Lade Inhalte...
  • NEWSLETTER
  • ABO / EPAPER
  • Lade Login-Box ...
    Anmeldung
    Bitte E-Mail-Adresse eingeben
    Bitte geben Sie Ihre E-Mail-Adresse oder Ihren nachrichten.at Benutzernamen ein.

gemerkt
merken
teilen

Junger Hacker stahl neun Millionen österreichische Meldedaten

Von nachrichten.at/apa, 25. Jänner 2023, 17:25 Uhr
Die Meldedaten bot der Täter zum Verkauf an. Bild: Raidforums

WIEN. Ein 25-Jähriger aus den Niederlanden hat aus einer Datenbank im Umfeld der GIS quasi alle österreichischen Meldedaten gestohlen und im Internet zum Verkauf angeboten.

Der Datendiebstahl selbst wurde bereits im Mai 2020 bekannt, nun ist er auch geklärt: Im vergangenen November wurde ein "ganz dicker Fisch" in den Niederlanden verhaftet, auf dessen Konto der Diebstahl gegangen sein dürfte, wie Experten des Bundeskriminalamtes (BK) am Mittwoch Journalisten mitteilten.

Alle Meldedaten aus Österreich betroffen

An die Daten war der Hacker durch eine Panne bei einer Wiener IT-Firma gelangt, welche die GIS mit der Neustrukturierung ihrer Datenbank beauftragt hatte. Betroffen waren praktisch alle österreichische Meldedaten, also Namen, Geburtsdaten und Meldeadressen aller Bürger, sagte Klaus Mits, Abteilungsleiter für Cyberkriminalamt im BK. Die GIS hatte diese Daten und eine zweite auf Gebäude bezogene Datenbank, um allfällige Rundfunk-Gebührenvermeider aufzuspüren. Sie beauftragte ein renommiertes Wiener IT-Unternehmen mit der Neustrukturierung dieser Datenbanken und übergab der Firma die Daten. Die BK-Experten betonten, dass das eine durchaus übliche Vorgangsweise sei.

Ungesicherte Datenbank eine Woche lang online

Der Fehler dürfte dann bei dem Subunternehmen geschehen sein: Ein Mitarbeiter der Firma dürfte für eine Teststellung die echten Meldedaten der GIS verwendet haben, und diese Datenbank war so ohne Zugangssicherung im Internet verfügbar, nach Schätzung der BK-Spezialisten etwa für eine Woche. "Mit einer Suchmaschine hat der Täter die Daten gefunden", schilderte ein BK-Ermittler. Nachsatz: "Über Google findet man die Daten natürlich nicht."

Das BK erhielt von dem Angebot, das eine zunächst unbekannte Person unter dem Pseudonym "DataBox" im Hackerforum "Raidforum.com" gestellt hatte, über Neuseeland Kenntnis. Mit den neuseeländischen Behörden habe es daher auch eine gute Kooperation gegeben, betonte das BK. Die Fahnder kauften daraufhin - verdeckt - die Daten um einen mittleren vierstelligen Betrag und brachten so die Klärung des Falles ins Rollen.

Umfangreiche Ermittlungsschritte

In mehreren ziemlich umfangreichen Ermittlungsschritten - unter anderem wurde ein Server in Deutschland sichergestellt, von dem der Täter Daten heruntergeladen hatte - kam man auf die Identität des Mannes, eines 25-jährigen niederländischen Staatsbürgers. Auch über die Zahlung - das Geld für die Daten wurde in Kryptowährung überwiesen - kamen die Ermittler ihm auf die Spur. "Jede Transaktion von Bitcoins zum Beispiel ist offen erkennbar. Die Kunst ist, von diesen Internetdaten auf reale Personen zu kommen", erläuterte der BK-Spezialist.

Das Bundeskriminalamt kontaktierte die niederländischen Behörden. Die weitere Klärung des Falles erfolgte in enger Zusammenarbeit und zog weit größere Kreise als den Verkauf der Meldedaten aus Österreich. Denn der 25-Jährige hatte offenbar rund 130.000 Datenbanken in seinem "Portfolio". Neben Österreich stammten die Daten unter anderem aus den Niederlanden, Thailand, China, Kolumbien und Großbritannien. Offenbar bot er auch Patientendaten - aus den anderen genannten Nationen - an, wie die niederländischen Behörden am Mittwoch in einer Aussendung mitteilten.

