Im Darknet werden Daten von deutschen Firmen zum Verkauf angeboten. Gespeichert waren sie bei Deutschlands oberster Datenbehörde. Pikant: Das Destatis-System wurde vor wenigen Monaten erneuert.
250 Dollar kosten Daten des deutschen Statistischen Bundesamts Destatis. Verkauft werden sie nicht etwa von der Behörde selbst, sondern von Hackern in einem Darknet-Forum.
Seit Dienstag bieten diese ein 3,8 Gigabyte schweres Datenpaket von Destatis zum Verkauf an. Darin enthalten sind gemäss Hackern Namen, Adressen, Telefonnummern, E-Mail-Adressen und Log-in-Daten von Firmen, die mit Destatis statistische Daten austauschen. Auch E-Mails und Dokumente seien betroffen, schreiben die Hacker.
In der von den Hackern veröffentlichten Vorschau sind Kontaktdaten eines hessischen Herstellers für Druckmaschinenzubehör wie auch Log-in-Daten eines Maschinenproduzenten aus der Kunststoffindustrie zu finden. Besonders die Log-in-Daten lassen erahnen, dass aber auch sensiblere Daten von Unternehmen betroffen sein könnten.
Leck im System für den Datenaustausch?
Die Daten stammen vermutlich aus der Internet-Datenerhebung im Verbund (Idev). Auf dieser Plattform können Firmen Daten erfassen, etwa zu grenzüberschreitenden Warenbewegungen, die Destatis oder die statistischen Landesämter dann zu Statistiken weiterverarbeiten. «Mit dieser Technik können Sie Ihre Daten verschlüsselt und somit sicher und vor unbefugten Zugriffen geschützt über das Internet melden», heisst es etwa auf der Website des Statistischen Amts Baden-Württemberg.
Den Hackern scheint es gelungen zu sein, tief in das System einzudringen und auch Passwörter zu stehlen. Einzelne Passwörter haben die Hacker zu Demonstrationszwecken veröffentlicht. Diese funktionierten zu dem Zeitpunkt, als die NZZ die Behörde konfrontierte. Mit diesen Zugangsdaten ist es möglich, die von den Unternehmen eingereichten Daten einzusehen. Darunter finden sich etwa Warenbewegungen ins Ausland inklusive Rechnungsbeträge.
Ob die Hacker den gesamten Datenbestand von allen Unternehmen auslesen konnten, ist unklar. Die Grösse des angebotenen Datensatzes deutet aber daraufhin. Damit besässe der Käufer des Datenpakets Informationen über viele deutsche Unternehmen.
Pikant: Im August 2024 hat Destatis erst eine erneuerte Version dieses Meldesystems veröffentlicht. Ob diese eine Lücke aufwies oder die Angreifer einen anderen Weg zum System fanden, ist nicht bekannt.
Das Amt konnte bisher keine Auskunft darüber geben, ob und was gestohlen wurde. «Wir prüfen derzeit die an uns herangetragenen Hinweise auf ein mögliches Datenleck. Wir haben vorsorglich das System Idev vom Netz genommen», schreibt es auf Anfrage. Die vom Datenleck betroffenen Unternehmen wurden zum Zeitpunkt der Veröffentlichung nicht informiert, wie eine Nachfrage bei einer Firma ergeben hat.
Hacker unterstützen Russland
Hinter dem Hackerangriff steckt eine Gruppierung, die sich selbst «Indonesian Cyber Attack» oder kurz «Indohaxsec» nennt. Am Vortag noch hatte Indohaxsec auf Telegram Deutschland als nächstes Ziel ihrer Cyberattacken angekündigt.
Sie bekennen sich als Unterstützer Russlands. Sie seien jederzeit bereit, die Websites von Nato-Mitgliedstaaten anzugreifen. «Unsere Teilnahme ist ein Symbol der Solidarität zwischen Indonesien und Russland», schreiben sie auf Telegram. Tatsächlich haben sie diverse Unternehmen aus Nato-Ländern angegriffen, darunter ein Dutzend Firmen aus Ungarn und der Ukraine.
Vor einer Woche hat Indohaxsec ausserdem die Zusammenarbeit mit der prorussischen Hackergruppe NoName057(16) bekanntgegeben. NoName057(16) ist vor allem in der Schweiz nicht unbekannt.
Nachdem der ukrainische Präsident Wolodimir Selenski 2023 eine Rede im Schweizer Parlament ankündigt hatte, sorgte NoName057(16) mit Attacken auf verschiedene Behörden und behördennahe Unternehmen für Aufsehen. So waren etwa die Websites der Post, der SBB, des Flughafens Zürich oder der Städte Zürich und St. Gallen teilweise nur eingeschränkt verfügbar.
Angegriffen wird, was schlecht gesichert ist
Ob es sich bei Indohaxsec um eine staatlich finanzierte Gruppierung handelt, ist fraglich. Bei den betroffenen Unternehmen und Behörden fehlt ein eindeutiges Muster. So wurden etwa eine ungarische Kirchgemeinde, eine ukrainische Gärtnerei genauso angegriffen wie eine indische Hochschule. Vermutlich sucht Indohaxsec seine Ziele nicht strategisch aus, sondern dringt dort ein, wo Systeme schlecht gesichert sind. Und ab und zu trifft es auch deutsche Behörden.
Mitarbeit: Simon Haas