Adressen, Finanzdaten, Rechnungen, Listen über Kremationen – die Stadt Baden wurde Opfer eines Hackerangriffs. Was haben die Hacker sonst noch alles erbeutet?
«Wie beurteilt der Stadtrat Baden die Sicherheit der von seinen Einwohnern gespeicherten Daten?», fragt im Juni der Badener FDP-Einwohnerrat Mark Füllemann. Seit ein paar Tagen findet der Politiker die Antwort im Darknet.
In einem Hackerforum werden seit vergangener Woche Daten der Aargauer Stadt zum Herunterladen angeboten. Darunter ist auch eine 3 Gigabyte grosse Datei, welche Teil einer Datenbank ist. Die gesamte Datenbank lässt sich nicht wiederherstellen, weil die anderen Teile fehlen. Jene Daten jedoch, die vorhanden sind, lassen alle Alarmglocken schrillen.
Der Ausschnitt aus der Datenbank enthält etwa verschiedene Tabellen mit Namen und Adressen von Einwohnern – eine Tabelle enthält allein über 24 000 Einträge. Aber auch Teile des städtischen Budgets von 2013 bis 2023, Daten zu städtischen Investitionen, etwa ins Zentrum der Sekundarstufe, oder Quittungen über diverse Produkte wie Vignetten und Badetücher mit Baden-Schriftzug wurden veröffentlicht. Weiter Rechnungen an Bürger genauso wie Mahnungen, Teile der Kreditorenbuchhaltung oder die Angaben, welche Verstorbenen wann kremiert wurden.
Was besitzen die Hacker sonst noch?
Wie es scheint, hatten die Hacker Zugriff auf Daten aus dem digitalen Herzstück der Gemeinde – der zentralen Verwaltungsdatenbank. Dass es sich um echte und aktuelle Daten handelt, darauf deuten Einträge hin, die vor wenigen Monaten erstellt wurden. Ein Eintrag etwa trägt das Datum vom 10. September dieses Jahres.
Aus den von den Hackern veröffentlichten Daten lässt sich ebenfalls rekonstruieren, wie die gesamte Datenbank aussehen würde. Und damit auch, welche anderen Informationen ebenfalls betroffen sein könnten. In den mehreren tausend Tabellen lassen sich etwa Hinweise finden auf das Melderegister für Hunde, Informationen zum städtischen Budget, Angaben zur Kinderbetreuung, Informationen zu städtischen Immobilien oder Spenden an Vereine genauso wie etwa das Stimmregister. Einzig Steuerdaten scheinen nicht darin gespeichert zu werden. Diese werden in einem anderen System abgelegt.
Ob die Hacker die gesamte Datenbank oder nur diese Teilkopie gestohlen haben, ist nicht bekannt. Die Stadt kann zum jetzigen Zeitpunkt keine Angaben machen. «Der Datenabfluss stammt vermutlich von einer älteren Sicherheitslücke. Wir haben in den letzten Monaten diverse Sicherheitslücken geschlossen und Sicherheitsmassnahmen ergriffen», sagt die Mediensprecherin Nicole Meier. Auch die Hacker gaben keine klare Antwort dazu, ob sie sich im Besitz weiterer Daten befinden, als sie schriftlich von der NZZ angefragt wurden.
Verschiedene Skripte für den Datenimport, welche ebenfalls veröffentlicht wurden, deuten darauf hin, dass die Hacker wohl nicht auf die zentrale Datenbank Zugriff hatten. Stattdessen haben sie vermutlich eine Sicherungskopie gestohlen.
Wohl keine Ransomware-Bande
Wer hinter dem Angriff steckt, ist unbekannt. Die Daten wurden in einem Hackerforum vom Benutzer «dragonforce» veröffentlicht, der sein Konto erst am 29. November registriert hat. Dragonforce ist auch eine malaysische Hacktivisten-Gruppe. Allerdings hat diese sich nicht zum Hackerangriff bekannt, und auch das Logo ist unterschiedlich. Wahrscheinlich handelt es sich dabei um zwei verschiedene Akteure desselben Namens. Auch über die Motivation kann nur spekuliert werden. Eine Lösegeldforderung sei bei der Stadt nicht eingetroffen, so Meier.
Baden ist dabei nicht das einzige Opfer der Hacker. Seit der kurzen Existenz des Accounts publiziert dieser fast täglich neue Datensätze von verschiedenen Firmen aus der ganzen Welt. Darunter ein amerikanisches Unternehmen, das Embleme herstellt, oder der Singapurer Ableger von Coca-Cola.
Wie die Hacker ins System gekommen sind, darüber kann die Stadt derzeit nichts sagen, die Abklärungen würden laufen. «Unsere Fachexperten untersuchen die verschiedenen Wege, die zur Veröffentlichung der Daten geführt haben könnten», so Meier. Auch kann sie nichts dazu sagen, ob weitere Daten gestohlen wurden – etwa Daten der Stadt Aarau. Denn seit 2019 wird die IT-Infrastruktur von Baden und Aarau gemeinsam betreut.
