Sturm der Empörung über Datenklau

[Detlef]

Wie das passieren müsste, ist längst bekannt.
Das Dilemma hat hauptsächlich einen Namen!
Der wird aber in den ganzen Berichten etc. gemieden wie... der Teufel das Weihwasser meidet
- was Lobbyismus so alles anrichtet.
https://www.youtube.com/watch?v=_ZaDuinGf2o

[Cratz3r]

Es gibt Neuigkeiten: der Urheber des ganzen wurde ausfindig gemacht und gestern vernommen.

Der 20-jährige Beschuldigte hat die gegen ihn erhobenen Vorwürfe umfassend eingeräumt und über die eigenen Straftaten hinaus Aufklärungshilfe geleistet. Die vorläufige Festnahme wurde aufgehoben.
In seiner Vernehmung gab der Beschuldigte an, aus Verärgerung über öffentliche Äußerungen der vom Datendiebstahl betroffenen Personen gehandelt zu haben. Die sichergestellten Beweismittel, insbesondere Computer und Datenträger, werden derzeit umfassend ausgewertet.
Quelle: BKA

Es scheint, als ob dieser Wunsch

Ich schlage vor, man bietet den Hackern einen Deal an: Wer zukünftig für die Regierung arbeitet anstatt dagegen, wird von den Strafverfolgungsbehörden nicht belangt.

vielleicht sogar tatsächlich in Erfüllung geht, da er wie beschrieben "über die eigenen Straftaten hinaus Aufklärungshilfe geleistet" hat und infolge dessen "mangels Haftgründen [...] auf freien Fuß gesetzt und die vorläufige Festnahme aufgehoben [wurde]". Natürlich geht daraus nicht hervor, ob nicht trotzdem Anklage gegen ihn erhoben wird (jeder einzelne betroffene Politiker und Prominente hat schließlich die Möglichkeit dazu). Aber für mich hört sich das so an, als ob er den Behörden weitergeholfen hat, indem er nicht nur seine eigene Methode dargelegt, sondern darüber hinaus auch weitere Schwachstellen und Sicherheitslücken offen gelegt hat.

Ich für meinen Teil bin froh, dass es nur ein einzelner Angreifer war, der ein paar Politikern und Prominenten, über deren Äußerungen er sich geärgert hat, eins auswischen wollte. Dass einem 20jährigen so etwas gelingt und er damit ein ganzes Land aufschrecken lässt, ist zwar ein Armutszeugnis für unsere IT-Sicherheit (spricht jedoch auch sehr für die Fähigkeiten dieses jungen Mannes) - aber lieber ein solcher harmloser Warnschuss, als wenn man tatsächlich Opfer einer organisierten Gruppierung wird, die im schlimmsten Fall sogar Interessen anderer Nationen verfolgt und derart "erhobene" Daten und Informationen dann zu unserem politischen oder wirtschaftlichen Nachteil einsetzt. Ich fürchte, nach dieser eher harmlosen Auflösung wird das Thema nun wieder relativ schnell an Brisanz verlieren, aber ich hoffe, dass die betroffenen Stellen und vielleicht auch der eine oder andere Politiker trotzdem etwas daraus lernen und diese Lektionen vielleicht auch in ihr zukünftiges Handeln einfließen lassen.

LG

[Magdalena61]

Wie das passieren müsste, ist längst bekannt.
Das Dilemma hat hauptsächlich einen Namen!
Der wird aber in den ganzen Berichten etc. gemieden wie... der Teufel das Weihwasser meidet
- was Lobbyismus so alles anrichtet.
https://www.youtube.com/watch?v=_ZaDuinGf2o

Muß ich jetzt 44 Minuten Video anschauen, um zu erfahren, was du uns mitteilen möchtest?
("Nebenbei" mache ich Hausarbeit... )
Könntest du uns mit einigen Sätzen die Botschaft des Videos erklären?

Möchtest du sagen, es liegt am System? (Microsoft only)
LG

[Magdalena61]

Es gibt Neuigkeiten: der Urheber des ganzen wurde ausfindig gemacht und gestern vernommen.