Hacker ist amtsbekannt

Der Hacker ist schon seit einiger Zeit polizeilich international bekannt. Er sah sich früher selbst als "Whitehead" - ein Hacker, der ohne Bereicherungsabsicht in Systeme von Organisationen, Institutionen und Unternehmen eindringt, um Schwachstellen aufzuzeigen. In dem Zusammenhang dürfte er sich auch mit einem Großteil der niederländischen Hackerszene vor einigen Jahren überworfen haben. Laut den Experten des BK ist er mittlerweile aber eindeutig den "Blackheads" zuzuordnen, also jenen Hackern, die in Bereicherungsabsicht kriminell agieren. Detail am Rande: Das Hackerforum, auf dem der 25-Jährige die gestohlenen Datenbanken angeboten hatte, haben die US-Behörden mittlerweile abgedreht.

Daten von großer Relevanz

Die Relevanz von Meldedaten in den falschen Händen ist übrigens den Ermittlern zufolge nicht zu unterschätzen. Immerhin handelte es sich um alle Daten vom Bundespräsidenten und von der Bundesregierung abwärts. Beispielsweise könnten die Drahtzieher der Betrugsmasche mit den falschen Polizisten durchaus Interesse an den Daten haben, sind doch auch die Geburtstage dabei. Und damit hätten die Betrüger schwarz auf weiß, wer etwas betagter und damit möglicherweise ein lohnendes Opfer ist.

Innenminister Gerhard Karner (ÖVP) und BK-Direktor Andreas Holzer gratulierten den Ermittlern: "Die stark wachsende Cyber-Kriminalität wird auch in Zukunft mit aller Vehemenz und auch neuen Methoden bekämpft werden", sagte Karner. "Anhand dieses Falles zeigt sich, wie wichtig und notwendig die Ermittlungen im Cyberspace sind. Unsere Ermittlerinnen und Ermittler haben das Know-how und kein Täter sollte sich sicher sein, in der Anonymität des Internets verschwinden zu können", betonte Holzer.

mehr aus Chronik

Riesige Cannabisplantagen in Niederösterreich ausgehoben

"Mindestens einen Finger verloren": Böller explodierte in Hand von 14-Jährigem

Nazi-Parolen in Wiener Lokal: 29-Jähriger festgenommen

500.000 Euro Schaden: Jugendbande verübte mehr als 1.200 Straftaten

Interessieren Sie sich für dieses Thema?

Mit einem Klick auf das “Merken”-Symbol fügen Sie ein Thema zu Ihrer Merkliste hinzu. Klicken Sie auf den Begriff, um alle Artikel zu einem Thema zu sehen.

Lädt

info Mit dem Klick auf das Icon fügen Sie das Schlagwort zu Ihren Themen hinzu.

info Mit dem Klick auf das Icon öffnen Sie Ihre "meine Themen" Seite. Sie haben von 15 Schlagworten gespeichert und müssten Schlagworte entfernen.

info Mit dem Klick auf das Icon entfernen Sie das Schlagwort aus Ihren Themen.

Fügen Sie das Thema zu Ihren Themen hinzu.

34  Kommentare
34  Kommentare
Die Kommentarfunktion steht von 22 bis 6 Uhr nicht zur Verfügung.
Neueste zuerst Älteste zuerst Beste Bewertung
FLACHS007 (250 Kommentare)
am 26.01.2023 09:49

"Das Kind liegt schon im Brunnen" - daher zumindestens NIEMALS solchen Organisationen inklusive allen staatlichen "Gebühreneinhebern" eine Einzugsermächtigung geben. Dann bleiben wenigstens die Kontoen einigermaßen sicher!

