Datenhändler: Wie vertrauliche Daten an die Öffentlichkeit gelangen

Screenshot twitter.com Screenshot twitter.com

Immer wieder tauchen vertrauliche Daten im Internet auf: Denn manche unscheinbare E-Mail lässt sehr wohl darauf schließen, dass der Absender offensichtlich gut informiert sei. Tatsächlich sind viele Datenhändler unterwegs und bieten „ihre Ware“ an. Je detaillierte die Informationen über eine Person sind, desto höher fällt für gewöhnlich der Preis aus.

Datenhändler: Je detaillierte die Informationen über eine Person – Desto höher der Preis

Nicht selten stammen die Datensätze aus illegalen Quellen und werden dann später – manchmal mehrfach – Weiterverkauft. Denn tatsächlich gehen Behörden – selbst mit sensiblen Daten – sehr Sorglos um. Auch ansonsten gilt bei einem Datenverlust oder Datendiebstahl die amtliche Devise: Leugnen und – wenn nötig – die Öffentlichkeit belügen.

„Bundeswehr verkauft Laptops mit vertraulichen Daten“ 

>>Hannoversche Allgemeine Zeitung<<

„Bundeswehr verkauft Laptops mit vertraulichen Daten – Ein geheimes Raketenwerfer-Handbuch auf dem gebraucht gekauften Laptop? Offenbar kein Scherz. … Der Käufer, ein oberbayerischer Förster, habe auf dem Gerät etwa die Bedienungsanleitung für den Raketenwerfer „Mars“ entdeckt und den Fund dem Verteidigungsministerium gemeldet.“

„SSD mit tausenden Daten des Landratsamts Coburg bei Ebay verkauft“ 

>>WinFuture<<

„SSD mit tausenden Daten des Landratsamts Coburg bei Ebay verkauft – Mit Hilfe eines Daten­rett­ungs­programm gelang es c’t ohne Schwierig­keiten auf über zehntausend Datensätze zuzugreifen. Laut c’t waren die Mitarbeiter dabei unter anderem sehr unbedarft mit Zugangs­daten und Pass­wörtern umgegangen. So fanden die Redakteure die Zugriffs­daten für das europäische Fahrzeug- und Führerscheininformationssystem EUCARIS, das Zentralregister des Kraftfahrt-Bundesamtes REGINA, die eVB-Zugangsdaten, die DEKRA-Gutachten-Datenbank, die Rechtsdatenbank Wolterskluwe-online und andere Dienste.“

„Sehr unbedarft mit Zugangs­daten und Pass­wörtern umgegangen“

Selbstverständlich existieren eine ganze Reihe von Programmen mit denen sich Daten sicher löschen – oder überschreibenlassen: Der Umgang damit ist auch Kinderleicht gestaltet. Wie leichtsinnig Ämter mit Daten umgehen: Das zeigt exemplarisch ein „Vorfall“ beim Berliner Kammergericht.

Hackerangriff auf das Berliner Kammergericht

>>Der Tagesspiegel<<

„Datenproblem an Berliner Kammergericht schwerer als erwartet Justizsenator Behrendt und der Kammergerichtspräsident hatten zuvor behauptet, es wurden keine Daten geklaut. Ein Gutachten korrigiert ihre Aussage.“

Glatt gelogen: „Hatten zuvor behauptet – Es wurden keine Daten geklaut“

Der Hackerangriff auf das Berliner Kammergericht bildet sozusagen Exemplarisch für die Gesamtsituation ab. Besonders die Reihenfolge um dem Vorfall zu vertuschen ist beinahe schon Mustergültig: Da das Gericht auf elektronischen Wege kaum noch zu erreichen war, drängt sich logischerweise die Frage auf: Was ist dort passiert? Anfangs sprach man nebulös von einem „Datenproblem“ . Nachdem der Druck nach stichhaltigere Erklärungen zunahm, erst dann wurde zähneknirschend der Hackerangriff zugegeben, aber mit der eindringlichen Betonung: Es seien keine Daten gestohlen worden. Zum Schluss konnte auch diese plumpe Lüge nicht länger aufrecht gehalten werden.