Das war EINER? Einer alleine?

In seiner Vernehmung gab der Beschuldigte an, aus Verärgerung über öffentliche Äußerungen der vom Datendiebstahl betroffenen Personen gehandelt zu haben.

Laut Innenministerium sind etwa 1000 Internetnutzer, deren Daten ausgespät wurden, betroffen.
Das sind ja mehr Leute als Abgeordnete im Bundestag sitzen.
Und die alle sollen öffentlich etwas gesagt haben, das dem jungen Mann mißfiel?
Mir scheint, die Presseagenturen oder diejenigen, die sie füttern, sollten sich etwas Besseres ausdenken.

Der Hacker muß ja Tag und Nacht gearbeitet haben.

Ich schlage vor, man bietet den Hackern einen Deal an: Wer zukünftig für die Regierung arbeitet anstatt dagegen, wird von den Strafverfolgungsbehörden nicht belangt.

vielleicht sogar tatsächlich in Erfüllung geht, da er wie beschrieben "über die eigenen Straftaten hinaus Aufklärungshilfe geleistet" hat und infolge dessen "mangels Haftgründen [...] auf freien Fuß gesetzt und die vorläufige Festnahme aufgehoben [wurde]".

Das ist das einzige Vernünftige, das sie machen können.
Der Hacker kennt die Lücken, durch die er reingekommen ist. Zumindest diese Löcher können dann gezielt bearbeitet werden.

Natürlich geht daraus nicht hervor, ob nicht trotzdem Anklage gegen ihn erhoben wird (jeder einzelne betroffene Politiker und Prominente hat schließlich die Möglichkeit dazu).

Jeder Einzelne.... könnte sich auch fragen, was er selbst dazu beitragen könnte, um seine Daten sicherer zu verpacken.
In diese Überlegungen müssten auch Bekannte und Verwandte der Politiker mit einbezogen werden, so weit sie private Daten auf ihren PCs und Handys gespeichert haben, denn diese könnten ja auch gehackt werden.

Aber für mich hört sich das so an, als ob er den Behörden weitergeholfen hat, indem er nicht nur seine eigene Methode dargelegt, sondern darüber hinaus auch weitere Schwachstellen und Sicherheitslücken offen gelegt hat.

Hm, ja.

Wie ich so nachdachte, konnte ich mir nicht vorstellen, dass die Regierung nur "unfähige" Leute hat, die nicht imstande sind, Schäden dieser Art erfolgreich abzuwehren ... und meine Ahnung wurde bestätigt:

Sicherheitsbehörden haben Interesse an Verletzlichkeit von IT-Sicherheit

.... alle Geheimdienste kaufen Sicherheitslücken. Und Sicherheitslücken werden eben entdeckt in bestimmten Programmen. Und da gibt es einen veritablen Schwarzmarkt. Und wenn ich jetzt jemanden ausspionieren möchte oder Informationen gewinnen, wie Dienste das nennen, dann hilft eben genau eine solche Lücke wie jetzt diese Microsoft-Lücke, um auf Computer zu gelangen. Und auch Staaten und auch Deutschland, das Bundesamt für Verfassungsschutz, kaufen solche Lücken an – nicht um sie zu schließen, sondern um sie offenzuhalten, um eben selbst im Zweifelsfall auf bestimmten Rechnern Informationen gewinnen zu können.
deutschlandfunk.de

Wer hat das gesagt?
Konstantin von Notz, Grünen- Politiker.
Wann?
Der Artikel ist vom 13. 05. 2017

Und heute?
-- S.o.
Ein Hacker hat die offenen Ports oder was auch immer gefunden und sein Wissen nicht auf dem Schwarzmarkt verkauft, sondern der Obrigkeit und den Bürgern demonstriert, was möglich ist.
LG

[Cratz3r]

Es gibt Neuigkeiten: der Urheber des ganzen wurde ausfindig gemacht und gestern vernommen.

Das war EINER? Einer alleine?

In seiner Vernehmung gab der Beschuldigte an, aus Verärgerung über öffentliche Äußerungen der vom Datendiebstahl betroffenen Personen gehandelt zu haben.

