«Die Dunkelziffer der Daten-Diebstähle ist hoch»

Der Fahrdienst Uber hat einen Datendiebstahl verheimlicht und Lösegeld bezahlt. Wer sind die Täter? Ein Experte gibt Auskunft.

Blick in ein Uber-Büro in Kairo.

Blick in ein Uber-Büro in Kairo. Bild: Reuters

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Uber wurden sensible Daten gestohlen. Um eine Veröffentlichung zu verhindern, hat das Taxi-Unternehmen Lösegeld bezahlt. Ein Einzelfall?
Das ist vermutlich ein Fall, der nicht ganz so häufig vorkommt. Aber die Dunkelziffer ist so hoch, dass wir nicht sagen können, wie viele Fälle es genau gibt. Auch nicht in dieser Grössenordnung.

Ist es ähnlich wie bei Personen-Entführungen? Man zahlt heimlich und spricht nicht darüber.
Das ist durchaus vergleichbar. In diesem Fall war bei Uber die Motivation aber eine andere. Man wollte nicht darüber reden, um einen Imageschaden zu vermeiden. Funktioniert hats allerdings nicht. Denn es wurde ja nun doch bekannt.

Bei einer Entführung bekommt man im Idealfall die Person zurück, und die Sache ist erledigt. Bei gestohlenen Daten ist das schwieriger. Da gibt es keine Sicherheit, dass die wirklich vernichtet wurden und keine Kopien existieren.
Die Angreifer müssten klarmachen, dass sie kein weiteres kommerzielles Interesse an diesen Daten haben und sie nicht an Dritte weiterverkaufen. Aber da gibt es eben keine Garantie. Darum kann man das Restrisiko nicht durch eine Lösegeldzahlung auf null reduzieren. Bei Angreifern mit kriminellem Hintergrund muss man davon ausgehen, dass sie entsprechend gewissenlos handeln werden.

Was sind denn das für Angreifer? Sind das vergraulte Mitarbeiter, Einzeltäter, oder steckt gar das organisierte Verbrechen dahinter? Kann man mit denen überhaupt verhandeln?
Ich denke, dass man mit denen durchaus verhandeln kann. Aber hier würde ich annehmen, dass es sich um organisiertes Verbrechen handelt. Denn es braucht auch den Mut, selber aus der Deckung zu kommen, Lösegeld einzufordern und einen sicheren Zahlungskanal einzurichten. Das spricht für mich für eine kriminell handelnde Einzelperson oder eher Organisation. Ausschliessen kann man fast sicher, dass es ein unzufriedener Mitarbeiter war. Der hätte wohl kaum Lösegeld verlangt, sondern eine andere Form der Rückzahlung gewählt.

Ist es denn schwierig, an Lösegeld zu kommen?
Dank Kryptowährungen ist das inzwischen einfacher geworden. Der Angreifer bestimmt das Schlachtfeld und in welcher Kryptowährung er bezahlt wird. Da wird er natürlich solche auswählen, bei denen er annimmt, dass dort wenig oder keine Überwachung möglich ist.

«Richtig wäre es die Polizei einzuschalten. Die grossen Kantone haben Cybercrime-Einheiten.»

Experten raten regelmässig davon ab, Lösegeld zu bezahlen. Sie auch?
Im Grundsatz stimme ich dem zu. Man sollte das organisierte Verbrechen nicht querfinanzieren, indem man Lösegeld zahlt. Es gibt aber begründete Ausnahmen. Wenn zum Beispiel ein Spital kurzfristig die Blutgruppe eines Notfallpatienten nicht mehr feststellen kann, dann mag es, weil Gefahr für Leib und Leben im Spiel ist, vielleicht im Einzelfall sinnvoller sein, Lösegeld zu bezahlen. Das sind aber spezielle Notsituationen. Wir müssen auch berücksichtigen, dass Angreifer genau solche Notsituationen gezielt herbeiführen, um die Zahlungsbereitschaft zu erhöhen.

Wie sollte ein Unternehmen denn reagieren, wenn es erpresst wird?
Die richtige Reaktion aus meiner Sicht ist, die Polizei einzuschalten. In den grossen Kantonen gibt es bereits Cybercrime-Einheiten, oder sie werden gerade aufgebaut. Die sind durchaus in der Lage, einen Dialog mit den Erpressern zu führen. Zum Beispiel über die Modalitäten der Lösegeldzahlung. Dabei gelangen sie möglicherweise an zusätzliche Informationen, die zur Verhaftung der Täter führen können.

Wie hoch ist denn die Aufklärungsquote?
Genaue Zahlen habe ich nicht. Ich sehe aber in meiner Beratungspraxis, dass immer dann, wenn es der Polizei gelingt, mit den Erpressern in einen Dialog zu treten, die Aufklärungsquote stark ansteigt. Erfahrenen Kriminalbeamten gelingt es im virtuellen Gespräch vielleicht, die Erpresser dazu zu verleiten, mehr Informationen preiszugeben. Kommt dazu, dass durch häufigere Meldung solcher Fälle die Polizei neue Methoden und Muster entdeckt. Etwa, welche Branchen gerade besonders im Visier sind. Aber klar, bei Tätern im Ausland wird es schwieriger. Dann sind Kooperationen mit anderen Ermittlungsbehörden nötig. Das kostet mehr und dauert länger. Da kommt es vor, dass ein Fall nicht aufgeklärt werden kann.

