Junger Hacker stahl neun Millionen österreichische Meldedaten
WIEN. Ein 25-Jähriger aus den Niederlanden hat aus einer Datenbank im Umfeld der GIS quasi alle österreichischen Meldedaten gestohlen und im Internet zum Verkauf angeboten.
Der Datendiebstahl selbst wurde bereits im Mai 2020 bekannt, nun ist er auch geklärt: Im vergangenen November wurde ein "ganz dicker Fisch" in den Niederlanden verhaftet, auf dessen Konto der Diebstahl gegangen sein dürfte, wie Experten des Bundeskriminalamtes (BK) am Mittwoch Journalisten mitteilten.
Alle Meldedaten aus Österreich betroffen
An die Daten war der Hacker durch eine Panne bei einer Wiener IT-Firma gelangt, welche die GIS mit der Neustrukturierung ihrer Datenbank beauftragt hatte. Betroffen waren praktisch alle österreichische Meldedaten, also Namen, Geburtsdaten und Meldeadressen aller Bürger, sagte Klaus Mits, Abteilungsleiter für Cyberkriminalamt im BK. Die GIS hatte diese Daten und eine zweite auf Gebäude bezogene Datenbank, um allfällige Rundfunk-Gebührenvermeider aufzuspüren. Sie beauftragte ein renommiertes Wiener IT-Unternehmen mit der Neustrukturierung dieser Datenbanken und übergab der Firma die Daten. Die BK-Experten betonten, dass das eine durchaus übliche Vorgangsweise sei.
Ungesicherte Datenbank eine Woche lang online
Der Fehler dürfte dann bei dem Subunternehmen geschehen sein: Ein Mitarbeiter der Firma dürfte für eine Teststellung die echten Meldedaten der GIS verwendet haben, und diese Datenbank war so ohne Zugangssicherung im Internet verfügbar, nach Schätzung der BK-Spezialisten etwa für eine Woche. "Mit einer Suchmaschine hat der Täter die Daten gefunden", schilderte ein BK-Ermittler. Nachsatz: "Über Google findet man die Daten natürlich nicht."
Das BK erhielt von dem Angebot, das eine zunächst unbekannte Person unter dem Pseudonym "DataBox" im Hackerforum "Raidforum.com" gestellt hatte, über Neuseeland Kenntnis. Mit den neuseeländischen Behörden habe es daher auch eine gute Kooperation gegeben, betonte das BK. Die Fahnder kauften daraufhin - verdeckt - die Daten um einen mittleren vierstelligen Betrag und brachten so die Klärung des Falles ins Rollen.
Umfangreiche Ermittlungsschritte
In mehreren ziemlich umfangreichen Ermittlungsschritten - unter anderem wurde ein Server in Deutschland sichergestellt, von dem der Täter Daten heruntergeladen hatte - kam man auf die Identität des Mannes, eines 25-jährigen niederländischen Staatsbürgers. Auch über die Zahlung - das Geld für die Daten wurde in Kryptowährung überwiesen - kamen die Ermittler ihm auf die Spur. "Jede Transaktion von Bitcoins zum Beispiel ist offen erkennbar. Die Kunst ist, von diesen Internetdaten auf reale Personen zu kommen", erläuterte der BK-Spezialist.
Das Bundeskriminalamt kontaktierte die niederländischen Behörden. Die weitere Klärung des Falles erfolgte in enger Zusammenarbeit und zog weit größere Kreise als den Verkauf der Meldedaten aus Österreich. Denn der 25-Jährige hatte offenbar rund 130.000 Datenbanken in seinem "Portfolio". Neben Österreich stammten die Daten unter anderem aus den Niederlanden, Thailand, China, Kolumbien und Großbritannien. Offenbar bot er auch Patientendaten - aus den anderen genannten Nationen - an, wie die niederländischen Behörden am Mittwoch in einer Aussendung mitteilten.