Laut Innenministerium sind etwa 1000 Internetnutzer, deren Daten ausgespät wurden, betroffen.
Das sind ja mehr Leute als Abgeordnete im Bundestag sitzen.
Und die alle sollen öffentlich etwas gesagt haben, das dem jungen Mann mißfiel?
Mir scheint, die Presseagenturen oder diejenigen, die sie füttern, sollten sich etwas Besseres ausdenken.

Der Hacker muß ja Tag und Nacht gearbeitet haben.

Das scheint mir schon realistisch, ich begründe das gleich ein bisschen ausführlicher. Zudem muss man berücksichtigen, dass er damit ja in der Vernehmung sein offizielles Motiv dargelegt hat. Selbst wenn er nur aus Spaß, Abenteuerlust oder "um einfach mal ein bisschen Chaos anzurichten" (oder sogar aus Böswilligkeit, aber das möchte ich ihm nun nicht unterstellen) diese Dateien ausgelesen und veröffentlicht hat, kommt es vor Geschworenen doch besser, wenn man seinen Handlungen ein politisches Motiv verleiht. Ich könnte mir durchaus vorstellen, dass ihm ein Anwalt dazu geraten hat, denn das ist noch eine der besten Begründungen, die man in diesem Fall bringen kann.

Die Quelle ist übrigens keine Presseagentur, sondern das Bundeskriminalamt selbst in einer offiziellen Meldung zur Vernehmung.

Dass er Tag und Nacht gearbeitet hat, glaube ich nicht. Seine Aussagen über die Vorgehensweise sind zwar nicht öffentlich gemacht worden (und werden es vermutlich auch nicht - sonst kommen die ganzen Trittbrettfahrer ), aber man hat bereits am Freitag vermutet, dass einer oder mehrere Outlook-Accounts der Abgeordneten gehackt wurden. Das ist insofern eine begründete Annahme, als dass bereits Anfang letzten Jahres bestätigt wurde, dass das Bundestags-Netzwerk 2017 monatelang über Outlook angegriffen wurde. Womöglich handelt es sich sogar um ein und denselben Hacker, da ja viele Daten veraltet sind und teilweise schon Ende 2017 veröffentlicht wurden. Von dieser Annahme ausgehend wäre das auch eine sinnvolle Erklärung dafür, dass keine AfD-Mitglieder betroffen sind, da diese zum Zeitpunkt der Angriffe noch nicht im Bundestag waren.

Nun hören sich 1000 Datensätze erst mal nach viel an, aber man muss sich auch anschauen, was diese überhaupt enthalten. Vom allergrößten Teil der Betroffenen wurde laut einer Auflistung von T-Online nur die Telefonnummer veröffentlicht. Und dazu muss man nicht zwingend jeden Abgeordneten einzeln hacken. Wenn man einmal einen E-Mail-Account geknackt hat, kann man auch direkt sämtliche Daten aus dem Adressbuch auslesen - und so dürfte der allergrößte Teil der Daten zusammengekommen sein. Wie man in der Auflistung sehen kann, wurden dann von einigen wenigen ausgewählten Abgeordneten noch weitere Daten veröffentlicht wie private Fotos, Kontoauszüge, Kreditkarteninformationen, Kopien von Dokumenten etc.. Das sind die Fälle, in denen der Hacker tatsächlich etwas tiefer schürfen musste.

Ich habe mir mal die Mühe gemacht und bin das für die CDU/CSU durchgegangen, da diese mit 426 Betroffenen fast die Hälfte der Opfer "stellt". Ich beziehe mich dabei auf die bei T-Online veröffentlichte Auflistung. Hier wurden von 411 Personen ausschließlich Kontaktdaten (Telefon, nicht immer aber teilweise zusätzlich noch Adresse, Fax und/oder E-Mail) veröffentlicht, wie man sie in jedem Adressbuch schnell vorfindet. In 15 Fällen (nennen wir sie mal die Hauptopfer) wurden dann darüber hinaus noch sensiblere Daten wie ich sie oben beschreibe veröffentlicht.
Ich habe das jetzt nicht auch noch für die anderen Parteien gemacht, da mir die Zählerei irgendwann zu blöd wird (wer Zeit und Lust hat, kann das gerne nachholen und uns dann hier über die Zahlen informieren ). Aber wenn man davon ausgeht, dass sich die Quote der Hauptopfer so bei den anderen Parteien fortsetzt, kommen wir bei den insgesamt 1000 Fällen auf ca. 40 Personen, die wirklich tiefgehend durchleuchtet wurden. Und in dieser Dimension macht die Aussage des Hackers wieder Sinn, dass er gezielt Personen des öffentlichen Lebens angegriffen hat, die ihn in der Vergangenheit mit ihren Aussagen verärgert haben (die Kontaktinfos der ganzen anderen Abgeordneten waren quasi ein Nebenprodukt, das sowieso anfiel, also kann man das auch gleich mit veröffentlichen ). Bei 40 Personen kann man das in wenigen Monaten gut schaffen (laut Präsident des BKA betrieb der Angreifer das sogar über ein ganzes Jahr hinweg), vor allem da mit Sicherheit auch Faulpelze dabei waren, die für E-Mail, Facebook und weiteres überall das gleiche Passwort verwendet haben - wenn man da einmal das Passwort vom E-Mail-Account hat, kommt man auch bei allem anderen rein.

Alles in allem halte ich das ganze also auf Basis der bekannten Informationen für nachvollziehbar und muss dem 20jährigen Hacker, der offenbar noch Schüler ist und bei seinen Eltern wohnt meinen Respekt aussprechen - nichtsdestotrotz ist das natürlich trotzdem eine Straftat.

Jeder Einzelne.... könnte sich auch fragen, was er selbst dazu beitragen könnte, um seine Daten sicherer zu verpacken.
In diese Überlegungen müssten auch Bekannte und Verwandte der Politiker mit einbezogen werden, so weit sie private Daten auf ihren PCs und Handys gespeichert haben, denn diese könnten ja auch gehackt werden.

Das stimmt. Ich fände es auch sinnvoll, wenn in den Schulen mehr Medienkompetenz vermittelt würde, damit man schon von Beginn seiner "digitalen Karriere" an einen sinnvollen und sicheren Umgang mit dem Internet erlernt.

Wie ich so nachdachte, konnte ich mir nicht vorstellen, dass die Regierung nur "unfähige" Leute hat, die nicht imstande sind, Schäden dieser Art erfolgreich abzuwehren ... und meine Ahnung wurde bestätigt:

Sicherheitsbehörden haben Interesse an Verletzlichkeit von IT-Sicherheit

.... alle Geheimdienste kaufen Sicherheitslücken. Und Sicherheitslücken werden eben entdeckt in bestimmten Programmen. Und da gibt es einen veritablen Schwarzmarkt. Und wenn ich jetzt jemanden ausspionieren möchte oder Informationen gewinnen, wie Dienste das nennen, dann hilft eben genau eine solche Lücke wie jetzt diese Microsoft-Lücke, um auf Computer zu gelangen. Und auch Staaten und auch Deutschland, das Bundesamt für Verfassungsschutz, kaufen solche Lücken an – nicht um sie zu schließen, sondern um sie offenzuhalten, um eben selbst im Zweifelsfall auf bestimmten Rechnern Informationen gewinnen zu können.
deutschlandfunk.de

Wer hat das gesagt?
Konstantin von Notz, Grünen- Politiker.
Wann?
Der Artikel ist vom 13. 05. 2017

Und heute?
-- S.o.
Ein Hacker hat die offenen Ports oder was auch immer gefunden und sein Wissen nicht auf dem Schwarzmarkt verkauft, sondern der Obrigkeit und den Bürgern demonstriert, was möglich ist.

Oh, interessant. Das wusste ich in der Form noch nicht. Es macht Sinn, sich selbst die Hintertüre offen zu lassen, aber dann sollte man doch auch schauen, dass man einen Stolperdraht aufstellt, falls jemand durch diese in das eigene Haus einbrechen will.

LG

[malio]

@Cratz3r, Danke für deinen Beitrag. Liest sich sehr erhellend. Mal sehen, was politisch und medial daraus gemacht wird.

[Cratz3r]

Danke @malio. Ich bin auch gespannt, wie das jetzt verwertet wird. Ich könnte fast wetten, dass auch bald wieder Verschwörungstheorien entstehen, die das ganze der AfD und/oder rechten Gruppierungen zuschieben, weil die AfD als einzige Partei nicht betroffen ist.

Ich möchte übrigens noch kurz etwas hierzu ergänzen:

Wie ich so nachdachte, konnte ich mir nicht vorstellen, dass die Regierung nur "unfähige" Leute hat, die nicht imstande sind, Schäden dieser Art erfolgreich abzuwehren ...

Wenn ich mich hier manchmal amüsiert über den desolaten Zustand unserer IT-Sicherheit äußere, ist es natürlich in keinster Weise meine Absicht, damit den Technikern und Informatikern im Staatsdienst ihre Kompetenz abzusprechen - damit würde ich mir quasi selbst ins Bein schießen.
Es ist mehr so, dass ihnen die Mittel, Infrastrukturen, Technologien und das Personal fehlen um diese Sicherheitsaufgaben angemessen durchführen zu können. Wie auch bei Bundeswehr und Polizei wird dieser Bereich auf finanzieller Sparflamme gehalten, da er nicht wichtig genug erscheint - was dazu führt, dass motivierte und engagierte Spezialisten ihre Arbeit nicht richtig machen können. Deshalb kann man wie gesagt von Glück reden, dass wir diesmal nur von einem Schüler vorgeführt wurden. Ich hoffe, dass die Botschaft bei den entscheidenden Ebenen langsam mal angekommen ist.

LG

[Detlef]

Muß ich jetzt 44 Minuten Video anschauen, um zu erfahren, was du uns mitteilen möchtest? ("Nebenbei" mache ich Hausarbeit... )

Es reicht aus, sich das als "Hörspiel" nebenbei" neben der Hausarbeit zu geben

Könntest du uns mit einigen Sätzen die Botschaft des Videos erklären? Möchtest du sagen, es liegt am System? (Microsoft only) LG

Überrascht dich das jetzt?

[malio]

Nun war es doch kein Terrorist, kein IS-Kämpfer, kein Russe und auch kein Chinese... nicht mal über die NSA kann man sich wieder aufregen. Im Gegenteil... ein Amtshilfegesuch bei der NSA und zack "Klappe zu, Affe tot".

Die üblichen Verdächtigen sind alle weg und als der Nebel sich lichtete, der Staub sich legte, saß da ein ertappt-grinsender Jüngling mit Politikfrust und Prominentenneid. Die Kommentare in der Presseschau heute morgen wirkten fast enttäuscht. Eine gute Menge an geklauter Daten war nicht einmal geklaut, sondern lediglich aus öffentlich zugänglichen Quellen zusammengetragen.

Ich kann es mir lebhaft vorstellen. Kampfhubschrauber über dem Haus, gepanzerte Sondereinheit, gestürmtes Wohnzimmer, verdutzte Mutter beim Pilates erwischt und Vaddern mit nem Bier fällt vom Sofa als die Haustür aus dem Rahmen gebrochen quer durch den Hausflur scheddert. Sohnemann in Shirt und Shorts vor dem Rechner bei einer Partie Fortnite, sieht sich plötzlich einer Phalanx an HK MP7 Gewehren gegenüber. Augen aufgerissen rinnt ihm der Rest an Energy-Drink aus dem Mundwinkel und die Dose klötert unchamant vom Tisch.

[thomas4]

Vor etlichen Jahren schon hat mal eine französische Zeitung allein aus den öffentlich zugänglichen Daten einiger Leute ein Profil erstellt und veröffentlicht. Große Aufregung - und betretene Gesichter, als das Team seine Recherchen offen legte und klären konnte, dass nicht ein Rechner angegriffen und nicht ein Account geknackt worden war.