Update: Anzeige gegen Unbekannt Cyberangriff auf Tochter der Bundesdruckerei D-Trust

Anbieter zum Thema

FAST LTA GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Bei D-Trust, einem Unternehmen des Bundesdruckerei, gab es einen Cyberangriff, bei dem personenbezogene Daten entwendet wurden. Dahinter steckte ein Sicherheitsforscher, der das Datenleck gemeldet hat. Nun hat D-Trust ihn angezeigt.

D-Trust, ein Tochterunternehmen der Bundesdruckerei, ist nach eigenen Angaben Opfer eines Cyberangriffs geworden. Betroffen sei das Antragsportal für Signatur- und Siegelkarten, wobei bereits ausgegebene Karten nicht kompromittiert wurden und weiter genutzt werden können. Auch PINs, Passwörter sowie Zahlungsinformationen seien nicht betroffen. D-Trust habe sofort die entsprechenden Aufsichtsstellen und Strafermittlungs­behörden informiert und ein dediziertes IT-Sicherheitsteam arbeite eng mit den Behörden zusammen, um den Vorfall aufzuarbeiten. Wie sich herausstellte wurde eine Schnittstelle des Portals gezielt manipuliert.

Cyberattacken weltweit

Die dicksten Datenpannen 2024

Zugriff durch anonymen Sicherheitsforscher

Wie sich herausstellte, hatte kein Krimineller, sondern ein anonymer Sicherheitsforscher ohne böse Absichten das Datenleck, welches Tausende von Kundendaten von D-Trust ungeschützt im Internet zeigte, Anfang Januar dem Chaos Computer Club (CCC) gemeldet. Zehn Tage nach dem Cyberangriff habe D-Trust dann ein Schreiben des CCC erhalten. D-Trust veröffentlichte daraufhin in seiner Meldung, dass dieser Sicherheitsforscher sich „unzulässigerweise in mehreren Sitzungen Daten aus dem Antragsbearbeitungssystem entwendet“habe. Hierbei habe es sich um personenbezogene Daten wie Vor- und Nachnamen, E-Mail-Adressen, Geburtsdaten und in einigen Fällen Adress- und Ausweisdaten gehandelt. Eine Manipulation der Daten habe nicht stattgefunden. Gegenüber dem CCC versicherte der Entdecker der Sicherheitslücke, er habe alle gefundenen und entwendeten Daten restlos gelöscht.

In einer jüngst veröffentlichten Stellungnahme des CCC wirft dieser D-Trust vor, „mit bedeutungsschwangerer Cyber-Rhetorik“ von der Verantwortung für ein großes Datenleck ablenken zu wollen. Außerdem schreibt der CCC, D-Trust habe eine Strafanzeige gegen „Unbekannt“ gestellt.

Responsible Disclosure

Ethical Hacking und seine Grenzen

Kritik am „Hackerparagraphen“

Der Chaos Computer Club kritisiert, dass die bis noch zum 6. Dezember 2024 regierende Ampel-Koalition es versäumt habe, „Sicherheitsforschung zu entkriminalisieren und die Hacker-Paragraphen abzuschaffen“. Dies, genauso wie die Strafanzeige von D-Trust seien der Grund, warum sich der Sicherheitsforscher zum einen anonym bleiben will und sich zum anderen an den CCC gewendet habe anstatt eine staatliche Institution.

Das umgangssprachlich „Hackerparagraph“ genannte Gesetz Paragraph 202a des Strafgesetzbuchs (StGB) bestimmt: „Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“ Dieser Paragraph wird oftmals als Grauzone angesehen, denn sind Sicherheitsforscher oder Pen-Tester in der Lage, fremde Daten online aufzuspüren, waren sie scheinbar nicht ausreichend oder gar nicht gesichert. Viele argumentieren, dass die Allgemeinheit und besonders die betroffenen Personen ein Recht darauf haben, über eine solche Gefährdung ihrer Daten informiert zu werden. Auf der anderen Seite bleibt ungeachtet der Absichten der Hacker das Argument bestehen, dass ein Zugriff auf die Daten – wie im Falle von D-Trust – ohne Erlaubnis erfolgt. Der CCC sieht die Strafanzeige von D-Trust als „gegenstandslos“ an. Denn die personenbezogenen Daten seien von D-Trust selbst ohne Schutz veröffentlicht worden. Somit habe der Sicherheitsforscher auch keinen Zugriffsschutz umgangen.

Am 22. Oktober 2024 stellte das Bundesministeriums der Justiz einen Referentenentwurf vor, der das Ziel hat, die IT-Sicherheitsforschung zu entkriminalisieren. Durch eine Änderung des Paragraphen 202a StGB soll klargestellt werden, dass das Aufspüren von Sicherheitslücken nicht strafbar ist, sofern die Absicht verfolgt, Schwachstellen zu identifizieren und den Verantwortlichen oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber zu informieren. Diese Neuregelung soll sicherstellen, dass Handlungen mit dem Ziel der Verbesserung der IT-Sicherheit nicht unter Strafe gestellt werden, während böswillige Cyberangriffe weiterhin strafbar bleiben.

(ID:50302092)