ein Jahr zuvor in Deutschland. (Andreas Proschofsky, 30.6.2020)


Aus: "Foodora wurde 2016 gehackt: Private Daten zehntausender österreichischer Kunden im Netz" (30. Juni 2020)
Quelle: https://www.derstandard.at/story/2000118384303/foodora-wurde-2016-gehackt-namen-und-adressen-oesterreichischer-kunden-im

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10502
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #182 on: Juli 14, 2020, 03:36:32 nachm. »
Quote
[...] Die IT-Sicherheitsfirma Cyble hat im Darknet identifizierende Datensätze zu mehr als 45 Millionen Flugreisenden aus verschiedenen Ländern entdeckt, die Thailand oder Malaysia besucht haben. Informationen zum Leak sollen in Cybles Leak-Plattform Am I Breached eingepflegt werden, so dass sich potenziell Betroffene dort Gewissheit verschaffen können.

Auf die Datensätze stieß das Cyble-Team nach eigenen Angaben im Rahmen routinemäßiger Darkweb-Analysen. Ein glaubwürdig erscheinender Verkäufer habe sie zum Kauf angeboten und das Team sei auf das Angebot eingegangen.

Laut Cybles Blogpost zum Leak handelt es sich bei den Daten unter anderem um

    Vollständige Namen, Adressen und mobile Telefonnummern
    Geschlecht
    nicht näher spezifizierte Reisepass-Daten sowie
    Fluggast-IDs und Flugdetails.

...


Aus: "Daten von Millionen von Malaysia- und Thailand-Reisenden im Darkweb aufgetaucht" Olivia von Westernhagen (14.07.2020)
Quelle: https://www.heise.de/news/Daten-von-Millionen-von-Malaysia-und-Thailand-Reisenden-im-Darkweb-aufgetaucht-4843462.html

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10502
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #183 on: Oktober 29, 2020, 11:19:13 vorm. »
Quote
[...] Am 21. Oktober hinterließ ein anonymer Hacker auf einem finnischen Internetforum eine englischsprachige Nachricht, wonach die Krankenakten von etwa vierzigtausend Patienten des großen Psychotherapiezentrums Vastaamo in seinem Besitz seien. Dieses Material enthalte sowohl die Adressdateien als auch die Personenkennzeichen – in Finnland ein wichtiges Dokument, das die Nutzer zu gravierenden finanziellen und behördlichen Transaktionen berechtigt – sowie die gesamten Protokolle der Therapiesitzungen, die von den Therapeuten über mehrere Jahre hinweg geführt worden waren.

Der Hacker schrieb, er habe die Akten der Vastaamo-Datenbank bereits im November 2018 gehackt. Ende September 2020 habe er sich an die Chefs des Zentrums gewandt und 450 000 Euro Schweigegeld erpresst, das ihm durch anonyme Vermittlung in Bitcoins über das Darknet überwiesen werden sollte. Die Firma habe seine Forderungen nicht akzeptiert, deshalb werde er ab sofort jeden Morgen die Akten von hundert Patienten im anonymen Tor-Netzwerk veröffentlichen.

Der Hacker hat Wort gehalten. Am nächsten Morgen erschienen weitere hundert, Freitag wieder hundert, bislang also dreihundert Patientenakten im Netz. Die Aufmerksamkeit der Presse und Internetforen wuchs. Redakteure unterschiedlichster finnischer Zeitungen prüften die Dateien und stellten fest: Das Material ist gravierend. Eine Autorin beschrieb in ihrer Kolumne, dass sie die Lektüre einer Akte abbrechen musste: Bei der Vorstellung, dass alle Welt lesen könne, wie ein Therapeut das Leben einer Person durchwühle, sei ihr schlecht geworden.

Der Hacker behauptete, die Personen der bislang veröffentlichten Akten seien frei gewählt. Doch bereits unter den ersten fanden sich hochrangige Polizisten und Politiker. Am Freitagmorgen wurde auf der Tor-Seite des Hackers eine Datei von zehn Gigabyte hochgeladen und nach einer Stunde wieder gelöscht. Viele, die im Netz gelauert hatten, luden die Datei herunter. Danach brach die Hölle los: Am Samstag bekamen Zigtausende Patienten des Therapiezentrums per E-Mail einen Erpressungsbrief, diesmal auf Finnisch, der ihnen die Möglichkeit bot, sich freizukaufen: für zweihundert Euro, zahlbar in Bitcoins innerhalb eines Tages, oder für etwa fünfhundert Euro, zahlbar in zwei Tagen. Damit war klar: Es geht um wesentlich mehr.

Es ist schwer zu fassen, was dieses Datenleck für die Finnen bedeutet. Die Menge von vierzigtausend Patienten in Finnland entspricht, gemessen an der Gesamtbevölkerung, etwa jener von sechshunderttausend in Deutschland. Sie stehen nun völlig nackt in der Öffentlichkeit: mit ihren Geheimnissen, Krankheiten, Affären, unehelichen Kindern. Dazu kommt, dass zur finnischen Mentalität große Scheu, gedämpfte Kommunikation und viele innere Geheimnisse gehören. Der finnische Staat war auf diesen Angriff nicht vorbereitet. Die Premierministerin Sanna Marin ordnete am Wochenende eine Krisensitzung der Schlüsselministerien an. Die Polizei organisierte eine Pressekonferenz und bestätigte, es gehe vermutlich um „viele tausend Leute“.