lädt ...
melden
glingo (5.333 Kommentare)
am 26.01.2023 10:32

FLACHS007 (116 Kommentare)
vor 31 Minuten
"Einzugsermächtigung"

sehe ich nicht so Kritisch wenn man das Konto regelmäßig checkt
denn Abbucher kann ich ganz einfach wieder zurück Buchen oder zurück Buchen lassen

wäre nicht das erste mal bei mir das jemand oder ein Buchhändler bei mir was abbucht

lädt ...
melden
barzahler (7.595 Kommentare)
am 26.01.2023 17:48

Ich habe vor rund 10 Jahren die Einzugsermächtigung für GIS storniert.

lädt ...
melden
glingo (5.333 Kommentare)
am 26.01.2023 09:21

die GIS wird es nie lernen

Hacker-Angriff: GIS bestätigt Datenklau
In einer Pressemeldung hat die Gebühren Info Service GmbH (GIS) heute bestätigt, dass ihr Webserver von Anonymous Austria gehackt gehackt und 214.000 Kundendatensätze, davon 96.000 mit Kontodaten, entwendet wurden. Es sei eine Task-Force zur Verbesserung der IT-Sicherheit eingerichtet worden.
Von Redaktion
25. Juli 2011

lädt ...
melden
spoe (16.154 Kommentare)
am 26.01.2023 07:32

Wenn die Daten ohne Passwortschutz und über einen öffentlich bekannten Link herunterzuladen gewesen sind, kann man wohl kaum von einem Hacker sprechen.

Unglaublich.

lädt ...
melden
gaietano (335 Kommentare)
am 26.01.2023 06:29

Ich möchte wirklihc sehr gerne Wissen, warum zur Hölle die GIS im Besitz aller Meldedaten ist. DSG wo bist du? Also dürfen Firmen im öffentlichgen Eigentum auf den Datenschutz pissen!!! traurig Da muss sich auch was ändern!!!

lädt ...
melden
gaietano (335 Kommentare)
am 26.01.2023 06:30

Und übrigens, zumindest die r.k. Kirche hat die Daten auch. Unfug aus dem Mittelalter!!

lädt ...
melden
barzahler (7.595 Kommentare)
am 26.01.2023 17:55

Die Frage wird an das Zentrale Melderegister zu stellen sein: An wen wurden welche meiner Daten unter welcher Begründung geliefert? Oder vom ZMR verkauft ?
Es gibt eine gesetzliche Auskunftspflicht, inklusive Zeithorizont. Überflutet zumindest die GIS mit Anfragen!

lädt ...
melden
rprader (318 Kommentare)
am 25.01.2023 20:16

Elga und Datensicherheit?

lädt ...
melden
transalp (11.467 Kommentare)
am 25.01.2023 19:30

"Hallo,
ich bins,
dein Radio.
Es tut mit Leid, Dir sagen zu müssen, dass nun all deine Daten weltweit bekannt sind...." 🤔👎
.
.
Xrsge:
Wkeseo

lädt ...
melden
transalp (11.467 Kommentare)
am 25.01.2023 19:25

Hier stellen sich folgende Fragen:
1.:
Wer überprüft eigentlich die GIS bei Ihrem Tun???
(GiS = Gebühren Info Service
Rundfunkgebühreinhebende Stelle in Österreich)
2.:
Wie genau nimmt es die GIS, bei der Beauftragung privater Dienstleister- wie genau werden diese zuvor geprüft?
Immerhin geht es hier um sensible Daten.
3.:
Und grundsätzlich:
Es werden Datensätze der GIS bereitgestellt, zum Zwecke
"allfällige Rundfunk-Gebührenvermeider aufzuspüren".
Na toll!
Soviel zum Datenschutz in Österreich!

lädt ...
melden
transalp (11.467 Kommentare)
am 25.01.2023 19:34

Allerhöchste Zeit -
und dies ist ein Anlass dazu -
diesen "Verein" aufzulösen!
Abgaben?
Abschaffen oder ganz anders strukturieren!

