Sie sind hier:

Inkasso-Hack - Alte Sicherheitslücken sind ein Risiko

Datum:

Hacker haben bei einem Schweizer Inkassounternehmen persönliche Daten von Schuldnern erbeutet. Sie nutzten eine bekannte Sicherheitslücke. Das kann auch in Deutschland passieren.

Cyber-Angriff
Sicherheitslücken werden mittlerweile über Handelsplattformen gehandelt. Quelle: reuters

Inkassounternehmen sind für Hacker die dunkle Seite der Macht. Ziemlich regelmäßig weisen sie diesen Firmen schludrigen Umgang mit Schuldnerdaten nach. Doch in vielen Fällen werden die Sicherheitslücken einfach nicht geschlossen. So haben auch die Online-Kriminellen bei der Schweizer Tochter der EOS-Gruppe eine gut bekannte Sicherheitslücke ausgenutzt. Damit konnten sie 33.000 Dateien mit Namen und Adressen von Schuldnern, der Höhe der Forderung, eingescannten Ausweispapieren und sogar Krankenakten erbeuten.

Cyberattacken brauchen Sicherheitslücken

Der Angriff der Online-Kriminellen war nicht einmal sonderlich kreativ. Sie haben eine Schadsoftware verwendet, die schon mehrfach im Einsatz war. Jede Schadsoftware braucht Sicherheitslücken in den verwendeten Computerprogrammen und Betriebssystemen.

Die beim Schweizer Inkassounternehmen genutzten Sicherheitslücken wurden schon bei drei Online-Angriffen während der vergangenen Monate genutzt. Das macht solche Angriffe so gefährlich. Denn solche Cyberattacken sind auch jederzeit bei Inkassounternehmen in Deutschland oder anderen Firmen, die persönliche Daten verarbeiten, möglich. Constanze Kurz, Sprecherin des Chaos Computer Clubs, ordnet das im Gespräch mit heute.de ein.

heute.de: Kann solch ein Hack wie beim Inkassounternehmen der EOS-Gruppe in der Schweiz auch bei Unternehmen wie der Creditreform in Deutschland passieren?

Constanze Kurz: Als Betroffene, die mit diesen Unternehmen zu tun haben, können wir nur hoffen, dass diese Unternehmen ausreichende IT-Sicherheit haben. Die großen Datenabflüsse haben häufig strukturelle Ursachen. Da werden nicht selten schlimme handwerkliche Fehler gemacht. Es gibt mehr Sensibilität für Fragen der IT-Sicherheit. Große Unternehmen tun mehr als früher, auch weil stärker über Sicherheitsvorfälle berichtet wird. Aber sicher fühle ich mich auch da nicht.

heute.de: Wird hier denn die Europäische Datenschutzgrundverordnung etwas ändern? Immerhin drohen den Unternehmen bei solchen Datenabflüssen hohe Strafen.

Kurz: Ich halte es für eine gute Entwicklung, dass hier hohe Strafen drohen. Das ist ein marktwirtschaftlicher Anreiz, die IT-Systeme zu verbessern. Aber die Datenschutzgrundverordnung ist ja in erster Linie dem Datenschutz gewidmet und nicht der Datensicherheit. Denn diese Datenabflüsse haben nicht so viel mit Datenschutz zu tun, eher mit einer mangelnden Pflege der IT-Sicherheit. Da müssen wir noch mehr tun.

heute.de: Allzu oft werden ja bereits bekannte Sicherheitslücken genutzt. Lernen die Unternehmen da zu wenig?

Kurz: Wir haben es oft mit bekannten Sicherheitslücken zu tun. Aber während der vergangenen Jahre sind die Angriffsmethoden effizienter geworden. Spätestens seit WannaCry wissen wir, dass hier auch die Geheimdienste Schuld haben. Es werden ja Sicherheitslücken genutzt, die von den Geheimdiensten kommen. Und die haben einfach nicht ordentlich auf ihre Sicherheitslücken aufgepasst.

heute.de: Wie kommen Online-Kriminelle dann an solche Sicherheitslücken der Geheimdienste?

Kurz: Die werden gehandelt. Auf diesen Handelsplattformen sind Geheimdienste und die organisierte Kriminalität tätig. Das läuft stark über solche Handelsplattformen.

heute.de: Was müssen wir da tun, um so etwas künftig zumindest zu erschweren?

Kurz: Wir müssen über die Verantwortung derjenigen sprechen, die Sicherheitslücken horten, also über die Verantwortung der Geheimdienste. Da ist die politische Diskussion noch nicht da angekommen, wo sie sein sollte. Bisher gibt es ja nicht mal Regeln, die beim Bau staatlicher Spionagesoftware beachtet werden müssten.

Um unser Web-Angebot optimal zu präsentieren und zu verbessern, verwendet das ZDF Cookies. Durch die weitere Nutzung des Web-Angebots stimmen Sie der Verwendung von Cookies zu. Näheres dazu erfahren Sie in unserer Datenschutzerklärung.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Abonniert auf Mein ZDF! Abo beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert

Sie wechseln in den Kinderbereich und bewegen sich mit Ihrem Kinderprofil weiter.