Alles neu gemacht, und doch haben mutmaßlich prorussische Hacker es geschafft, 3,8 GByte Daten vom Statistischen Bundesamt (Destatis) abzuziehen. Diese (Firmen-)Daten sollen aktuell im Darknet zum Verkauf angeboten werden. Zu den Daten gehören Kontaktdaten und Anschriften von Firmen, Angaben zu Unternehmensabteilungen oder Umsatzsteuernummern.
Anzeige
Wer ist Destatis?
Das Statistische Bundesamt (Destatis; Deutsches Statistik-Informationssystem) ist eine deutsche Bundesoberbehörde, angesiedelt beim Bundesministeriums des Innern. Sie erhebt, sammelt und analysiert statistische Informationen zu Wirtschaft, Gesellschaft und Umwelt. Die aufbereiteten Informationen werden tagesaktuell in rund 390 amtlichen Statistiken veröffentlicht.
Hackerangriff, Daten im Darknet
Es sieht so aus, dass Destatis – wohl über ein IDEV-Konto – gehackt worden ist, obwohl deren Software erst kürzlich (im August 2024) modernisiert wurde. Aufgefallen ist der Hack, weil Daten im Darknet angeboten werden. Die Erstmeldung über den Vorfall erfolgte in der Neue Züricher Zeitung (nzz.ch) – steckt aber hinter einer Abo-Wall.
CSOonline berichtet hier aber einige Details, u.a. dass die Daten seit Dienstag, dem 12. November 2024, im Darknet angeboten werden. Die Hacker geben an, insgesamt 3,8 Gigabyte an Daten von Destatis abgezogen zu haben. Die Daten umfassen angeblich Namen, Adressen, Telefonnummern, E-Mail-Adressen und Log-in-Daten von Unternehmen, die statistische Daten bei Destatis angeben mussten. Die nzz gibt an, die Kontaktdaten eines hessischen Herstellers für Druckmaschinenzubehör und Log-in-Daten eines Maschinenproduzenten aus der Kunststoffindustrie in der Datensammlung zu finden seien.
Die Hacker scheinen tief im System eingedrungen zu sein, und konnten laut nzz auch Kennwörter von Firmen erbeuten. Mit diesen Kennwörtern lassen sich die Destatis-Meldedaten der betreffenden Unternehmen einsehen. Dazu sollen auch Warenlieferung ins Ausland samt Rechnungsbeträgen zu finden sein.
Anzeige
Bei den Angreifern handelt es sich um prorussische Hacker, die sich "Indonesian Cyber Attack" oder kurz "Indohaxsec" nennt. Auf Telegram soll Deutschland einen Tag vor dem Hack als nächstes Ziel angekündigt worden sein. Wie die Hacker an die Destatis-Daten gelangten, ist derzeit unbekannt. Möglicherweise erfolgte der Zugriff über das Portal IDEV-System, welches inzwischen abgeschaltet wurde.
Destatis hat sich noch nicht im Detail zum Hack geäußert. Gegenüber der nzz hieß es "Wir prüfen derzeit die an uns herangetragenen Hinweise auf ein mögliches Datenleck. Wir haben vorsorglich das IDEV-System vom Netz genommen." heise hat ebenfalls einige Informationen zum Sachverhalt samt Screenshots des Darknet-Angebots gepostet.
Der Vorfall macht doch richtig Lust auf mehr – ab 2025 böte sich die elektronische Patientenakte mit potentiell über 70 Millionen gesetzlich Krankenversicherten als Ziel an.
Anzeige
nur 3.8 GB Daten abgezogen?
Scheint, als ob Destatis recht sparsam mit Datenerfassungen umgeht. Wird also sicher DSGVO-konform sein ;)
Vielleicht waren die Hacker mal so clever und haben die Datenbanken auf dem Host gezippt bevor sie sie heruntergeladen haben… ;)
Zu den 70 Millionen gesetzlich Krankenversicherten, kommen dann noch die 36 Millionen Privatversicherten, die ebenfalls eine ePA beantragen könnten …
Die bekommen aber ein EPA nicht automatisch sondern müssen per opt-in eine EPA beantragen
Falsch. Du musst Widerspruch einlegen, damit du diese nicht automatisch bekommst. Also Opt-Out.
Das gilt meines Wissens nach nur für die GKV, nicht für die privat Versicherten. Die bekommen die ePA eben nicht automatisch, können sie aber beantragen.
Falsch, als Privatversicherte müssen den Gaggelfax (noch) nicht über sich ertragen lassen.
Ich sehe keinen Sinn darin, die ePA zu nutzen, solange nicht bewiesen ist, dass es etwas taugt.
Mal abwarten, was CCC, Lilith Wittmann etc. sagen, wenn das System mal ein paar Tage offiziell läuft.
Und dann , nach 2-3 Jahren, wenn es noch nicht gehackt wurde und sich ein wirklicher Vorteil für mich zeigen sollte, denke ich eventuell mal wieder darüber nach.
