GIS beugt sich Hackern und gesteht Datenleck ein

Der Angriff auf die Website und Kundendatenbank des Gebühreninformationsservice (GIS, vormals Gebühren-Inkasso-Service) des ORF zieht weitere Folgen nach sich. Die zum weltweit aktiven, losen Anonymous-Kollektiv gehörenden Hacker hatten der GIS ein Ultimatum gestellt: Sollte bis Montag 18.00 Uhr nicht bekannt gegeben werden, welche Daten abhanden gekommen seien, würden sie ihre eigenen Funde veröffentlichen. Die GIS hat inzwischen reagiert.

In einer Aussendung gab das Unternehmen bekannt, dass rund 214.000 Datensätze gestohlen worden seien, davon 96.000 mit Bank-Kontodaten. Zuvor hatten die Hacker über den Twitter-Account @AnonAustria verkündet, 211.695 Kundendaten gekapert zu haben, davon 95.954 mit Bankdaten. Auf einer separaten Website wurde ein Countdown eingerichtet, begleitet von einer auffälligen Musikuntermalung mit dem Text "tactical nuke incoming".

GIS verneint Reaktion auf Ultimatum

Die Hacker wollten beweisen, dass die GIS das Ausmaß des Datenlecks vertuschen will. Die GIS hatte zunächst vehement dementiert, dass die Angreifer eine Kopie der Datenbank angelegt haben könnten. Die gesamte Kundendatenbank mit 3,5 Millionen Einträgen würde auf einem anderen Server liegen, erklärte GIS-Sprecher Herbert Denk. Im Gespräch mit DiePresse.com verneinte Denk, dass die Bekanntgabe als Reaktion auf das Ultimatum von Anonymous geschehen sei. Die GIS werde alle betroffenen Kunden persönlich kontaktieren und ein neues Sicherheitskonzept erarbeiten. Für besorgte Kunden wurde die Hotline 0810/001080 eingerichtet.

Auf welchem Server liegen welche Daten?

Die Hacker wollen Kundeninformationen aus dem Zeitraum von April 2007 bis Juli 2011 in ihrem Besitz haben. Die GIS selbst bestätigte nur, dass Daten ab dem Jahr 2007 betroffen seien. Und dort auch nur, wenn sich Kunden über die Website angemeldet haben. Prinzipiell stellt sich die Frage, wo welche Daten von der GIS abgespeichert werden. Anonymous hatten etwas mehr als 100 Kundendaten bereits veröffentlicht, die sie über einen Angriff auf den Webserver des Unternehmens besorgt hatten. Dabei zeigte sich, dass diese auf dem GIS-Server unverschlüsselt abgelegt worden waren. Die Hacker selbst hatten Teile der Kontonummern unkenntlich gemacht. Über eine Verbindung zwischen der Datenbank des Webservers und der Kundendatenbank mit 3,5 Millionen Einträgen kann bisher nur spekuliert werden.

Simpler Angriff

Unterdessen wird immer deutlicher, wie leicht der Daten-Raub passieren konnte: „Das Tool, das die Hacker verwendet haben, ist bekannt. Jeder der sich ein bisschen mit dem Betriebssystem Linux auskennt, kann es sich herunterladen und an öffentlichen Seiten ausprobieren“, sagte Otmar Lendl, Teamleiter von österreichischen Computer Emergency Response Team (CERT) zu DiePresse.com. Lendl ist gemeinsam mit einem Kollegen an der Behebung der Sicherheitslücke der GIS zuständig. Generell stellen Experten Österreichs Unternehmen schlechte Sicherheitszeugnisse aus.

Auskunft bei GIS einfordern

Hätte die GIS nicht reagiert, hätten die Hacker von AnonAustria die Daten nur stark zensiert veröffentlichen wollen.. Die "Zwangskunden" seien nicht das Ziel ihrer Bemühungen, gaben sie bekannt. Man wolle vielmehr darauf aufmerksam machen, wie sorglos die GIS mit den Daten umginge. Gleichzeitig veröffentlichten die Anonymous-Mitglieder einen Musterbrief, mit dem GIS-Kunden eine Auskunft nach dem Datenschutzgesetz über die Art und Weise, wie ihre Daten abgelegt werden, verlangen können.

(db)