Für Christie’s kam die Cyberattacke zu einem ungünstigen Zeitpunkt. Just wenige Tage vor den in New York anberaumten wichtigen Auktionen moderner und zeitgenössischer Kunst mit einem Gesamtschätzwert von mehr als 840 Millionen Dollar sowie den Sales hochkarätiger Juwelen und Armbanduhren in Genf war die Website von Christie’s plötzlich nicht mehr aufrufbar: jene geschäftsrelevante Plattform also, über die die Angebote der Sparten mit detaillierten Beschreibungen der Objekte für potenzielle Käufer einsehbar sind und bei den Versteigerungen auch Gebote abgegeben werden können.
Ein "technisches Sicherheitsproblem", so der offizielle Wortlaut, das sich am Donnerstagabend, den 9. Mai, manifestierte. Anderntags wurde auf eine temporäre Seite außerhalb der eigenen Domäne umgeleitet: "Wir entschuldigen uns dafür", stand dort zu lesen, man arbeite an einer schnellstmöglichen Behebung und bedaure jegliche Unannehmlichkeiten.
Sicherheitslücke GPS-Daten
Um sich für Auktionen zu registrieren oder Gebote abzugeben, solle man eines der Büros in London, New York, Hongkong oder Paris telefonisch kontaktieren, optional über die allgemeine Infomailadresse. Übers Wochenende wurde sodann eiligst das aktuelle Auktionsangebot upgeloadet: mit Abbildungen der Objekte, dazu der Schätzpreis und kurze Katalogtexte – Provenienzangaben, Ausstellungsvita oder Literaturangaben fehlten.
Nach außen war das Unternehmen um Beruhigung bemüht, allen voran CEO Guillaume Cerutti, der Kundinnen und Kunden via E-Mail einen reibungslosen Ablauf der Versteigerungen avisierte und insofern Einblick in das Sicherheitsproblem gewährte, als er die Offlinenahme der Website als "proaktiven Schutz" bezeichnete.
War dieser Maßnahme ein Erpressungsversuch von Hackern vorausgegangen? Welche internen Systeme des Auktionshauses waren außerdem von dem Angriff betroffen? Und vor allem: Gab es einen Zugriff auf personenbezogene Daten gegenwärtiger oder ehemaliger Kunden? Letzteres wäre den Behörden zu melden, sobald konkrete Erkenntnisse darüber vorliegen. Der Abschlussbericht externer IT-Experten soll demnächst vorliegen.
Unabsehbare Folgen
Vorerst sind das Ausmaß und etwaige Folgen nicht absehbar. Nach zehn Tagen waren sowohl die Website als auch die App wieder verfügbar. Fragen bleiben, denn bereits im vergangenen Jahr war eine veritable Schwachstelle in den Cybersicherheitsvorkehrungen bei Christie’s bekannt geworden. Konkret hatten deutsche IT-Sicherheitsforscher von Zentrust Partners entdeckt, dass von potenziellen Einlieferern für eine Schätzung upgeloadete Fotos von Kunstwerken offen im Netz abrufbar waren.
Einem Spiegel-Bericht zufolge soll bei hunderten Aufnahmen der exakte Standort in den Dateien mit abgespeichert gewesen sein, womit die Werke relativ genau lokalisierbar waren. Bekanntlich hinterlegen zahlreiche Kameras oder Smartphones die entsprechenden GPS-Daten automatisch in den Metadaten. Kriminelle hätten schnell herausgefunden, wo sich wertvolle Gemälde oder Schmuck befinden, die Christie’s schätzen oder verkaufen sollte.
Die Sicherheitslücke wurde geschlossen, wenn auch mit zeitlicher Verzögerung, wie Martin Tschirsich, Geschäftsführer von Zentrust Partners, in einem Blogbeitrag rückblickend kritisiert.
Mehr Angriffsfläche denn je
So viele Vorteile die Digitalisierung des Geschäftsalltags auch mit sich bringt, bietet sie zeitgleich mehr Angriffsfläche denn je. Die schrittweise Verlagerung des realen Lebens in die virtuelle Welt hat Cyberkriminellen längst den Nährboden bereitet, gerade auch in der Kunst- und Kulturszene.
2022 waren etwa die Metropolitan Opera oder das Philadelphia Orchestra mit Online-Attacken konfrontiert. Der British Library stahl eine Ransomware-Gruppe wiederum persönliche Daten und veröffentlichte später Aufnahmen von Personalakten.
Im Jänner wurde das Softwareunternehmen Gallery Systems Opfer eines Cyberangriffs, der sich auf Hunderte von Kunstinstitutionen auswirkte, darunter zahlreiche US-amerikanische Museen, die die Software zur Verwaltung ihrer Online-Archive und -Sammlungen verwendeten. Wie die New York Times berichtete, verloren einige Museen vorübergehend den Zugang zu ihren TMS-Sammlungsdatenbanken, in denen sensible Informationen wie Sponsoren, Leihverträge oder Lagerorte der Kunstwerke gespeichert werden.
In Österreich wurden bislang keine größeren Vorfälle bekannt, und doch ist die Kunstszene dagegen nicht gefeit. Vor allem die schnellen Transaktionen und größere Geldbeträge, die vergleichsweise unbürokratisch den Besitzer wechseln, machen den Kunsthandel für Cyberkriminelle durchaus attraktiv.
Haftung für Kundendaten
Seit Herbst vergangenen Jahres kommt es bei mehreren Galerien in Wien zu konkreten Anfragen aus dem Ausland, bei denen sich potenzielle Kunden für spezifische Kunstwerke der jeweiligen Website interessieren und durchaus professionell den Kaufpreis in Größenordnungen von 10.000 bis mehr als 100.000 Euro verhandeln, wie der Galerienverband auf STANDARD -Anfrage bestätigt. Im Herbst war dieserart ein gewisser Christopher Matthew Sharp aktiv, aktuell eine Person namens Jennifer Lamb.
Die übermittelte Überweisungsbestätigung oder Ausweiskopie enthält allerdings eine Schadsoftware. Wird das von den Firewalls nicht erkannt und das Attachment oder der Link geöffnet, kommt es zur Sperre des Computers bzw. des Servers mit der Aufforderung, Erpressungsgeld zu zahlen.
Das ist auch insofern tückisch, als man für gespeicherte personenbezogene Daten (unter anderem E-Mail-Adressen von Kunden) aufgrund der Datenschutzbestimmungen haftet. Sollte das E-Mail-Konto einer Galerie aufgrund unzureichender Sicherheitsmaßnahmen gehackt werden, drohen gemäß der seit April 2016 gültigen EU-Richtlinie empfindliche Geldbußen: von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem, welcher der Beträge höher ist. (Olga Kronsteiner, 25.5.2024)