Die Behörden empfehlen, kein Schweigegeld zu bezahlen und stattdessen Strafanzeige im Internet zu stellen. Die Portale der Polizei kollabierten sofort. Die Patienten, viele von Angst paralysiert, suchten verzweifelt nach Möglichkeiten, mehr zu tun. Mit dem Personenkennzeichen kann man in Finnland per Internet Versandware bestellen, Umzüge organisieren, Firmen gründen, Sofortkredite beantragen. Um jede einzelne dieser Transaktionsmöglichkeiten zu sperren, muss man mit sieben bis acht Behörden telefonieren, bei einigen für die Sperrung auch Gebühren bezahlen – und das alles, während viele der betroffenen Menschen dazu keine Kraft und erst recht keine ausreichenden digitalen Kenntnisse haben.

Die Krise weitet sich in alle Richtungen aus. Die zwei Hauptfragen lauten: Warum haben alle Aufsichtsbehörden versagt? Sind Gesetzeslage und Gesellschaftsstruktur überhaupt gerüstet für digitale Großunfälle dieser Art? Hinzu kommt: Die geraubten Daten können im Darknet von Kriminellen weiterverkauft werden. Niemand von den betroffenen Personen kann sicher sein, dass nicht nach Jahren ein neuer Krimineller mit weiteren Forderungen auftaucht. Niemand weiß, wer was hat.

Vastaamo hat viel von einem ultramodernen Unternehmen, ähnlich wie Wirecard. Die Geschäftsidee beruht auf einem Konzept stark vereinfachter Prozesse unterschiedlichster Transaktionen. Vastaamo vereinfachte den Prozess des Einstiegs in und des Verlaufs von Psychotherapien: Man muss nur ins Internet gehen, einen passenden Therapeuten aussuchen, und los geht’s. Wie Wirecard gehörte Vastaamo zu den am schnellsten wachsenden Firmen in Finnland, die auf aggressive Weise ihr Evangelium von der digitalen Zukunft der modernen Gesellschaft predigten. Die Firma sah cool aus, genoss große Bewunderung in den Medien. Doch die Firmenleitung hat sich für die eigenen Inhalte und die Selbstkontrolle wenig interessiert.

Valvira, die Aufsichtsbehörde des finnischen Gesundheitssystems, die sich auch um Fragen der Cybersicherheit kümmern müsste, räumte sofort ein, wegen Sparmaßnahmen sei bei ihr derzeit nur eine Person mit solchen Vorfällen beschäftigt, und auch sie werde jeweils nur auf Nachfrage tätig. Psychiater und Psychologen mögen ihre Arbeit noch so gewissenhaft machen, sobald das Management inhaltlich unsensibel nach reinen Kostenfragen agiert und die Sicherheit grob vernachlässigt, können die Folgen fatal sein und nationale Ausmaße annehmen.

In der finnischen Öffentlichkeit ist schon diskutiert worden, ob der Täter Verbindung zu ausländischen Geheimdiensten haben könne, da der Fall Vastaamo alle Symptome eines Hybridangriffs aufweise: Eine Kerngruppe der Gesellschaft werde mit etwas Überraschendem, Unvorstellbarem und Großem konfrontiert, teils gelähmt, und die Gesellschaft als ganze durch Dominoeffekte in Schach gehalten. Vermutungen wurden laut, der russische Geheimdienst versuche, das Vertrauen der finnischen Bevölkerung in die Datensicherheit zu zerrütten. Auch wenn das nicht der Fall sein sollte, bietet der Vorgang viel Analysematerial für Geheimdienste.

Die digitale Euphorie ist groß, ebenso die Fehlerbereitschaft einer neuen Unternehmenskultur sowie die Phantasie und Schnelligkeit von Kriminellen. Damit stehen viele Staaten vor neuen Fragen: Wo können mögliche Löcher digitaler Schutzräume sein? Wo macht sich der Staat verwundbar? Ein Kommentator im Internet verglich den Fall schon mit dem Unglück des Tankers Exxon Valdez: Man hatte es längst kommen sehen, niemand hatte etwas dagegen getan. Dienstag Früh schrieb ein anderer: „Ja, ich habe von dieser Zehn-Gigabyte-Datei einen Teil herunterladen können. Ich sage aber nicht, wieviel, um meine Spur nicht nachverfolgbar zu machen. Es sind etwas weniger als fünf Gigabyte. Allerdings kann ich diese Datei öffnen, und wie es aussieht, sind alle vierzigtausend Patienten erhalten.“ Man wird niemals wissen, wie viele Menschen die Daten am frühen Freitagmorgen haben herunterladen können.


Aus: "Hackerangriff auf Krankenakten: Tausende von Menschen öffentlich entblößt" Jüri Reinvere (28.10.2020)
Quelle: https://www.faz.net/aktuell/feuilleton/debatten/finnland-hackerangriff-auf-psychotherapeutische-krankenakten-17022624.html?printPagedArticle=true#pageIndex_3