Oder sie zahlen für meine Daten: Lebenslanger Erlass der Krankenkassenbeiträge, dann überlege ich es vielleicht noch mal ;-)
Haben wir 106 Millionen Krankenversicherte in der BRD?
Dachte wir wären hier so um die 88 Millionen Leutz….
Ein schönes Wochenende an alle.
Und was ist mit Kindern? (Familienversicherte)?
Und was ist mit ausländisch Angestellten (Pflichtversicherte)?
Und was ist ist mit im Ausland lebende Deutsche?
Achso Kinder, ausländische Angestellt usw. wohnen also nicht in Deutschland und sind bei 88 Mio inkludiert? :D Im Ausland wohnende Deutsche sind bei Daueraufenthalt wohl auch nicht in DE versichert.
Die Bevölkerungszahl schließt Kinder mit ein.
Und zwar vom Tag der Geburt an.
Und die offizielle Zahl ist 84,48 Mio Menschen (Stand 2023).
Und die Zahl der privat versicherten Menschen ist keineswegs 36 Mio., sondern lt. Versicherungen beträgt die Zahl 8,7 Mio.
Und gesetzlich versichert sind 75 Mio Menschen.
Zusammen also 83,7 Mio Menschen.
0,78 Mio Menschen haben also keine Krankenversicherung!
Das sind z.B. Obdachlose.
Oder auch Leute, die aus der PKV raus geworfen wurden und dann wegen der Gesetzeslage keine Möglichkeit haben, in die GKV zu wechseln.
Wir sind "nur" 83 Millionen…
Aber die Diskrepanz kommt wahrscheinlich daher, dass nicht-Deutsche Arbeitnehmer ja auch bei versicherungspflichtiger Beschäftigung Versorgungsrechte erwerben.
Und dann werden die nicht gleich gelöscht, wenn die nicht mehr hier arbeiten…
Da kann dann imho über die Jahre oder Jahrzehnte durchaus so ein Überhang an Konten entstehen…
seit wann leben hier 106 Millonen Leute?
Hab der ePA auch lieber erstmal widersprochen. Erstmal muss das Kinderkrankheiten ablegen und sich bewähren. Mal gucken wie der Status dazu so in 10 Jahren ist.
Lacht, Neuland überall…
Und es wird den Hackern auch so leicht gemacht.
Ist wahrscheinlich wie beim einfachen Diebstahl: Lieber Auto und Haus einfach offen lassen. Die Diebe kommen sowieso und dann machen sie wenigstens nicht auch noch alles kaputt…
Auf diese IDEV-Webseite, die Indohaxsec da angibt werden ganz andere, aber durchaus sehr sensible Daten hochgeladen.
Z. B. wurde an diese IDEV-Seite eine Statistik für evtl. zukünftige Wärmenetzplanungen hingesendet:
https://www.gesetze-bayern.de/Content/Document/BayKlimaG-6
Bis auf die Hausnummer genau kann mit diesen Statistik-Daten ermittelt werden, welche Feuerstätten in welchen Häusern steht.
Dann wurde über IDEV auch der Mikrozensus gemacht.
Wieviele Personen wohnen in ihrem Haushalt und so weiter und so fort.
Industrieunternehmen müssen ihren aktuellen Auftragseingang an IDEV melden.
Man bekommt halt nicht zusammengefasste Summen – sondern einzelne Datenbank-Zeilen.
Im Heise Forum meint auch gerade jemand, dass auch die Einzelhandelsstatistik des Landes NRW über diese Seite übermittelt wurde.
So mal grob von aussen betrachtet ist es ein Multitennant-System, wo sich die einzelnen Bundesländer unten drunter als einzelne Tennants mit reinhängen konnten. Wenn die Ober-Instanz gehacked wurde – dann sind da richtig Daten abgeflossen.
Hatte gerade diese Woche meine Meldung der Firma abgeben müssen. Wieso werde ich nicht über den Datenschutzvorfall proaktiv informiert ? Gelten die Bestimmungen der DSGVO für unsere Behörden nicht ?
Die sind noch am evaluieren. Aber Du greifst einen interessanten Aspekt auf. Frage doch mal im Rahmen der DSGVO nach, wie sich der Fall darstellt. Du kannst mich ja auf dem Laufenden halten – ggf. mache ich mal einen separaten Blog-Beitrag drüber.
Kurz Frage, macht das Statistische Bundesamt nicht auch die Volkszählung mit diesen Fragen "Fragebogen sensible Sonderbereiche", "Gebäude- und Wohnungszählung" – und war da nicht bei mir einmal die Frage mit "was haben sie für Kunden" + erwartete Einkünfte usw.. – ich kann mich irren, aber jetzt hätten diese Daten wenigstens nicht nur unsere amerikanischen lieben Freunde, sondern auch unsere Vertrauten in .ru, .su, .cn, .br – wer auch immer – und die SPAM-E-Mails kämen einfach besser auf mich zugeschnitten… Ich hoffe, der "Datenschutzbeauftragte" ist wenigstens informiert – das halte ich für sehr, sehr, sehr wichtig …