10.05.2022

Datenklau in Schriesheim: So sieht es aus, wenn Daten im Darknet stehen

170 Gigabyte an teils personenbezogenen Informationen wurden bereits veröffentlicht. Ein Experte befürchtet jetzt massenhaft Identitätsdiebstahl und -missbrauch.

Von Micha Hörnle

Schriesheim. Wer technisch etwas bedarft ist, kann gerade recht viele Rathaus-Daten im Darknet einsehen. Das geschah am Samstag, als die Daten nach dem Hackerangriff vom 18. April im nicht-öffentlichen und oft kriminellen Teil des Internets veröffentlicht wurden.

Der Sohn eines RNZ-Mitarbeiters, der am Karlsruher Institut für Technologie studiert hat, machte die Probe aufs Exempel: "Das geht, wenn man sich ein bisschen auskennt. Dann muss man suchen und ein bisschen Glück haben." Er brauchte nur einen speziellen Internetbrowser, denn nur mit dem können die Seiten im Darknet dargestellt werden. Damit im Darknet zu surfen, ist zwar nicht illegal, aber doch wegen viel herumgeisternder Schadsoftware nicht ganz ungefährlich, sagt das Bundesamt für Sicherheit in der Informationstechnologie (BSI). Laut BSI werden Nutzer dann straffällig, sobald sie "illegale Inhalte konsumieren, herunterladen oder rechtswidrige Waren und Dienstleistungen erwerben".

Nun ist der junge Mann mit Zugang zu den Rathausdaten, der inzwischen promoviert, kein Darknet-Experte und natürlich kein Krimineller; und natürlich hat er nur einmal ausprobiert, ob sich die angezeigten Ordner anklicken lassen: "Ich fand das von der technischen Seite her interessant, aber mich geht das nichts an, es ist ja auch rechtlich ein Graubereich." Im Darknet steht nun offenbar eine lange Liste von Verzeichnissen, die aus dem Rathaus stammen und das Datum 18. April tragen, zum Beispiel Rechnungen oder Aufträge, aber auch Wahlergebnisse – und auch durchaus sensible Daten wie die Anträge von ukrainischen Flüchtlingen und deren Bilder aus Reisepässen. Die Hacker preisen ihre Beute so an: "Jede Menge an persönlichen Informationen wie Pässe und Kontakte etc.. 170 GB (steht für Gigabyte, Anm. d. Red.) an persönlichen Informationen. Alle verfügbaren Informationen sind veröffentlicht."

Das bestätigte auch die Stadtverwaltung am Montag: "Nach der ersten Sichtung sind Daten aus verschiedenen Verwaltungsbereichen betroffen, die überwiegend internen Nutzen haben. Die veröffentlichten Daten stammen beispielsweise aus den Bereichen Liegenschaftsverwaltung, Leistungsverwaltung, Gefahrenabwehr und Kämmerei", heißt es in einer Pressemitteilung. Personalausweis- und Passdaten sowie Informationen aus dem Standesamt seien nach erster Analyse "voraussichtlich nicht betroffen". Jedoch hätten die Untersuchungen ergeben, dass in den veröffentlichten Daten teilweise Auflistungen und Schriftstücke zu sehen sind, die personenbezogene Daten beinhalten – wie zum Beispiel im Fall der Flüchtlinge. Das Rathaus arbeitet gerade "intensiv an Lösungen, um betroffene Personen in einer angemessenen Art zu informieren"; das Vorgehen werde mit der Polizei und dem Büro des Landesdatenschutzbeauftragten abgestimmt. Das empfiehlt, die Betroffenen zu kategorisieren – und so wird gerade an diesen Kategorien gearbeitet. Das Rathaus unternimmt zudem alle Schritte, damit die im Darknet veröffentlichten Daten nicht im öffentlich zugänglichen Internet, dem World Wide Web (www), zu sehen sind. Wäre das der Fall, wird man das zusammen mit der Polizei unterbinden.

Eine andere Frage ist, ob nun 170 Gigabyte an geraubten Daten viel oder wenig sind. IT-Sicherheitsexperte Michael Jan Deissner, der im RNZ-Gespräch genau diese Veröffentlichung im Darknet vorhergesagt hatte (RNZ vom 29. April), glaubt, dass es eigentlich gar nicht mal so viel ist, gerade wenn sich darunter noch Bilder befinden – offenbar sind längst nicht alle Rathaus-Daten jetzt einzusehen. Zum Vergleich: Heute speichert ein normaler Rechner ein Datenvolumen von 350 Gigabyte.

Allerdings treibt Deissner die Veröffentlichung doch um, einen Identitätsdiebstahl und -missbrauch hält er für "sehr wahrscheinlich". Insofern sei es schon gut, dass die Stadt nun alle potenziell Betroffenen informiert – auch wenn die Anrufe, die unter der Hotline 06203 602110 eher überschaubar waren, wie das Rathaus auf RNZ-Anfrage sagte. Deissner rät allen, die sensible Daten wie etwa Bankverbindungen ans Rathaus weitergegeben haben, ihr Konto auf verdächtige Buchungen hin zu kontrollieren – auch bei Kleinbeträgen (denn die summieren sich bei einem massenhaften Identitätsdiebstahl). Jede Auffälligkeit sollte man dann der Polizei melden – und auch auf jeden Fall bei der Schufa. Zudem sollte man spätestens jetzt alle seine Passwörter ändern.

Noch etwas fand der junge Doktorand heraus, als er im Darknet die Stadt-Daten fand: Bei der Erpressungssoftware handelt es sich um das Programm "Lockbit 2.0", das wahrscheinlich aus Osteuropa, vermutlich Russland, stammt. In gewisser Weise ist "Lockbit 2.0" eine Art Großhändler, dessen Dienstleistung andere Kriminelle in Anspruch nehmen, die dafür einen Anteil vom Lösegeld abtreten. Sie sind sozusagen Franchisenehmer (Konzessionäre) von "Lockbit 2.0". Im Falle Schriesheims wurde aber bekanntlich nicht gezahlt.

Die Kripo prüft weiter, was das Einfallstor für die Erpressungssoftware gewesen sein könnte, "die Ermittlungen sind noch nicht abgeschlossen", sagte ein Polizeisprecher auf RNZ-Anfrage. Am wahrscheinlichsten, meint zumindest der junge IT-Experte aus dem RNZ-Umfeld, seien infizierte Anhänge von E-Mails, die von einem Rathausmitarbeiter geöffnet wurden: "Das ist der Klassiker."

Copyright (c) rnz-online

Autor: Rhein-Neckar-Zeitung