Datendiebstahl bei Fraunhofer in HalleWie die Hacker ticken

Auch im Darknet ist eine Behauptung schnell aufgestellt: "Der Angriff fand am 14. April statt, mit verschiedenen Technologien wurden persönliche Daten der Angestellten und Studenten heruntergeladen", schreiben die Kriminellen auf dem Darknet-Marktplatz. Dieses "Angebot" haben die Kriminellen am 29. April auf den Marktplatz veröffentlicht.

Die Kriminellen bieten 320,8 Gigabyte Daten zum Verkauf an und verlangen dafür 2,2 Millionen Dollar. Um ihre Preisvorstellung plausibler zu machen, schreiben die Kriminellen, die Fraunhofer-Gesellschaft hätte einen Umsatz von einer Milliarde Dollar. Merkwürdig allerdings: Auf der Plattform selbst ist von Daten von "fraunhofer.de" die Rede. Und potenzielle Käufer werden sich wohl kaum locken lassen, denn anders als bei anderen "Angeboten" auf dem Marktplatz, gewähren die Täter keinen Einblick in ihr "Angebot".

Für Außenstehende und potenzielle Käufer lässt sich aktuell also nicht abschätzen, welcher Art die Daten sind: Sind es wirklich "nur" Daten von Beschäftigten, sind es vielleicht nur die Daten der Webseite oder auch Forschungs- und Industrie-Daten? Schließlich erforscht das Fraunhofer-Institut in Halle die Mikrostruktur von Werkstoffen und Systemen, es geht dort um Materialwissenschaft und Werkzeugtechnik, um Werkstoffe, Bauteile und Systeme auf Mikro- und Nanoskala. Es geht um Hightech. Und das Institut nimmt auch Aufträge der Industrie an.

Dass es jedenfalls nicht nur um Daten der Webseite geht, zeigt die Reaktion der Fraunhofer-Gesellschaft in München: Nur sie gibt überhaupt Auskünfte und sagt, dass ausschließlich ihr Institut in Halle betroffen war und Vorkehrungen zur maximalen Schadensbegrenzung getroffen wurden. Die Lage sei unter Kontrolle. 

Dass die Fraunhofer-Gesellschaft nicht allzu gern über den Vorfall spricht, dürfte allen klar sein: Schließlich bietet ein anderes Institut der Gesellschaft ein BSI-zertifiziertes Seminar zum Cybersicherheitsexperten an und die Gesellschaft gilt auch sonst als Hort von IT-Experten.

Zwar ist der Marktplatz, auf dem die Daten angeboten werden, einer von vier Marktplätzen, auf denen derzeit Daten aus Industriespionage zum Verkauf angeboten werden, aber um "klassische" Industriespionage scheint es sich nicht zu handeln. Denn zusätzlich zum "Angebot" im Internet haben Kriminelle das Fraunhofer-Institut in Halle auch direkt erpresst. Sachsen-Anhalts Landeskriminalamt schreibt, dass "sowohl Daten entwendet als auch Daten verschlüsselt" wurden. Eine genaue Schadensgröße ließe sich aktuell nicht bestimmen. Denkbar also, dass die Kriminellen ihr "Angebot" im Darknet als Druckmittel für ihre Erpressungsforderung genutzt haben.

Der Fall zeigt erneut, worauf es solche kriminellen Hacker ausschließlich abgesehen haben: auf Geld. Dazu ist ihnen jedes Mittel Recht und Kryptowährungen machen ihre Taten schwerer verfolgbar. Was der Fall auch erneut zeigt: Kriminelle Hacker sind hochgradig organisiert. Denn nach einem IT-Angriff und Datendiebstahl können sie auf mehrere Arten zu Geld kommen: durch die direkte Erpressung des Opfers oder indem sie die Daten auswerten, sie an andere Kriminelle weiterverkaufen, die sie vielleicht in kleine Tranchen zerlegen und an kriminelle Interessenten verkaufen. Arbeitsteilige Strukturen der organisierten Kriminalität.

Natürlich lässt sich spekulieren, ob hinter solchen Taten auch Staaten oder staatliche Organisationen stecken könnten, Staaten, die beispielsweise gerade von internationalen Sanktionen belegt werden und dringend Devisen brauchen, Staaten, die solche Hacker direkt beauftragen und die die Hacker selbst unter Druck setzen. 

Alles in allem kein schönes Geschäft – aber eines, an das wir uns immer noch gewöhnen müssen. Und eines, aus dem Sicherheitsexperten ableiten, dass niemand, kein Staat, kein Geheimdienst Sicherheitslücken in Software für sich behalten sollte. Denn sie sind auch Einstiegstore für Kriminelle.

MDR (Marcel Roth, Hannes Leonard)