Datenlecks: Stille Spätfolgen

31.01.2022
G DATA Blog

Wenn der Medienrummel um ein spektakuläres Datenleck abnimmt, ist es noch lange nicht ausgestanden. Immer, wenn Daten ihren Weg in die Hände von Kriminellen finden, tickt die Uhr – und Betroffene wissen nie, wann diese Uhr abläuft.

Die Aufregung ist immer erst einmal groß, wenn Daten im Zuge eines Angriffs in die Hände Krimineller geraten sind. Zurecht. Worüber jedoch Medien vergleichsweise wenig berichten, ist der Missbrauch der persönlichen Informationen durch Einzeltäter oder Tätergruppen für Straftaten. Hier zeigt sich deutlich, warum erfolgreiche Angriffe auch langfristig unmittelbare Folgen für Einzelpersonen haben können.

So ein Ereignis ist nicht nur für ein betroffenes Unternehmen ärgerlich, sondern hat oft auch ein rechtliches Nachspiel. Nach spätestens einigen Wochen ist allerdings zumindest medial Gras über die Sache gewachsen und die Berichterstattung dreht sich wieder um andere Themen. Es wird nur noch wenig über einen solchen Vorfall berichtet. Es sei denn natürlich, die Täter veröffentlichen erbeutete Daten.

 

Sprachliche Feinheiten

Da ist zunächst einmal der oft verwendete Begriff „Datendiebstahl“. Jeder weiß, was damit gemeint ist. Juristisch gesehen handelt es sich aber in Fällen, in denen wir oft von „Datendiebstahl“ reden (wenn Angreifer sich etwa eine Kundendatenbank aus einem infiltrierten Netzwerk herunterladen), nicht um einen Diebstahl im juristischen Sinne. Der Grund liegt in der Definition des Begriffs. So ist im Paragraphen 242 des Strafgesetzbuches zu lesen:

„Wer eine fremde bewegliche Sache einem anderen in der Absicht wegnimmt, die Sache sich oder einem Dritten rechtswidrig zuzueignen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

Paragraph 242 StGB

Nun könnte man argumentieren, dass Daten in ihrem Wesen ja durchaus beweglich sind, und dass Dritte sich diese rechtswidrig zueignen. Der Knackpunkt ist allerdings das Wort „wegnehmen“. Genau das passiert in diesem Falle nicht. Aus Gründen der Einfachheit lassen wir hier das Szenario „Ransomware“ für den Moment außen vor. Auch wenn ein Täter Daten „gestohlen“ hat, sind die Informationen auf Seiten der Eigentümer noch immer verfügbar. Anders als etwa bei einem Gegenstand wie einem Smartphone oder einer Geldbörse, über die wir nach einem erfolgten Diebstahl eben nicht mehr verfügen.

Daten sind jedoch nach einem Diebstahl nicht „weg“, und der „Eigentümer“ kann noch immer darüber verfügen. Hier liegt die Krux im Falle des Datendiebstahls: Die „bestohlene“ Person weiß oft gar nicht, dass sie bestohlen wurde – weil ja nichts „weg“ ist, und alles vorerst normal funktioniert.

Wer also versucht, einen kriminellen Hacker wegen Diebstahls zu belangen, der dürfte damit vor Gericht krachend scheitern. Um Angreifer dafür zur Rechenschaft zu ziehen, gibt es andere Paragraphen.

Virtueller Langzeitzünder

Das Perfide an Fällen, in denen sich Täter Zugriff auf persönliche Daten von Menschen verschaffen ist, dass es mitunter Wochen oder Monate dauern kann, bis jemand diese Daten verwendet. Ein aktuelles Beispiel: Im Oktober 2021 – also vor einem Vierteljahr zum Zeitpunkt der Veröffentlichung dieses Artikels – war es Kriminellen gelungen, in die IT-Systeme der Stadt Witten einzudringen. Die Täter verschlüsselten nicht nur Daten mittels einer Ransomware, sondern luden auch Daten herunter. Gleiches passierte im Juli 2021 in der Verwaltung des Landkreises Anhalt-Bitterfeld. Über beide Fälle berichteten die Medien ausgiebig. Und irgendwann war das Thema „abgefeiert“ und andere Meldungen verdrängten die Berichte.

Doch die illegal kopierten Daten bleiben. Einige Wochen nach dem Vorfall in Witten mahnte der Oberbürgermeister der Stadt zur Vorsicht. Zwar sei die gestohlene Datenmenge im Vergleich zum Gesamtbestand der Daten „sehr klein“, doch seien teils „besonders sensible Daten“ betroffen.
Sensible Daten sind weit mehr als nur Passwörter. Ein geleaktes Kennwort lässt sich leicht ändern und oft auch um einen zweiten Anmeldefaktor erweitern. Nein, Passwörter sind das kleinste Problem, wenn auch eines, das wir auf keinen Fall vernachlässigen dürfen. Doch dazu später mehr. Daten, die sich nicht so einfach – oder nur mit teils unverhältnismäßig großem Aufwand – ändern lassen, sind das viel größere Problem. Klarnamen, Anschriften, Telefonnummern, medizinische Diagnosen, psychologische Gutachten, Kontodaten…all diese Informationen lassen sich mit entsprechender krimineller Energie zu Geld machen. Sei es durch Anrufe eines vermeintlichen Microsoft-Supports, oder durch das Bestellen von Waren im Namen und auf Rechnung einer anderen Person, das Eröffnen von Bankkonten mit fremden Informationen, die Durchführung von Überweisungen zu Lasten eines fremden Bankkontos – der Phantasie sind hier nur wenige Grenzen gesetzt.