Hacker ist amtsbekannt
Der Hacker ist schon seit einiger Zeit polizeilich international bekannt. Er sah sich früher selbst als "Whitehead" - ein Hacker, der ohne Bereicherungsabsicht in Systeme von Organisationen, Institutionen und Unternehmen eindringt, um Schwachstellen aufzuzeigen. In dem Zusammenhang dürfte er sich auch mit einem Großteil der niederländischen Hackerszene vor einigen Jahren überworfen haben. Laut den Experten des BK ist er mittlerweile aber eindeutig den "Blackheads" zuzuordnen, also jenen Hackern, die in Bereicherungsabsicht kriminell agieren. Detail am Rande: Das Hackerforum, auf dem der 25-Jährige die gestohlenen Datenbanken angeboten hatte, haben die US-Behörden mittlerweile abgedreht.
Daten von großer Relevanz
Die Relevanz von Meldedaten in den falschen Händen ist übrigens den Ermittlern zufolge nicht zu unterschätzen. Immerhin handelte es sich um alle Daten vom Bundespräsidenten und von der Bundesregierung abwärts. Beispielsweise könnten die Drahtzieher der Betrugsmasche mit den falschen Polizisten durchaus Interesse an den Daten haben, sind doch auch die Geburtstage dabei. Und damit hätten die Betrüger schwarz auf weiß, wer etwas betagter und damit möglicherweise ein lohnendes Opfer ist.
Innenminister Gerhard Karner (ÖVP) und BK-Direktor Andreas Holzer gratulierten den Ermittlern: "Die stark wachsende Cyber-Kriminalität wird auch in Zukunft mit aller Vehemenz und auch neuen Methoden bekämpft werden", sagte Karner. "Anhand dieses Falles zeigt sich, wie wichtig und notwendig die Ermittlungen im Cyberspace sind. Unsere Ermittlerinnen und Ermittler haben das Know-how und kein Täter sollte sich sicher sein, in der Anonymität des Internets verschwinden zu können", betonte Holzer.
Riesige Cannabisplantagen in Niederösterreich ausgehoben
"Mindestens einen Finger verloren": Böller explodierte in Hand von 14-Jährigem
Nazi-Parolen in Wiener Lokal: 29-Jähriger festgenommen
500.000 Euro Schaden: Jugendbande verübte mehr als 1.200 Straftaten
Interessieren Sie sich für dieses Thema?
Mit einem Klick auf das “Merken”-Symbol fügen Sie ein Thema zu Ihrer Merkliste hinzu. Klicken Sie auf den Begriff, um alle Artikel zu einem Thema zu sehen.
"Das Kind liegt schon im Brunnen" - daher zumindestens NIEMALS solchen Organisationen inklusive allen staatlichen "Gebühreneinhebern" eine Einzugsermächtigung geben. Dann bleiben wenigstens die Kontoen einigermaßen sicher!
FLACHS007 (116 Kommentare)
vor 31 Minuten
"Einzugsermächtigung"
sehe ich nicht so Kritisch wenn man das Konto regelmäßig checkt
denn Abbucher kann ich ganz einfach wieder zurück Buchen oder zurück Buchen lassen
wäre nicht das erste mal bei mir das jemand oder ein Buchhändler bei mir was abbucht
Ich habe vor rund 10 Jahren die Einzugsermächtigung für GIS storniert.
die GIS wird es nie lernen
Hacker-Angriff: GIS bestätigt Datenklau
In einer Pressemeldung hat die Gebühren Info Service GmbH (GIS) heute bestätigt, dass ihr Webserver von Anonymous Austria gehackt gehackt und 214.000 Kundendatensätze, davon 96.000 mit Kontodaten, entwendet wurden. Es sei eine Task-Force zur Verbesserung der IT-Sicherheit eingerichtet worden.
Von Redaktion
25. Juli 2011
Wenn die Daten ohne Passwortschutz und über einen öffentlich bekannten Link herunterzuladen gewesen sind, kann man wohl kaum von einem Hacker sprechen.
Unglaublich.