lädt ...
melden
Hans1960 (314 Kommentare)
am 25.01.2023 19:13

Ja so ist das mit dem Datenschutz. Der Staat gibt die Daten ungeniert an die Giss weiter, diese wiederum an ein privates Unternehmen. Die Internetkonzerne und die Amerikaner haben sowieso umfangreichste Daten, und eine Gemeinde in Oö nennt für ein Bauverfahren die Grundanrainer nicht, obwohl im Grundbuch eigentlich für jeden der will ersichtlich, und begründet das mit dem Datenschutz. Hm es lebe die öffentliche Verwaltung, oder?

lädt ...
melden
Gugelbua (33.213 Kommentare)
am 25.01.2023 18:55

mit den Daten ist es so eine Sache, ich war vor 40 Jahren schon einmal in Israel und da war schon die halbe Welt auf Computern gespeichert, da stellt sich die Frage -was ist noch nicht gespeichert und läßt sich rauben stehlen klonen ?🤣

lädt ...
melden
susisorgenvoll (17.114 Kommentare)
am 25.01.2023 18:54

WOW! Ein sarkastisches DANKE an die GIS!!! Ja, ich bin auch jetzt dafür, dass man diesen verdammten Beitrag SOFORT abschafft! Warum wurden nicht alle Opfer des Datenklaus informiert??? Frage an Radio Eriwan oder an die Regierung oder an das Salzamt?
Verdammt noch mal, als Gebührenzahler möchte ich wissen, wer der Hacker ist, welche Firma mit den Daten so verantwortungslos umgegangen ist und wie es mit Schadenersatz aussieht!!!
Wo bekommt man die Info?

lädt ...
melden
gaietano (335 Kommentare)
am 26.01.2023 06:31

Soweit ist die Abschaffung so geplant, das es zu einer zusätzlichen Wohnsitzabgabe oder so kommt! Also das ist keine Abschaffung sondern eine Erneuerung zwinkern Phönix aus der Asche ...

lädt ...
melden
allesistmOOEglich (5.672 Kommentare)
am 25.01.2023 18:41

Von seriösem Journalismus würde ich mir erwarten, folgenden Umstand

"Die GIS hatte diese Daten und eine zweite auf Gebäude bezogene Datenbank, um allfällige Rundfunk-Gebührenvermeider aufzuspüren. " (auf Deutsch, es geht um Pimpi-Gebühren)

in Relation zur nicht vorhandenen Datensicherheit und zum geschaffenen Risiko (keine Pimpi-, sondern ein maximales) zu setzen, und die Problematik herauszuarbeiten. Zu bedenken ist auch, dass dort wo Menschen agieren, Fehler passieren können, und dass auch für diese Fälle soweit vorgesorgt sein muss. Eine Woche lang waren diese Daten frei zugänglich. Da haben also auch alle Kontrollsysteme völlig versagt.

lädt ...
melden
reibungslos (15.310 Kommentare)
am 25.01.2023 18:16

Do kau ma nix mochn.

lädt ...
melden
capsaicin (4.137 Kommentare)
am 25.01.2023 18:15

ein top-job im it-bereich ist ihm sicher...

lädt ...
melden
reibungslos (15.310 Kommentare)
am 25.01.2023 18:43

Ein Haus ausrauben ist keine Kunst, wenn die Haustür offen steht und niemand da ist.

lädt ...
melden
transalp (11.467 Kommentare)
am 25.01.2023 19:38

Ja, und die GIS "gab dem Dieb die Adresse zu diesem Haus"...🤔

lädt ...
melden
not.amused (78 Kommentare)
am 25.01.2023 18:13

Eigentlich wieder so typisch … renommiertes Wiener IT-Unternehmen, das an Subfirmen delegiert, und das wahrscheinlich immer, aber dem Kunden das Doppelte von den Kosten verrechnet, das es selbst an die Subfirmen bezahlt, so kannst du dir mit Nichtstun eine goldene Nase verdienen. Im Gegenzug hört man immer wieder, u. a. vor Kurzem im Mittagsjournal auf Ö1, grad wir in Österreich wären eh unter den Top-Nationen punkto Datensicherheit …
Und dann noch dieser übernommene Artikel von der APA, der sich mit Hackern beschäftigen soll, aber dann was von Blackheads oder Whiteheads zu lesen ist. In Wirklichkeit sinds nämlich White Hats und Black Hats, also nicht der Kopf, sondern im übertragenen Sinn weiße Hüte für „gute“ und schwarze Hüte für „böse“ Hacker. Zumindest diese Termini sollten einem Redakteur schon bekannt sein.

