Der Redakteur | 31.01.2024 Datenklau bei der Unfallkasse Thüringen - Wer ist betroffen?

Der Hackerangriff auf die Unfallkasse Thüringen (UKT) kurz vor Weihnachten 2023 war ein ernstzunehmender und schwerer Fall und auch nicht der erste dieser Art für die Unfallkasse Thüringen. Schon 2022 hatte es einen ähnlichen Vorfall gegeben. Daraufhin waren die Sicherheitsvorkehrungen deutlich erhöht worden, aber offenbar nicht hoch genug.

UKT-Geschäftsführerin Sabine Dexheimer betont, dass die Struktur der Systeme geändert wurde, die Mitarbeiter wurden geschult, eine Zwei-Faktor-Authentifizierung wurde eingeführt, gesonderte Überprüfungsmechanismen durch eigene und fremde Mitarbeiter ergänzt. Zudem wurden die Ressourcen im Bereich der EDV ausgeweitet.

Über weitergehende Maßnahmen wird natürlich jetzt auch wieder nachgedacht. Zum Beispiel wäre eine andere Struktur der Endgeräte denkbar, heißt: neue Rechner. Auch will man weitere serverinterne Maßnahmen ergreifen, die jemandem, der eingedrungen ist, die Handlungsmöglichkeiten weiter erschweren. Aber irgendwann ist auch ein Punkt erreicht, an dem Aufwand und Nutzen in keinem Verhältnis mehr stehen.

Zur Einordnung: Die weiteren Maßnahmen erhöhen die Sicherheit vielleicht nur noch von 99,5 auf 99,6 Prozent. Ein Restrisiko wird schon deshalb immer bleiben, weil täglich neue Schadsoftware-Varianten in Umlauf gebracht werden. Das Bundesamt für die Sicherheit in der Informationstechnik zählt im Schnitt 250.000 jeden Tag.

In erster Linie sind es die Betriebsdaten der Einrichtungen, also von Stadtverwaltungen oder Schulen. Dazu gehören Adressdaten, Bankverbindungen oder Lohnsummen aber auch Passwörter für das UKT-System, mit denen sich die Einrichtungen einloggen können. Von Bürgern, die schon einmal wegen eines Unfalls mit der Unfallkasse in Kontakt waren, sind es ebenfalls die persönlichen Daten, bis hin zu Details des Versicherungsfalles. Die Einzelheiten hat die Unfallkasse bekanntgegeben.

Daten der Mitgliedseinrichtung (z.B. der Verwaltung oder der Schule):

• Betriebsdaten: Name, Anschrift, Kommunikationsdaten, Bankverbindung, Informationen zur Einzugsermächtigung, gemeldete Lohnsummen, festgesetzte Beiträge, Ansprechpartner für die Meldung der Lohnsummen
• Mitgliedsnummer bei der UKT, Unternehmernummer
• PIN für den Stammdatendienst (elektronische Meldung der Lohnsummen)
• Initialpasswort für die Anmeldung bei unserem Online-Mitglieder-Service

Daten von Bürgern im Zusammenhang mit gemeldeten Arbeitsunfällen:

• Stammdaten wie Name, Anschrift, Geschlecht, Kommunikationsdaten, Bankverbindung
• Versicherungsfalldaten: Unfalldatum, Unfallart, Art der Verletzung, Diagnosen, Unternehmenszuordnung, Vorerkrankungen, Krankenversicherung, Rentenversicherung
• Ergebnisse von Unfall- und Berufskrankheiten-Untersuchungen

Daten von Bürgern mit Seminaranmeldungen bei der UKT ab dem 01.01.2023:

• Stammdaten: Name, Anschrift, Geschlecht, Kommunikationsdaten, Unternehmenszuordnung, Funktions- oder Dienstbezeichnung
• Im Falle der Erstattung von Reisekosten: Bankverbindung

Gestohlen in der IT bedeutet nicht, dass da etwas abhandengekommen ist wie eine gestohlene Brieftasche. Wenn jemand zu Hause Dateien auf einen Stick zieht oder im Internet herunterlädt, bleiben die Daten ja in der Regel trotzdem auf dem Originallaufwerk. Daten werden eher kopiert als geklaut.

Natürlich ist auch das Löschen denkbar oder eben das Verschlüsseln. Letzteres ist der Unfallkasse passiert. Die Daten wurden quasi erst heruntergeladen und dann wurde die Datenbank verschlüsselt. Das Ziel: Entschlüsselung gegen Geldzahlung. Wird nicht gezahlt, werden die Daten für andere Missbrauchsinteressierte im Darknet zum Herunterladen bereitgestellt. Das ist das Geschäftsmodell der Täter.

Nun sind das nicht alles lesbare Word- oder PDF-Dateien, sondern das ist ein für Menschen unlesbarer SQL-Datensalat, für dessen Konsumierung es schon einiger IT-Kenntnisse bedarf. Dieser Datensalat stand also nun im Darknet bereit. Herauszufinden, ob den jemand heruntergeladen hat, das ist nun Aufgabe des LKA.

Die Unfallkasse selbst hat natürlich ein Backup ihrer Daten. Das heißt: Das Verschlüsseln der Datenbank durch die Täter war zwar ärgerlich, aber – um im heimischen PC-Bild zu bleiben – Festplatte plattmachen, Backup einspielen und alles ist wieder gut.

Auch wenn das Risiko gering ist, es könnte jemand die im Darknet bereitgestellten Daten heruntergeladen haben oder die Hacker selbst haben eine "Tochtergesellschaft", die sich mit der Datenverwertung beschäftigt. Wenn dem so ist, könnten die Daten dazu verwendet werden, sogenannte Phishing-Mails zu versenden.

Das sind Mails, die Menschen verleiten, Links anzuklicken, die zu Seiten führen, die Schadsoftware installieren. Oder man gelangt auf Seiten, wo weitere sensible Daten wie Kontodaten eingegeben werden sollen. Solche Mails sehen natürlich glaubhafter aus, wenn sie Angaben zur Person enthalten. Also: Plötzlich stimmt der Name, es wird Bezug genommen auf den Unfall und schon steigt die Bereitschaft, die "unbedingt erforderlichen" IBAN- oder Kreditkartenummern einzugeben.

Heißt: Erhöhte Vorsicht bei allen Betroffenen, wobei die ohnehin gelten sollte. Denn das Bundesamt für die Sicherheit in der Informationstechnik registriert pro Monat zwei solcher Ransomware-Angriffe (= Erpressung) auf Verwaltungen wie auf die Unfallkasse und 68 "erfolgreiche" auf Unternehmen.

Und überall liegen unsere Daten. Der Angriff auf die Daten der Unfallkasse hat ein permanent bestehendes Problem eigentlich nur für jedermann noch einmal sichtbar gemacht und sollte vor allem als warnender Zeigefinger verstanden werden. Denn mit Hilfe gestohlener Daten werden die Mails in unseren Spamordnern, die im Normalfall vor Schreibfehlern nur so strotzen, vertrauenerweckend. Und das ist das Gefährliche.