Ein Hacker in den Niederlanden hat neun Millionen österreichische Meldedaten gestohlen und im Internet zum Verkauf angeboten. Der Datendiebstahl selbst im Umfeld der GIS wurde bereits im Mai 2020 bekannt, nun ist er auch geklärt: Im vergangenen November wurde ein "ganz dicker Fisch" in den Niederlanden verhaftet, auf dessen Konto der Diebstahl gegangen sein dürfte, wie Experten des Bundeskriminalamtes (BK) am Mittwoch Journalisten mitteilten.

Ziel der GIS: Gebührenvermeider aufspüren

An die Daten war der Hacker durch eine Panne bei einer Wiener IT-Firma gelangt, die die GIS mit der Neustrukturierung ihrer Datenbank beauftragt hatte. Betroffen waren praktisch alle österreichischen Meldedaten, also Namen, Geburtsdaten und Meldeadressen aller Bürger, sagte Klaus Mits, Abteilungsleiter Cyberkriminalität im BK.

Die GIS hatte diese Daten und eine zweite auf Gebäude bezogene Datenbank, um allfällige Rundfunkgebührenvermeider aufzuspüren. Sie beauftragte ein renommiertes Wiener IT-Unternehmen mit der Neustrukturierung dieser Datenbanken und übergab der Firma die Daten. Die BK-Experten betonten, dass das eine durchaus übliche Vorgangsweise sei.

Datenbank ohne Sicherung im Internet

Der Fehler dürfte dann bei dem Subunternehmen geschehen sein: Ein Mitarbeiter der Firma dürfte für eine Teststellung die echten Meldedaten der GIS verwendet haben, und diese Datenbank war so ohne Zugangssicherung im Internet verfügbar, nach Schätzung der BK-Spezialisten etwa für eine Woche.

"Mit einer Suchmaschine hat der Täter die Daten gefunden", schilderte ein BK-Ermittler. Nachsatz: "Über Google findet man die Daten natürlich nicht."

Spur führte über Neuseeland

Das BK erhielt von dem Angebot, das eine zunächst unbekannte Person unter dem Pseudonym "DataBox" im Hackerforum raidforum.com gestellt hatte, über Neuseeland Kenntnis. Mit den neuseeländischen Behörden habe es daher auch eine gute Kooperation gegeben, betonte das BK. Die Fahnder kauften daraufhin – verdeckt – die Daten um einen mittleren vierstelligen Betrag und brachten so die Klärung des Falles ins Rollen.

In mehreren ziemlich umfangreichen Ermittlungsschritten – unter anderem wurde ein Server in Deutschland sichergestellt, von dem der Täter Daten heruntergeladen hatte – kam man auf die Identität des Mannes, eines 25-jährigen niederländischen Staatsbürgers. Auch über die Zahlung – das Geld für die Daten wurde in Kryptowährung überwiesen – kamen die Ermittler ihm auf die Spur. "Jede Transaktion von Bitcoins zum Beispiel ist offen erkennbar. Die Kunst ist, von diesen Internetdaten auf reale Personen zu kommen", erläuterte der BK-Spezialist.

Auch Patientendaten angeboten

Das Bundeskriminalamt kontaktierte die niederländischen Behörden. Die weitere Klärung des Falles erfolgte in enger Zusammenarbeit und zog weit größere Kreise als den Verkauf der Meldedaten aus Österreich. Denn der 25-Jährige hatte offenbar rund 130.000 Datenbanken in seinem "Portfolio". Neben Österreich stammten die Daten unter anderem aus den Niederlanden, Thailand, China, Kolumbien und Großbritannien. Offenbar bot er auch Patientendaten – aus den anderen genannten Nationen – an, wie die niederländischen Behörden am Mittwoch in einer Aussendung mitteilten.

Innenminister Gerhard Karner (ÖVP) und BK-Direktor Andreas Holzer gratulierten den Ermittlern: "Die stark wachsende Cyberkriminalität wird auch in Zukunft mit aller Vehemenz und auch neuen Methoden bekämpft werden", sagte Karner. "Anhand dieses Falles zeigt sich, wie wichtig und notwendig die Ermittlungen im Cyberspace sind. Unsere Ermittlerinnen und Ermittler haben das Know-how, und kein Täter sollte sich sicher sein, in der Anonymität des Internets verschwinden zu können", betonte Holzer. (APA, 25.1.2023)