Das bedeutet im Klartext: Wenn heute ein Datensatz gestohlen wird (um den Begriff einmal beizubehalten), kann es Monate dauern, bis jemand diese Daten in krimineller Absicht nutzt. Wenn das passiert, dann haben Betroffene meist alle Hände voll zu tun, um mit den Folgen zu kämpfen. In der Situation fragt sich kaum jemand, aus welchem Datenleck genau nun die Informationen stammen, mit denen Kriminelle das Bankkonto leergeräumt haben.

Alte Daten, neu verwertet

Selbst veraltete und nicht mehr aktuelle Daten sind für Kriminelle einen Blick wert. So machen immer wieder einmal Mails die Runde, in denen der Absender vorgibt, kompromittierendes Bild- oder Videomaterial über einen zu besitzen. Die Täter drohen, die Bilder zu veröffentlichen, falls das Opfer kein Lösegeld zahlt. Um der eigenen Forderung Nachdruck zu verleihen, schreiben die Täter oft noch etwas von einer angeblich auf dem Computer installierten hochmodernen Spionagesoftware, die alles mitlesen kann – und als Beweis wird ein echtes Passwort im Klartext mitgesendet. Das macht natürlich ordentlich Eindruck bei einem potenziellen Opfer.

Ist der erste Schreck überwunden, stellt sich allerdings heraus, dass das erwähnte Passwort bereits vor Jahren Teil eines Datenlecks war, zum Beispiel bei LinkedIn oder Adobe. Und da viele Menschen trotz immer neuer und eindringlicher Warnungen entweder nach einem Datenleck ihre Kennwörter nicht ändern oder dasselbe Passwort mehrfach verwenden, ist die Chance durchaus da, dass ein solches Passwort noch immer anderswo Verwendung gefunden hatwurde. Selbst, wenn man es auf einer der Plattformen vielleicht vor Jahren schon geändert hat. Doch der Schreck vernebelt die klare Sicht.

Ebenso haben Tätergruppen in der Vergangenheit auch alte Informationen benutzt, um aktuelle Daten zu erhalten – etwa durch Mails, in denen sie unter einem Vorwand ganz offen um die „Bestätigung“ oder „Aktualisierung“ von Daten bitten.

Die Menge ist nicht entscheidend

Medien mögen große Zahlen. So lesen wir oft Berichte, in denen davon die Rede ist, dass gigabyte- oder terabyteweise Daten „gestohlen“ wurden. Dabei sagt die Menge der Daten noch nichts über den Inhalt oder die Brisanz der Informationen aus, wie der Wittener Fall beweist. Wer beispielsweise einen Storage-Server hackt und das komplette Videoarchiv eines Unternehmens herunterlädt, hat sich auch erst einmal eine beachtliche Menge Daten verschafft. Ob diese allerdings einen Stellenwert haben, sei dahingestellt. Um ein besonders plakatives Beispiel zu nennen: Sind etwa die heruntergeladenen fünf Terabyte Videodateien sowieso auf einer Plattform wie YouTube öffentlich verfügbar, relativiert sich das Ausmaß dieses virtuellen Raubzugs schnell, auch wenn hier eine erst einmal sensationell klingende Menge an Daten abgeflossen ist.

Dass die reine Datenmenge kein geeigneter Indikator für angerichtete Schäden ist, zeigt ein anderes plakatives Beispiel: Eine einzelne 500 Kilobyte große Excel-Datei mag auf den ersten Blick keine Meldung wert sein, wenn man auf die reine Dateigröße schaut. Enthält die Datei allerdings sämtliche Nutzer-Passwörter eines Unternehmensnetzwerkes, dann wird aus einem vermeintlich unspektakulären Datenleck schnell ein Ereignis mit genug Sprengkraft, um auch ein großes Unternehmen nachhaltig zu schädigen. Und eine solche einzelne Datei geht auch gerne einmal unter, wenn riesige Datenmengen abgeflossen sind – bis ein Unternehmen oder eine Behörde gemerkt hat, was ihnen da entglitten ist, dauert es oft Tage.

Schaler Nachgeschmack

Nach einem Datenleck bleiben immer gemischte Gefühle zurück. Die vielleicht unbequemste Wahrheit ist: Sind Daten einmal geleakt, sind sie „draußen“ und lassen sich nie wieder einfangen. Die einzigen Optionen, die wir alle als Nutzer:innen  haben, ist, wachsam zu sein, und genau darauf zu achten, welche Informationen wir online preisgeben. Auch wenn es mittlerweile niemand mehr hören kann: Gute Passwort-Hygiene ist ein absolutes Muss, ebenso wie die Verwendung eines Passwortmanagers und der Einsatz von Zwei-Faktor-Authentifizierung wo immer dies möglich ist. Wird eine Plattform kompromittiert, ist das Kennwort unverzüglich zu ändern. Ohne Wenn und Aber.

Und wenn es um Behörden geht: Hier sind sowohl Bund als auch Länder gefragt, Mittel und personelle Kapazitäten bereitzustellen, um IT-Sicherheit möglich zu machen. Bisher ist es oftmals so, dass IT-Sicherheit das Ergebnis der Initiative von wenigen ist. Die teils gewachsene Komplexität einer Verwaltungs-Infrastruktur tut hier ein Übriges, um Sicherheit zu einer veritablen Herausforderung zu machen.

Auch das Vergabe- und Ausschreibungsrecht muss hier mit auf den Prüfstand. Wenn zur Behebung eines nicht unbedingt akuten Problems – wie etwa ein gerade stattfindender Angriff, der beschleunigte Verfahren oder die Umgehung einer Ausschreibung ermöglicht – ein langwieriges und mit bürokratischen Hürden gespicktes Verfahren anlaufen muss, dann ist das einer echten Sicherheit, die diesen Namen zurecht trägt, nicht zuträglich.

Tim Berghoff
Security Evangelist