Ich möchte wirklihc sehr gerne Wissen, warum zur Hölle die GIS im Besitz aller Meldedaten ist. DSG wo bist du? Also dürfen Firmen im öffentlichgen Eigentum auf den Datenschutz pissen!!! Da muss sich auch was ändern!!!
Und übrigens, zumindest die r.k. Kirche hat die Daten auch. Unfug aus dem Mittelalter!!
Die Frage wird an das Zentrale Melderegister zu stellen sein: An wen wurden welche meiner Daten unter welcher Begründung geliefert? Oder vom ZMR verkauft ?
Es gibt eine gesetzliche Auskunftspflicht, inklusive Zeithorizont. Überflutet zumindest die GIS mit Anfragen!
Elga und Datensicherheit?
"Hallo,
ich bins,
dein Radio.
Es tut mit Leid, Dir sagen zu müssen, dass nun all deine Daten weltweit bekannt sind...." 🤔👎
.
.
Xrsge:
Wkeseo
Hier stellen sich folgende Fragen:
1.:
Wer überprüft eigentlich die GIS bei Ihrem Tun???
(GiS = Gebühren Info Service
Rundfunkgebühreinhebende Stelle in Österreich)
2.:
Wie genau nimmt es die GIS, bei der Beauftragung privater Dienstleister- wie genau werden diese zuvor geprüft?
Immerhin geht es hier um sensible Daten.
3.:
Und grundsätzlich:
Es werden Datensätze der GIS bereitgestellt, zum Zwecke
"allfällige Rundfunk-Gebührenvermeider aufzuspüren".
Na toll!
Soviel zum Datenschutz in Österreich!
Allerhöchste Zeit -
und dies ist ein Anlass dazu -
diesen "Verein" aufzulösen!
Abgaben?
Abschaffen oder ganz anders strukturieren!
Ja so ist das mit dem Datenschutz. Der Staat gibt die Daten ungeniert an die Giss weiter, diese wiederum an ein privates Unternehmen. Die Internetkonzerne und die Amerikaner haben sowieso umfangreichste Daten, und eine Gemeinde in Oö nennt für ein Bauverfahren die Grundanrainer nicht, obwohl im Grundbuch eigentlich für jeden der will ersichtlich, und begründet das mit dem Datenschutz. Hm es lebe die öffentliche Verwaltung, oder?
mit den Daten ist es so eine Sache, ich war vor 40 Jahren schon einmal in Israel und da war schon die halbe Welt auf Computern gespeichert, da stellt sich die Frage -was ist noch nicht gespeichert und läßt sich rauben stehlen klonen ?🤣
WOW! Ein sarkastisches DANKE an die GIS!!! Ja, ich bin auch jetzt dafür, dass man diesen verdammten Beitrag SOFORT abschafft! Warum wurden nicht alle Opfer des Datenklaus informiert??? Frage an Radio Eriwan oder an die Regierung oder an das Salzamt?
Verdammt noch mal, als Gebührenzahler möchte ich wissen, wer der Hacker ist, welche Firma mit den Daten so verantwortungslos umgegangen ist und wie es mit Schadenersatz aussieht!!!
Wo bekommt man die Info?
Soweit ist die Abschaffung so geplant, das es zu einer zusätzlichen Wohnsitzabgabe oder so kommt! Also das ist keine Abschaffung sondern eine Erneuerung Phönix aus der Asche ...
Von seriösem Journalismus würde ich mir erwarten, folgenden Umstand
"Die GIS hatte diese Daten und eine zweite auf Gebäude bezogene Datenbank, um allfällige Rundfunk-Gebührenvermeider aufzuspüren. " (auf Deutsch, es geht um Pimpi-Gebühren)
in Relation zur nicht vorhandenen Datensicherheit und zum geschaffenen Risiko (keine Pimpi-, sondern ein maximales) zu setzen, und die Problematik herauszuarbeiten. Zu bedenken ist auch, dass dort wo Menschen agieren, Fehler passieren können, und dass auch für diese Fälle soweit vorgesorgt sein muss. Eine Woche lang waren diese Daten frei zugänglich. Da haben also auch alle Kontrollsysteme völlig versagt.
