© Kurier / Franz Gruber

Digital Life
06/14/2019

Wiener Büchereien gehackt: Daten von zehntausenden Nutzern im Netz

Namen, Telefonnummern, E-Mail-Adressen und Anschriften sind geleakt. Der Online-Katalog der Wiener Büchereien ist vorerst offline.

Die Wiener Büchereien wurden Opfer eines Hacker-Angriffs. Die Daten von zumindest 77.000 Nutzern sind im Netz abrufbar. Dazu zählen neben Name, Wohnadresse und Geburtsdatum auch Telefonnummern und E-Mail-Adressen. Die Daten dürften relativ aktuell sein, unter dem Feld „Letzte Aktivität“ stammt der neueste Eintrag vom 11. Juni.

Das veröffentlichte Archiv enthält auch ältere Backups aus September und Oktober des Vorjahres. Diese enthalten nochmals mehr Einträge, eine Datenbank hat mehr als 321.000 Nutzer gelistet. Offenbar fand zu einem späteren Zeitpunkt eine Bereinigung statt. Es ist jedoch nicht klar, nach welchen Kriterien diese erfolgt ist - manche Nutzer waren zuletzt 2003 aktiv. Gegenüber der APA spricht Elke Bazalka, Leiterin der Büchereien Wien, von 170.000 aktiven Nutzern.

In einer Presseaussendung gab die Stadt Wien bekannt, dass man den Online-Katalog der Büchereien Wien „aus Sicherheitsgründen“ vom Netz genommen habe. Der Log-in mit den Nutzerdaten sei derzeit nicht möglich. „Eine Überprüfung durch das IKT-Sicherheitsteam der Stadt Wien hat ergeben, dass bedauerlicherweise davon ausgegangen werden muss, dass Datensätze von KundInnen abgezogen wurden“, heißt es in der Aussendung.

Daten als Sicherheitsrisiko

Neben dem IKT-Sicherheitsteam ermittelt auch das Wien-CERT (Computer Emergency Response Team), zudem wurde eine Anzeige im Cybercrime Competence Center im Bundeskriminalamt eingebracht. Weitere Erkenntnisse wolle man zeitnah auf der Website der Wiener Büchereien kommunizieren. Wie die Angreifer Zugriff auf die Daten erlangen konnten, ist bislang noch nicht bekannt.

Obwohl die Stadt Wien betont, dass „eine missbräuchliche Verwendung anderer Internetanwendungen mit den Daten […] ausgeschlossen“ sei, da „kein benutzergeneriertes Passwort verwendet oder gespeichert wurde“, bergen die Daten dennoch ein Sicherheitsrisiko. Insbesondere die Telefonnummern, E-Mail-Adressen und Geburtsdaten könnten von Angreifern missbraucht werden. Das Geburtsdatum wird oftmals als Kundenpasswort bei vielen Anbietern genutzt, wodurch man sich relativ einfach weitere Informationen erschleichen könnte.