Der Imageschaden bei einem publik gewordenen Datendiebstahl ist immens. Da ist doch die Versuchung gross, Informationen zurückzuhalten.
Das ist aktuell noch möglich. Mit der neuen europäischen Datenschutzrichtlinie wird das keine Option mehr sein. Da wird gefordert, dass eine Offenlegung innert kurzer Frist geschehen muss. Dann verstösst man gegen das Gesetz, wenn man wie Uber einen Datendiebstahl geheimhält. In den USA gibt es die Verpflichtung, von Datendiebstählen betroffene Personen zu informieren. Darum ist im Fall Uber die Staatsanwaltschaft auch bereits aktiv geworden.

«Die Zahl wird ansteigen. Kriminelle sehen, dass sie mit wenig Risiko zu ihrem Gewinn kommen.»

Wenn Firmen gehackt werden, kommt das Ausmass üblicherweise häppchenweise ans Licht. Erst sind eine Million Kunden betroffen, dann zwei, und dann plötzlich alle. Ist es wirklich so schwierig, das Ausmass eines Datendiebstahls zu erkennen, oder ist das PR-Taktik?
Es ist tatsächlich sehr schwer festzustellen, wenn man nicht weiss, wie lange ein Angreifer auf die internen Systeme Zugriff hatte. Bei Uber war anscheinend eine Datenbank ungenügend gesichert. Wenn man nicht weiss, wie lange der Angreifer Zeit hatte, in der Datenbank nach Daten zu suchen und sie zu kopieren, ist es ungeheuer schwierig, das Diebstahl-Ausmass festzustellen. Man kann vielleicht die Obergrenze festlegen, weil man weiss, wie viele Kundendaten in dieser Datenbank waren, aber man kann nicht sagen, welche wirklich bezogen wurden.

Uber hat auch mitgeteilt, dass die Daten nicht missbräuchlich verwendet worden seien.
Das ist natürlich eine sehr schwache Garantie. Vielleicht hat mans nicht gesehen, oder vielleicht werden die Daten erst später genutzt. Es ist für Unternehmen wirklich schwierig, wenn sie den Zeitpunkt und die Dauer des Angriffs nicht genau bestimmen können.

Datendiebstähle werden gefühlt immer häufiger. Ist es Zeit, sich einfach damit abzufinden, oder wird das Phänomen wieder verschwinden?
Ich glaube, die Quote wird ansteigen. Einerseits, weil Kriminelle sehen, dass sie dort mit relativ wenig persönlichem Risiko zu ihrem Gewinn kommen. Andererseits werden wir mehr Fälle haben, weil die Aufklärungsquote immer noch nicht gut genug ist, um Schritt zu halten. Über die neue Datenschutzrichtlinie werden wir zudem häufiger von betroffenen Firmen hören. Es ist ähnlich wie bei Rückrufen in der Autoindustrie. Es gab eine Zeit, da wurden Autos aus Angst vor Imageschäden kaum zurückgerufen. Dann hat der Konsumentenschutz die Hersteller dazu gesetzlich verpflichtet. Nun nehmen die Hersteller den Imageschaden in Kauf und rufen ein defektes Modell lieber zurück, um nicht mit dem Gesetz in Konflikt zu kommen. (Tages-Anzeiger)

Erstellt: 22.11.2017, 16:26 Uhr

Hannes Lubich ist Professor an der Fachhochschule Nordwestschweiz. Er beschäftigt sich seit über 25 Jahren mit Betriebssystemen, Netzwerk- und Kooperationstechnologien, IT-Architekturen, Informationssicherheit und Risiko-Management. Während 10 Jahren war er Forscher und Dozent an der ETH Zürich und war zudem am Aufbau und Betrieb des Schweizerischen Hochschulnetzes SWITCH und des Sicherheitszentrums SWITCH-CERT beteiligt. Während 7 Jahren war er Chief Information Security Officer der Julius Bär Gruppe.

Artikel zum Thema

Wie ich den Hacker kennen lernte, der mein Spotify gehackt hatte

Unser Autor staunte nicht schlecht, als plötzlich Bhaskar aus Kathmandu und weitere wildfremde Personen in seinem Benutzerkonto auftauchten. Mehr...

«Die Kriminellen brauchen Forscher, Entwickler, Geld»

Wer steckt hinter dem Datendiebstahl bei der Ruag? Ein Experte gibt Einblick in die Welt der Cyberkriminellen und Geheimdienste. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Kommentare

Service

Für Selbstständige und KMU

Tragen Sie Ihre Firma im neuen Marktplatz des Tages-Anzeigers ein.

Die Welt in Bildern

Wintereinbruch: Schafe grasen im Schnee nahe Loch Tay Perthshire, Schottland, Grossbritannien (10. Dezember 2017).
(Bild: Russel Cheyne) Mehr...