Warum der Hackerangriff auf das Berliner Kammergericht überhaupt bekannt wurde

Fazit: Aufklärung und Informationen für Öffentlichkeit sehen gewiss anders aus. Es wird explizit nur das Zugegeben: Was sich entweder nicht mehr Leugnen oder Weglügen lässt. Dabei gingen die Hacker nicht mal sonderlich Einfallsreich vor.

Simpler Angriff: „Malware verbreitete sich über das E-Mail-Programm Outlook“

>>eRecht24<<

„Die Malware verbreitete sich über das E-Mail-Programm Outlook. Das gab das Gericht an. Dabei erhielten einige Empfänger eine Mail, die wie eine Antwort auf eine vorher tatsächlich geschriebene Mail aussah. Sie öffneten daher den Anhang der vermeintlich vertrauenswürdigen Mail – und starteten so die Infektion.“

Die Masche ist mindestens seit dem Jahr 2000 bekannt

Bereits im Jahr 2000 beschritten Hacker mit dem VirusI love you“ einen ganz ähnlichen Weg. Als vermuteter Täter wurde seinerzeit ein Student Namens „Onel de Guzman“ aus dem Inselstaat Philippinen identifiziert: Der das Virus aber nur aus Versehen im Umlauf brachte. Schon damals wurde der Schaden auf mehrere Milliarden geschätzt.

Computervirus über E-Mails: Milliardenschaden ohne böse Absicht

Seit dieser Zeit hat sich an der Problematik kaum etwas Grundlegendes geändert. Gleichzeitig zeigt es aber auch: Für derartige Angriffe auf das Berliner Kammergericht sind keine Geheimdienstarmeen von Hackern nötig, sondern ein 14jähriger Freizeithacker würde es auch im Alleingang schaffen.

Warum sind Windowsrechner ein einfaches Ziel?

Das E-Mail-Programm Outlook läuft nur auf Windows-Rechnern und um die zu infizieren stehen genügend Möglichkeiten zur Verfügung. Hinzu kommt eine naive staatliche Verwaltung und viel mehr ist auch gar nicht nötig. Allerdings stellt das Berliner Kammergericht auch ein sehr lohnenswertes Ziel da.

Warum ist das Berliner Kammergericht ein sehr lohnenswertes Ziel?

>>Der Tagesspiegel<<

„Angesichts der Sensibilität der am unter anderem für Terrorprozesse zuständigen Kammergericht gesammelten Daten steht fest: Gelangen sie in falsche Hände, können die Folgen für beteiligte Täter, Opfer, Zeugen oder Ermittler gravierend sein.“

„Können die Folgen für beteiligte Täter, Opfer, Zeugen oder Ermittler gravierend sein“

Eine bildliche Beschreibung: Eine reife Frucht die regelrecht darauf wartet Geerntet zu werden. Nicht nur Geheimdienste, sondern nahezu jeder kriminelle Hacker der was auf sich hält, würde da zugreifen. Vermutlich kam der Vorfall nur deswegen an die Öffentlichkeit, weil der Hacker das gesamte IT-System lahm gelegt hat. Ansonsten wäre der Vorfall wohl geräuschlos Vertuscht worden. Denn innerhalb der „HackerSzene“ sind auch einige Egomanen unterwegs, die sich mit ihren „Erfolgen“ brüsten wollen. So manch Prominenter kann ein Lied davon singen. Manche E-Mail-Accounts werden beispielsweise nur deshalb übernommen, damit eine prominente Person öffentlich sagt: Der „ZXY-Hacker“ (Name erfunden) ist der größte der Welt.

Wenn Datensätze richtig viel Geld einbringen

Ungeachtet dessen, spielen sicherlich auch finanzielle Gründe für dem Angriff auf das Berliner Kammergericht eine Rolle. Jeder Geheimdienst oder Datenhändler im Graubereich würde für diesem Datensatz enorme Summen zahlen. Da stellt sich als Geheimdienst die simple Frage: Wozu in Eigenregie einem Hackerangriff noch selbst starten, wenn man stattdessen für etwas „Handgeld“ die Datensätze auch einkaufen kann? Oder noch einfacher: Gebrauchte Laptops und Speichermedien tun es genauso.

 

–W E R Β U Ν G–

Loading...
Scroll Up