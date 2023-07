Hacker haben die Sicherheitslücke in einer Software genutzt, um in mehreren Ländern Hunderte Unternehmen anzugreifen und Kundendaten abzuziehen. In Deutschland sind mehrere Banken, Krankenkassen und andere Unternehmen betroffen. Dabei wählte die Bande eine unübliche Strategie: Sie drang nicht tief in die Systeme ein und legte sie auch nicht lahm, erbeutete aber offenbar im großen Stil Personendaten. Die werden nun entweder gegen Zahlung eines Lösegelds gelöscht oder weiterverkauft.

Kunden werden benachrichtigt

Viele Haushalte bekommen von Unternehmen im Moment ähnlich klingende Mitteilungen: Es habe ein Datenleck bei einem Dienstleister gegeben. Das sei inzwischen gestopft, aber man möge auf verdächtige Kontoabbuchungen und andere ungewöhnliche Aktivitäten achten. Bestätigt haben einen Hackerangriff zum Beispiel die Deutsche Bank und ihre Tochtergesellschaft Postbank, die ING und die Comdirect. Auch die Krankenkassen Barmer und AOK sind betroffen, außerdem verschiedene Industrieunternehmen im In- und Ausland und die britische BBC.

Abgeflossen sind vor allem Vor- und Zunamen mit den dazugehörigen Kontoverbindungen, teilweise Adressen und Geburtsdaten, bei der BBC zum Beispiel sollen es auch Gehaltslisten sein. Nach Angaben der Banken sind keine Passwörter betroffen, die Krankenkassen betonen, dass keine Gesundheitsdaten erbeutet wurden. In vielen Fällen läuft die Prüfung aber noch.

Die mutmaßlich russische Bande namens Clop suchte sich den Zugang in der Peripherie: Die Schwachstelle steckte in der Software Move It, die dem Dateitransfer dient. Banken etwa übermitteln damit Daten neuer Kunden an einen Dienstleister, der den Kontowechselservice organisiert. Bei der Barmer wurden auf diesem Weg Kundendaten für bestimmte Bonusprogramme an einen externen Dienstleister übermittelt.

Angriff mit der Schrotflinte

Auf diesem Weg drangen die Hacker zwar nicht zu den sensibelsten Daten in den eigentlichen Unternehmenssystemen vor, konnten aber sehr viele Unternehmen angreifen und große Mengen erbeuten. Ein Sicherheitsexperte vergleicht die Methode mit einer Schrotflinte. Der erste Angriff soll laut US-Behörden bereits Ende Mai stattgefunden haben und dürfte monate-, wenn nicht jahrelang vorbereitet worden sein.

Eine entsprechende Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es seit dem 2. Juni. Kurz davor hatte der Softwarehersteller Progress über die Schwachstelle in Move It informiert. „Ein Einsatz des Produktes ist nach Einschätzung des BSI derzeit mit erheblichen Risiken für die Vertraulichkeit der abgelegten Daten verbunden“, teilte das BSI unter der zweithöchsten Warnstufe mit: „Es besteht unmittelbarer Handlungsbedarf!“ Progress lieferte kurz darauf Updates, aber das dürfte zu spät gekommen sein: Die Hacker nisteten sich ein, als die Schwachstelle noch nicht bekannt war.

Das FBI jagt Hacker mit Kopfgeld

In den USA haben das FBI und die Sicherheitsbehörde Cisa Mitte Juni 10 Millionen Dollar für Hinweise auf Clop-Mitglieder und andere Hacker ausgesetzt. Die Gruppe, die sich selbst „Cl0p“ schreibt, sei erstmals 2019 in Erscheinung getreten mit dem Geschäftsmodell „Ransomware as a service“: Sie dringen in ein fremdes Computersystem ein, stehlen Daten und legen es lahm.

Daran verdienen sie auf zwei Arten: Entweder, das Unternehmen zahlt Lösegeld, oder die Daten werden weiterverkauft. Andere Kriminelle nutzen sie dann für verschiedene Betrügereien.

In den jüngsten Fällen ging es offenbar nicht mehr um das Lahmlegen der Computer, sondern nur noch um die Daten. Die Hackerbande hat im Darknet bereits eine Liste angeblich erfolgreich angegriffener Unternehmen veröffentlicht und Lösegeld verlangt.

Was da wirklich im Angebot ist, lässt sich allerdings nicht überprüfen „Das ist eine komische Gemengelage“, sagt ein Sicherheitsexperte. Bisher sei nicht klar, welchen Schaden die Hacker wirklich angerichtet haben. Teilweise wird sogar vermutet, dass die Hacker gerade organisatorische Schwierigkeiten haben, alle Fälle „abzuarbeiten“. Andere meinen, dass gar nicht in jedem behaupteten Fall verwertbare Daten erbeutet wurden.

Mit den erbeuteten Informationen könnten unter Umständen Kontoabbuchungen veranlasst werden. Unautorisierte Lastschriften könnten aber bis zu 13 Monate rückwirkend zurückgegeben werden, betonen die Banken.

Deshalb greifen Hacker inzwischen zu einem anderen Mittel: Mit Hilfe der erbeuteten Daten erschleichen sie sich das Vertrauen ihrer Opfer und sorgen dafür, dass diese selbst Geld überweisen oder über einen Internetlink Zugang zu ihrem Computer gewähren.

Verbraucherzentrale mahnt zur Vorsicht

Mit den bekannten, leicht erkennbaren Phishing-Mails hat das nur noch wenig zu tun, die Täuschung ist perfektioniert. In der Szene heißt das Verfahren „Social Engineering“. „Diese Kontaktversuche wären wegen der persönlichen Daten, die die Kriminellen erbeuten konnten und für ihre Zwecke nutzen können, vermutlich sehr überzeugend“, warnt die Verbraucherzentrale NRW. „Seien Sie darum besonders vorsichtig, wenn man Ihnen Nachrichten schreibt oder Sie anruft und darum bittet, verdächtige Links anzuklicken oder sensible Daten wie Passwörter herauszugeben.“