Die GIS-Datenbank wurde auch zum Verkauf angeboten.

Die GIS-Datenbank wurde auch zum Verkauf angeboten.

© APA/HARALD SCHNEIDER / HARALD SCHNEIDER

Digital Life

Hacker stahl Meldedaten fast aller Österreicher aus GIS-Datenbank

Ein Hacker in den Niederlanden hat 9 Millionen österreichische Meldedaten gestohlen und im Internet zum Verkauf angeboten. Der Datendiebstahl selbst im Umfeld der GIS wurde bereits im Mai 2020 bekannt, nun ist er auch geklärt: Im vergangenen November wurde ein "ganz dicker Fisch" in den Niederlanden verhaftet, auf dessen Konto der Diebstahl gegangen sein dürfte, wie Expert*innen des Bundeskriminalamtes (BK) am Mittwoch Journalist*innen mitteilten.

Praktisch alle österreichische Meldedaten betroffen

An die Daten war der Hacker durch eine Panne bei einer Wiener IT-Firma gelangt, welche die GIS mit der Neustrukturierung ihrer Datenbank beauftragt hatte. Betroffen waren praktisch alle österreichische Meldedaten, also Namen, Geburtsdaten und Meldeadressen aller Bürger, sagte Klaus Mits, Abteilungsleiter für Cyberkriminalamt im BK.

Die GIS hatte diese Daten und eine zweite auf Gebäude bezogene Datenbank, um allfällige Rundfunk-Gebührenvermeider aufzuspüren. Sie beauftragte ein renommiertes Wiener IT-Unternehmen mit der Neustrukturierung dieser Datenbanken und übergab der Firma die Daten. Die BK-Expert*innen betonten, dass das eine durchaus übliche Vorgangsweise sei.

Fehler bei Subunternehmen

Der Fehler dürfte dann bei dem Subunternehmen geschehen sein: Eine Mitarbeiter*in der Firma dürfte für eine Teststellung die echten Meldedaten der GIS verwendet haben, und diese Datenbank war so ohne Zugangssicherung im Internet verfügbar, nach Schätzung der BK-Spezialisten etwa für eine Woche. "Mit einer Suchmaschine hat der Täter die Daten gefunden", schilderte ein BK-Ermittler. Nachsatz: "Über Google findet man die Daten natürlich nicht."

Das BK erhielt von dem Angebot, das eine zunächst unbekannte Person unter dem Pseudonym "DataBox" im Hackerforum "Raidforum.com" gestellt hatte, über Neuseeland Kenntnis. Mit den neuseeländischen Behörden habe es daher auch eine gute Kooperation gegeben, betonte das BK. Die Fahnder*innen kauften daraufhin - verdeckt - die Daten um einen mittleren vierstelligen Betrag und brachten so die Klärung des Falles ins Rollen.

25-jähriger Niederländer ausgeforscht

In mehreren ziemlich umfangreichen Ermittlungsschritten - unter anderem wurde ein Server in Deutschland sichergestellt, von dem der Täter Daten heruntergeladen hatte - kam man auf die Identität des Mannes, eines 25-jährigen niederländischen Staatsbürgers. Auch über die Zahlung - das Geld für die Daten wurde in Kryptowährung überwiesen - kamen die Ermittler ihm auf die Spur. "Jede Transaktion von Bitcoins zum Beispiel ist offen erkennbar. Die Kunst ist, von diesen Internetdaten auf reale Personen zu kommen", erläuterte der BK-Spezialist.

Das Bundeskriminalamt kontaktierte die niederländischen Behörden. Die weitere Klärung des Falles erfolgte in enger Zusammenarbeit und zog weit größere Kreise als den Verkauf der Meldedaten aus Österreich. Denn der 25-Jährige hatte offenbar rund 130.000 Datenbanken in seinem "Portfolio". Neben Österreich stammten die Daten unter anderem aus den Niederlanden, Thailand, China, Kolumbien und Großbritannien. Offenbar bot er auch Patientendaten - aus den anderen genannten Nationen - an, wie die niederländischen Behörden am Mittwoch in einer Aussendung mitteilten.

Hacker ist polizeibekannt

Der Hacker ist schon seit einiger Zeit polizeilich international bekannt. Er sah sich früher selbst als "White-Hat" - ein Hacker, der ohne Bereicherungsabsicht in Systeme von Organisationen, Institutionen und Unternehmen eindringt, um Schwachstellen aufzuzeigen. In dem Zusammenhang dürfte er sich auch mit einem Großteil der niederländischen Hackerszene vor einigen Jahren überworfen haben.

Laut den Expert*innen des BK ist er mittlerweile aber eindeutig den "Black-Hats" zuzuordnen, also jenen Hackern, die in Bereicherungsabsicht kriminell agieren. Detail am Rande: Das Forum, auf dem der 25-Jährige die gestohlenen Datenbanken angeboten hatte, haben die US-Behörden mittlerweile abgedreht.

Daten können für Betrügereien genutzt werden

Die Relevanz von Meldedaten in den falschen Händen ist übrigens den Ermittler*innen zufolge nicht zu unterschätzen. Immerhin handelte es sich um alle Daten vom Bundespräsidenten und von der Bundesregierung abwärts. Beispielsweise könnten die Drahtzieher*innen der Betrugsmasche mit den falschen Polizist*innen durchaus Interesse an den Daten haben, sind doch auch die Geburtstage dabei. Und damit hätten die Betrüger*innen schwarz auf weiß, wer etwas betagter und damit möglicherweise ein lohnendes Opfer ist.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare