Opfer in Österreich, China, Kolumbien, den Niederlanden, Thailand und dem Vereinigten Königreich.
Von Paul Ducklin, Security Evangelist bei Sophos
Die Staatsanwaltschaft in den Niederlanden hat Informationen über einen ungenannten Verdächtigen veröffentlicht, der im Dezember 2022 verhaftet wurde, weil er persönliche Daten von mehreren Millionen Menschen gestohlen und verkauft haben soll. Die Opfer sollen in weit entfernten Ländern wie Österreich, China, Kolumbien, den Niederlanden, Thailand und dem Vereinigten Königreich leben liegen. Offenbar sind die Gerichte in diesem Fall sehr streng vorgegangen und haben die Verhaftung von Ende 2022 bis heute geheim gehalten und den Verdächtigen nicht auf Kaution freigelassen.
Gegen den Verdächtigen wird wegen mehrerer Straftaten ermittelt: Besitz oder Veröffentlichung "nichtöffentlicher" Daten, Besitz von Phishing-Software und Hacker-Tools, Computer-Hacking und Geldwäsche. Die Staatsanwaltschaft geht davon aus, dass er im Jahr 2022 Kryptowährungen im Wert von fast einer halben Million Euro gewaschen hat. Wir gehen daher davon aus, dass das Gericht ihn als fluchtgefährdet einstufte und entschied, dass er im Falle seiner Freilassung in der Lage sein könnte, Beweise zu vernichten, und vermutlich dachte, dass er versuchen könnte, andere in den Cybercrime-Foren, in denen er aktiv war, zu warnen, damit sie ebenfalls ihre Spuren verwischen.
Österreichische Behörden aktiv an Ermittlungen beteiligt
Interessanterweise wurden die Ermittlungen durch das Auftauchen eines millionenschweren Verstecks persönlicher Daten österreichischer Bürger in einem Cybercrime-Forum ausgelöst. Es stellte sich heraus, dass diese Datensätze eine gemeinsame Quelle hatten: das Unternehmen, das für die Einziehung der Rundfunk- und Fernsehgebühren in Österreich zuständig ist. Die österreichische Polizei ging offenbar verdeckt vor, um selbst eine Kopie der gestohlenen Daten zu kaufen, und ermittelte dabei (ihre Ermittlungsmethoden wurden nicht offengelegt) eine IP-Nummer, die mit dem Benutzernamen in Verbindung stand, mit dem sie im Dark Web zu tun hatten. Diese IP-Nummer führte nach Amsterdam, wo die niederländische Polizei die Ermittlungen weiterführte.
Sicht der niederländischen Behörden
Das Team hat starke Hinweise darauf, dass der Verdächtige unter diesem Benutzernamen operierte und dass er seit langem unter diesem Namen nicht-öffentliche beziehungsweise persönliche Daten - einschließlich Patientendaten aus Krankenakten - in dem Forum gegen Bezahlung angeboten hatte. [...]
Durch den Diebstahl großer Mengen digitaler Daten, die Verknüpfung verschiedener Datenbanken und den Handel mit diesen Daten wissen immer mehr Kriminelle, wo eine Person wohnt, welche Bankgeschäfte sie tätigt, welches Auto sie hat, wie ihr Passwort lautet, welche Telefonnummern sie hat, wo sie arbeitet, zur Schule geht usw. Wo man früher wochenlang Menschen beobachten musste, um das richtige Opfer zu identifizieren, genügt heute ein Knopfdruck.
Wie geht es weiter?
Sophos wird weiterhin über diesen Fall informieren. Sicher ist, dass die niederländische Polizei und die Staatsanwaltschaft das Interesse nicht verlieren werden, denn das Ministerium schließt seine Mitteilung mit diesen Worten ab:
Diese Art von kriminellen Handlungen verletzt nicht nur in grober Weise die Privatsphäre von Millionen von Menschen, sondern verursacht auch finanzielle Schäden für Einzelpersonen und Unternehmen. Polizei und Staatsanwaltschaft sind entschlossen, diese komplexe Form der Kriminalität zu bekämpfen, indem sie Cyber-Kriminelle aufspüren und strafrechtlich verfolgen.
Wir fragen uns jedoch, ob das österreichische Unternehmen, das die Rundfunk- und Fernsehgebühren eintreibt, nicht das Interesse von Ermittlern anderer Art auf sich zieht, dieses Mal von den österreichischen Datenschutzbehörden und nicht von der Polizei.
Obwohl Unternehmen, die von Datenschutzverletzungen betroffen sind, unbestreitbar selbst Opfer von Cyberkriminalität sind, bekommen sie manchmal selbst rechtliche Probleme, wenn die Aufsichtsbehörde der Meinung ist, dass sie mehr zum Schutz ihrer Kunden hätten tun können und müssen. Schließlich sind, wie die niederländischen Staatsanwälte betonen, die Personen, deren Daten tatsächlich gestohlen werden, die Hauptopfer.