lädt ...
melden
laskpedro (4.033 Kommentare)
am 25.01.2023 17:57

Warum hat die gis Zugriff auf die Meldedaten oder die Kirche für die Kirchensteuer .. dass das legal ist bezweifle ich

lädt ...
melden
meisteral (13.171 Kommentare)
am 25.01.2023 17:57

Ich hoffe, der A.... kommt lange in den Knast und wird mit lebenslangem PC-Handyverbot belegt.

lädt ...
melden
Flavius (467 Kommentare)
am 25.01.2023 18:26

LOL !

lädt ...
melden
Easytotalk (238 Kommentare)
am 25.01.2023 17:56

Wer hat die Anzeige gegen das Datenschutzvergehen eingebracht, es ist nun öffentliches Wissen und hat es damit Anzeigepflicht der Behörden oder schauen bis zu hin zu den DatenschützerInnen alle weg in Österreich?

lädt ...
melden
not.amused (78 Kommentare)
am 25.01.2023 18:16

In diesem Ausmaß doch jeder Behörde komplett egal, die kleinen Unternehmen aber müssen nach Punkt und Komma gefoppt werden bezüglich Cookie-Bannern, DSGVO-Einhaltung usw. XD

lädt ...
melden
espresso.perdue (831 Kommentare)
am 25.01.2023 17:54

Tja, wird die GIS jetzt dafür gerade stehen wenn jemand mit meinen Daten Unfug treibt ?

lädt ...
melden
observer (22.677 Kommentare)
am 25.01.2023 17:48

Eigentlich liegt schon da ein Verstoss vor, weil die Daten aller BürgerInnen die GIS gar nicht hätte haben dürfen. Es müsste untersucht werden, wer diese Datenbank der GIS zugänglich gemacht hat und ob man dazu überhaupt berechtigt war. Wenn nicht, dann muss es Konsequenzen geben. Und damit es auch klar ist, ich bin GIS Zahler seit Urzeiten. Aber Recht muss Recht bleiben. Man sollte doch glauben, dass wir nicht in einer Bananenrepublik leben. Das ist mal das Erste. Das Zweite ist, dass die GIS diese Datenbank an eine Privatfirma zur Bearbeitung weiter gegeben hat. Angeblich war so was üblich, aber das macht es nicht besser und nicht Rechtens. Auch hier müsste es Konsequenzen geben. Ob es welche gibt, das bezweifle ich allerdings. Weswegen sich dann doch die Frage ergäbe, ob wir in einer Bananenrepublik leben. Mir stinkt jedenfalls der ganze Vorgang ganz gewaltig.

lädt ...
melden
NeujahrsUNgluecksschweinchen (30.588 Kommentare)
am 25.01.2023 18:02

Vermutlich wurde das gesetzlich so geregelt, genauso wie dass Kabelbetreiber auch ihre Kundendaten an die GIS abtreten müssen.

lädt ...
melden
picknick (558 Kommentare)
am 25.01.2023 17:44

Mittlerer 4stelliger Eurobetrag. …,. Hoffentlich kein Steuergeld

lädt ...
melden
NeujahrsUNgluecksschweinchen (30.588 Kommentare)
am 25.01.2023 17:32

Warum wurden wir nicht als (Zwangs-)Kunden von der GIS über diesen Datenschutz-Verstoß informiert?

lädt ...
melden
barzahler (7.595 Kommentare)
am 25.01.2023 17:58

Vielleicht die GIS mit Briefen zu diesem Thema befragen. Laut Askunftspflichtgesetz müssen die schriftlich antworten. Die teilstaatliche Post wird sich über Porto freuen.

lädt ...
melden
Hans1960 (314 Kommentare)
am 25.01.2023 19:20

Finde ich eine gute Idee.

lädt ...
melden
Aktuelle Meldungen