Personalausweise, Reisepässe, Röntgenaufnahmen, vertrauliche Korrespondenz: Im Darknet stellen Hackergruppen hochsensible Daten zur Schau. Die russische Hackergruppe Black Basta betreibt etwa im Darknet die Seite "Basta News". Dort finden sich Auszüge aus gestohlenen Daten eines Münchner High Tech Unternehmens. Darunter Personalausweise und Reisepässe der Mitarbeiter, Führerscheine von US-Mitarbeitern, Aufenthaltsgenehmigungen aus den USA und Geheimhaltungsverträge. Die Daten stammen aus Ransomware-Angriffen, bei denen Daten verschlüsselt werden, um für die Entschlüsselung Lösegeld verlangen zu können.
Informationspflicht der Firmen bei Datenklau
Im Gespräch mit report München zeigt sich ein Mitarbeiter von der Veröffentlichung seines Ausweises im Darknet überrascht, sagt, er habe davon "nichts gewusst". Die Münchner Firma äußert sich auf Anfrage nicht zu dem Vorfall. Dabei hat das Unternehmen eigentlich die Pflicht, Betroffenen von dem Datendiebstahl zu berichten. Firmen müssten "unverzüglich informieren, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat", so das Bayerische Landesamt für Datenschutzaufsicht, BayLDA, das für den Datenschutz bei Firmen zuständig ist.
Knapp 3.000 Fälle wurden der bayerischen Behörde 2022 gemeldet. Die Anzahl von Datenschutzverletzungen aufgrund komplexer Cyberattacken bleibe auf hohem Niveau, doch für deren Aufarbeitung fehle es an Personal, beklagt das BayLDA. Das hochprofessionelle Vorgehen der Gruppe Black Basta ist der Behörde bekannt.
Betroffene wissen nichts vom Ausweisklau
Erwischt hat es auch eine Familie im Raum Augsburg. Nach Recherchen von report München hat Black Basta die Vorder- sowie Rückseite der Personalausweise zweier Familienmitglieder bei einem Angriff auf eine Finanzfirma erbeutet. Auch diese haben die Hacker auf "Basta News" gepostet. Bei einem der im Personalausweis angegeben Adresse treffen die Reporter auf Bewohner Werner Schmid. Er bestätigt im Interview mit report München die Echtheit der digitalen Personalausweiskopien: "Das ist mein Sohn. Und das ist meine Nichte". Er habe schon vor Jahren schon gehört, dass russische Hacker Daten erbeuten, so Schmid. Doch es treffe einen erst dann, "wenn zum Beispiel Sie auftauchen und sagen: Das ist passiert. Da merkt man, wie nah das kommen kann", sagt Schmid im Interview.
Doppelte Erpressung nach Ransomware Angriffen
Fachleute sprechen bei sogenannten Ransomware-Angriffen von "Double Extorsion", von doppelter Erpressung: Zum einen legen die Hacker die IT-Systeme einer Firma oder Kommune lahm. Dazu verschlüsseln sie Daten. Nur mit einem Passwort lassen sich diese wieder nutzen – und das geben die Hacker in der Regel nur gegen ein Lösegeld heraus.
Bereits vor der Verschlüsselung ziehen die Angreifer teils sensible Dokumente ab und speichern sie auf ihren Servern. Diese Daten können sie missbrauchen - zur Geldwäsche, zum Kreditbetrug oder zum Einkaufen unter falschem Namen. Möglich ist auch, dass die Angreifer mit gestohlenen Identitäten zu weiteren Attacken nutzen und versuchen, unter Vorspiegelung der falschen Identität, noch tiefer in das IT-System eines Unternehmens einzudringen. Dies kann gelingen, wenn Betroffene eine besondere Berechtigung haben.
Betroffene können wenig tun
Aber was können Betroffene tun? Eine Sprecherin des Bundesministeriums des Innern und für Heimat (BMI) verweist darauf, dass die Neuausstellung eines Passes vor Ablauf der Gültigkeitsdauer zwar zulässig sei: "Die Empfehlung einer vorzeitigen (und gebührenpflichtigen) Neuausstellung eines Personalausweises/Reisepasses käme (…) nur in Betracht, wenn für die Passinhaberin/ den Passinhaber auch ein Vorteil entstehen würde. Dies ist jedoch für den in der Fragestellung genannten Fall allgemein nicht erkennbar."
- Zum Artikel: "Identitätsdiebstahl im Netz nimmt zu: Das schützt davor"
Experten widersprechen: Eine neue ID-Nummer im Ausweis würde zumindest erkennbar machen, dass der gestohlene Ausweis nicht mehr gültig ist.
Wer sind die Angreifer?
Zumal Bürger internationalen Hackergruppen gegenüber stehen, die hochprofessionell vorgehen. "Black Basta" etwa sagen Experten eine gewisse Nähe zu russischen Nachrichtendiensten nach. Nach Erkenntnissen des Bundesamtes für Verfassungsschutz (BfV) ist es – unabhängig von der Gruppierung - nicht ungewöhnlich, dass beispielsweise staatliche Geheimdienste mit Hackergruppen zusammenarbeiten: "Sie agieren vermutlich zumindest teilweise Hand in Hand mit kriminellen Gruppierungen, in dem sie deren Cyberangriffe dulden oder möglicherweise sogar beauftragen (cybercrime as a service), um erbeutete Daten abzuschöpfen", so eine Sprecherin des BfV.
ARD-Doku "Cyberwar. Die unsichtbare Schlacht im Netz" jetzt anschauen.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!