Diese dauernden Hacker-Angriffe sind ein regelrechter Fluch. Entweder die Täter legen gleich das ganze Computernetzwerk einer Einrichtung lahm und verlangen dann ein "Lösegeld", um die Sperre wieder aufzuheben - einen solchen Fall gab es ja gerade erst in der Stadtverwaltung von Antwerpen. Oder die Hacker beschaffen sich sensible Datensätze, die sie dann im Internet verkaufen.
Genau über einen solchen Fall berichtet jetzt das Fachmagazin DataNews. Demnach bietet ein Hacker derzeit in einem spezialisierten Internet-Forum die Daten von über einer Million Bankkunden zum Kauf an. 800.000 davon betreffen eine spanische Bank. Aber es geht auch um Informationen über 300.000 Kunden von belgischen Geldhäusern.
Es handelt sich um Vor- und Nachnamen, die vollständige Adresse, die E-Mail-Adresse, die Telefonnummer, das Geburtsdatum und die IBAN-Nummer, sagte in der RTBF Pieterjan Van Leemputten, Journalist bei DataNews und dem flämischen Magazin Knack.
Genau so wichtig ist wohl, was der Datensatz nicht enthält: Man sieht etwa keine Kontostände und auch keine Informationen über Geldtransaktionen. Die wirklich reinen Bank-Daten sind in dem Paket also nicht enthalten.
All das weiß man, weil der Hacker eine Art Muster veröffentlicht hat, also einen Ausschnitt aus dem Datensatz, damit potenzielle Interessenten sich ein Bild machen können von dem, was da angeboten wird. Auf der Grundlage dieses Musters könne man schlussfolgern, dass es sich in erster Linie um Daten von Kunden der Belfius-Bank handelt, sagt der Journalist Van Leemputten. "Anhand dieses kleinen Ausschnitts können wir aber nicht sagen, ob nicht auch noch Kunden anderer Banken betroffen sind."
Ein anderer IT-Experte hat sich auf der Grundlage der Erkenntnisse von DataNews ebenfalls mit dem Fall beschäftigt. Inti De Ceukelaire bezeichnet sich selbst als "ethischen Hacker", nutzt seine Fähigkeiten also, um die "bösen Jungs" in seiner Branche zu bekämpfen. Und De Ceukelaire sagt in der Zeitung Het Nieuwsblad, dass mit Sicherheit auch ING-Kunden betroffen seien. Nach seinen Informationen stammten die Daten von einem Call-Center in Osteuropa, das womöglich zeitweise im Auftrag der betroffenen Unternehmen gearbeitet hat.
Das jedenfalls würde erklären, warum sowohl Belfius als auch ING beteuern, keine Kenntnis von einer möglichen Lücke in ihren Datennetzen zu haben. "Es gebe keine Hinweise auf ein Sicherheitsproblem oder ein Datenleck", wird eine Belfius-Sprecherin zitiert.
Frage ist jetzt natürlich, warum jemand für einen solchen Datensatz Geld ausgeben würde. Oder, anders gefragt: Was kann man mit diesen Daten anstellen? Name, Adresse, Telefonnummer, Bankkontonummer, etc. - welchen Missbrauch kann man damit betreiben?
Nun, da gibt es im Wesentlichen zwei mögliche Ansätze, sagte in der RTBF Kommissar Olivier Bogaert von der Computer Crime Unit, der auf Internet-Kriminalität spezialisierten Einheit der Föderalen Polizei. Erste Möglichkeit: das klassische Phishing. Man schickt allen Kunden, über deren Daten man verfügt, eine E-Mail, in der man sich als deren Bank ausgibt. Und über diesen Weg versucht man dann, an wirklich sensible Daten zu gelangen, um sich etwa Zugang zum Bankkonto zu verschaffen.
Zweite Möglichkeit: Man kann sich auch als die Person ausgeben, über deren Daten man verfügt. Zum Beispiel würde man dann in deren Namen auf einer Internet-Verkaufsplattform ein Produkt anbieten. Jemand, der das kauft, bezahlt dann brav, wird das Produkt aber natürlich nie bekommen. "Und Vorsicht!", sagt Kommissar Bogaert: "Wenn in einem solchen Fall wegen Betrugs ermittelt wird, dann werden die Behörden bei der Person anklopfen, deren Identität bei der Aktion missbraucht wurde."
Die genannten Banken appellieren in jedem Fall an ihre Kunden, in nächster Zeit noch wachsamer zu sein. Vor allem bei E-Mails oder Text-Nachrichten, die vermeintlich von ihrer Bank kommen, die aber eben wegen des Datendiebstahls gefälscht sein könnten. Beim kleinsten Zweifel sollte man vorsichtshalber bei der Bank nachfragen, ob die Mitteilung wirklich echt ist.
Roger Pint
sind ja nicht die einzigen betroffenen ....
400 Millionen Twitter-Nutzer betroffen: Hacker bietet Daten zum Verkauf an