Wie Daten Tausender Mitarbeiter in Österreich im Darknet landeten

Finanzdokumente, Gehaltszettel, Mitarbeiterinformationen, Sozialversicherungsnummern, Krankenstände und Lohnpfändungen von Tausenden Arbeitnehmern in Österreich sowie persönliche Daten von fast 1.000 Kindern sind im Darknet frei zugänglich. Sie stammen von dem auf Personalverrechnung spezialisierten Welser Unternehmen Infoniqa.

Die chinesische Cybercrime-Gruppe "Storm-2603" drang im Sommer in die IT-Systeme von Infoniqa ein, stahl Daten und verschlüsselte im Anschluss die Systeme. Zum Einsatz kam dabei die Schadsoftware Warlock. Bei der Information betroffener Kunden werden Infoniqa Versäumnisse vorgeworfen. Kritik gibt es auch an den Sicherheitsmaßnahmen. 

Infoniqa bietet u.a. Personalverrechnungslösungen für Firmen an und zählt mehr als 30.000 vorwiegend kleinere und mittlere Unternehmen (KMU) in Österreich, Deutschland und der Schweiz zu seinen Kunden. Nachdem Verhandlungen über Lösegeldzahlungen scheiterten, veröffentlichten die Angreifer die Daten am 26. August im Darknet. Insgesamt handelt es sich um ein Datenvolumen von 165 Gigabyte. 

Unvollständige Informationen

Betroffene Kunden dürften von Infoniqa nicht immer vollständig über das Ausmaß der entwendeten Daten informiert worden sein. So wurde etwa eine österreichische außeruniversitäre Forschungseinrichtung zwar im August von Infoniqa über den Cyberangriff in Kenntnis gesetzt. Die von Infoniqa genannte Zahl der betroffenen Mitarbeiter erwies sich nach einer Anfang Oktober abgeschlossenen Überprüfung der geleakten Daten durch von der Institution beauftragte Experten als deutlich höher als von dem Unternehmen angegeben. Man habe sich darauf verlassen, dass man umfassend informiert werde und sei überrascht gewesen, sagt ein Sprecher dem KURIER: Die Zahl der betroffenen Mitarbeiter gehe in die Tausende.

Bei rund 300 österreichischen Unternehmen oder einem Prozent der Kunden  seien hochsensible persönliche Daten geleakt, heißt es seitens Infoniqa. Betroffene Firmen seien unverzüglich informiert worden, damit sie ihrerseits ihren Informationspflichten nach der Datenschutzgrundverordnung (DSGVO) nachkommen könnten, teilte ein Sprecher dem KURIER auf Anfrage mit.  Einzelne Kunden, die bei der ursprünglichen Kommunikation „nicht erreicht worden waren“, seien nachträglich verständigt worden.  

Der Cybersecurity Experte Manuel Löw-Beer von der Firma Risikomonitor, die durch ihr KI-gestütztes Darknet-Monitoring auf den Fall aufmerksam wurde, kommt in seiner Analyse, die dem KURIER vorliegt, zu einem anderen Ergebnis. Laut Löw-Beer dürften mehr als 2.700 Unternehmen in den geleakten Dateien vorkommen. 

Nicht nur aus Österreich, wie von Infoniqa angegeben, sondern unter anderem auch aus Deutschland, der Schweiz, Großbritannien, den Niederlanden und den USA. Bei vielen davon sind Daten betroffen, die nicht personenbezogen sind. Bei anderen scheinen aber durchaus personenbezogene Daten und detaillierte Informationen, etwa konkrete Umsätze mit dem Personalverrechner auf. 

Größeres Ausmaß befürchtet

Die Anzahl der Unternehmen, von denen datenschutzrelevante Informationen geleakt sind, beziffert Löw-Beer mit mehr als 350. Er geht davon aus, dass die Zahl deutlich höher ist. Denn einige Dateien  können aus der Datensammlung der Angreifer derzeit nicht heruntergeladen werden. 

Bei Infoniqa verweist man darauf, dass es sich bei vielen der geleakten Daten nicht um Daten von Privatpersonen oder personenbezogene Daten handle und deshalb auch keine Informationspflichten im Sinne der Datenschutzgrundverordnung (DSGVO) bestehen. Unabhängig davon habe man alle 30.000 Kunden regelmäßig und transparent über den Vorfall informiert, so ein Sprecher.

Pflicht zur Schadensminimierung

Der auf Datenschutzrecht spezialisierte Wiener Anwalt Rainer Knyrim verweist auf einen möglichen Schadenersatzanspruch nach dem Datenschutzgesetz (DSG) und eine Pflicht zur Schadensminimierung (ABGB). Wenn man wisse, dass jemand anderer Schaden erleiden könne, müssten Maßnahmen zur Minimierung ergriffen werden, sagt Knyrim. Löw-Beer sieht eine solche Möglichkeit durchaus gegeben. Ergebe sich aus Datenfunden, dass Firmen interessant sein könnten, sei es durchaus üblich, dass Lieferkettenangriffe folgen.

Missstände bei Updates

Die Datenlage lege nahe, dass Missstände bei Passwörtern und Updates über Jahre hinweg - vor und auch Monate nach dem Vorfall - gegeben seien, sagt Löw-Beer. Auf ausgebliebene Aktualisierungen bei einem konkreten Server angesprochen, verweist ein Infoniqa-Sprecher darauf, dass es sich nicht um ein System des Unternehmens, sondern um das eines externen Dienstleisters handle. 

Unbekannte Lücke

Bei dem Cyberangriff, der laut Infoniqa am 21. Juli stattfand, hatten Angreifer eine noch unbekannte Sicherheitslücke (Zero-Day) bei der Microsoft-Plattform Sharepoint ausgenutzt. Der Angriff sei zeitlich mit der Veröffentlichung der Patches, also der Software-Aktualisierungen, mit denen die Sicherheitslücken behoben wurden, zusammengefallen, sagt ein Unternehmenssprecher: "Die Patches konnten damit den Angriff nicht rechtzeitig verhindern. "Technische Infrastruktur, Awareness-Programme und Prozesse seien seit dem Angriff deutlich verstärkt worden. Infoniqa, so der Sprecher, gehe gestärkt aus dem Angriff hervor. 

Bei der betroffenen Forschungseinrichtung scheint man dem nicht ganz zu trauen. Man habe eine externe Cybersecurity-Firma beauftragt, um die Wirksamkeit der gesetzten und geplanten IT-Sicherheitsmaßnahmen bei Infoniqa zu überprüfen, heißt es in den Informationen an betroffene Mitarbeiter. Ihnen wird u. a. auch empfohlen, zu überprüfen, ob die Haushaltsversicherung auch Unterstützungsleistungen im Zusammenhang mit Cybercrime-Vorfällen vorsieht. Ein Missbrauch der Daten könne auch Jahre später stattfinden, heißt es.