Do kau ma nix mochn.
ein top-job im it-bereich ist ihm sicher...
Ein Haus ausrauben ist keine Kunst, wenn die Haustür offen steht und niemand da ist.
Ja, und die GIS "gab dem Dieb die Adresse zu diesem Haus"...🤔
Eigentlich wieder so typisch … renommiertes Wiener IT-Unternehmen, das an Subfirmen delegiert, und das wahrscheinlich immer, aber dem Kunden das Doppelte von den Kosten verrechnet, das es selbst an die Subfirmen bezahlt, so kannst du dir mit Nichtstun eine goldene Nase verdienen. Im Gegenzug hört man immer wieder, u. a. vor Kurzem im Mittagsjournal auf Ö1, grad wir in Österreich wären eh unter den Top-Nationen punkto Datensicherheit …
Und dann noch dieser übernommene Artikel von der APA, der sich mit Hackern beschäftigen soll, aber dann was von Blackheads oder Whiteheads zu lesen ist. In Wirklichkeit sinds nämlich White Hats und Black Hats, also nicht der Kopf, sondern im übertragenen Sinn weiße Hüte für „gute“ und schwarze Hüte für „böse“ Hacker. Zumindest diese Termini sollten einem Redakteur schon bekannt sein.
Warum hat die gis Zugriff auf die Meldedaten oder die Kirche für die Kirchensteuer .. dass das legal ist bezweifle ich
Ich hoffe, der A.... kommt lange in den Knast und wird mit lebenslangem PC-Handyverbot belegt.
LOL !
Wer hat die Anzeige gegen das Datenschutzvergehen eingebracht, es ist nun öffentliches Wissen und hat es damit Anzeigepflicht der Behörden oder schauen bis zu hin zu den DatenschützerInnen alle weg in Österreich?
In diesem Ausmaß doch jeder Behörde komplett egal, die kleinen Unternehmen aber müssen nach Punkt und Komma gefoppt werden bezüglich Cookie-Bannern, DSGVO-Einhaltung usw. XD
Tja, wird die GIS jetzt dafür gerade stehen wenn jemand mit meinen Daten Unfug treibt ?
Eigentlich liegt schon da ein Verstoss vor, weil die Daten aller BürgerInnen die GIS gar nicht hätte haben dürfen. Es müsste untersucht werden, wer diese Datenbank der GIS zugänglich gemacht hat und ob man dazu überhaupt berechtigt war. Wenn nicht, dann muss es Konsequenzen geben. Und damit es auch klar ist, ich bin GIS Zahler seit Urzeiten. Aber Recht muss Recht bleiben. Man sollte doch glauben, dass wir nicht in einer Bananenrepublik leben. Das ist mal das Erste. Das Zweite ist, dass die GIS diese Datenbank an eine Privatfirma zur Bearbeitung weiter gegeben hat. Angeblich war so was üblich, aber das macht es nicht besser und nicht Rechtens. Auch hier müsste es Konsequenzen geben. Ob es welche gibt, das bezweifle ich allerdings. Weswegen sich dann doch die Frage ergäbe, ob wir in einer Bananenrepublik leben. Mir stinkt jedenfalls der ganze Vorgang ganz gewaltig.
Vermutlich wurde das gesetzlich so geregelt, genauso wie dass Kabelbetreiber auch ihre Kundendaten an die GIS abtreten müssen.
Mittlerer 4stelliger Eurobetrag. …,. Hoffentlich kein Steuergeld
Warum wurden wir nicht als (Zwangs-)Kunden von der GIS über diesen Datenschutz-Verstoß informiert?
Vielleicht die GIS mit Briefen zu diesem Thema befragen. Laut Askunftspflichtgesetz müssen die schriftlich antworten. Die teilstaatliche Post wird sich über Porto freuen.
Finde ich eine gute Idee.