Datendiebstahl an der Uni Graz

An einer österreichischen Universität ist es zwischen Weihnachten und Neujahr zu einem Datendiebstahl gekommen. Man vermutet einen Innentäter, da der Täter bei der Veröffentlichung der Daten offenbar auch gegen einzelne Uni Mitarbeiter gepöbelt hat.

Die Erklärung eines Uni Mitarbeiters in dem verlinkten Radio Interview, wie die Daten gestohlen wurden und welche, ist ziemlich merkwürdig: Der Angreifer soll demnach ein ‚altes‘ Passwort verwendet und daher nur ‚alte‘ Daten erwischt haben.

Mir war bisher nicht klar, dass der Passwortstatus (‚alt‘ versus ‚aktuell‘) so einen Einfluss auf den damit möglichen Systemzugriff haben kann: Alte Passworte sollte ja eigentlich gar keinen Zugriff mehr ermöglichen. Oder gab es da ein schlecht gesichertes Backupsystem, welches eine alte Kopie von echten Daten irgendwo im Netz anbot?

In Zukunft massiver, finanzieller Schaden möglich?

Interessant ist auch der Verweis auf die kommende Datenschutzverordnung:

‚Wäre der Vorfall nach Inkrafttreten der neuen EU-Datenschutzverordnung im Frühjahr 2018 erfolgt, hätten der Uni Graz schwerwiegende Konsequenzen gedroht‘

Die meisten denken hier vermutlich an große US Konzerne, die man damit bei Datenlecks zur Kasse bitten könnte. Aber macht es Sinn von öffentlichen Einrichtungen wie hier (Steuer)Geld wieder einzusammeln? Oder rechtfertigt dieses Gesetz nun prophylaktische Investitionen der öffentlichen Hand in irgendwelche externen IT Auditierungen, zusätzliche Sicherheitsbeauftragte oder Versicherungen, die in solchen Fällen einspringen?

Leseempfehlung: ‚SPAM NATION‘ von Brian Krebs

Vor wenigen Tagen musste ich jemandem, der nicht viel jünger ist als ich, erklären was eigentlich Spam(mail) ist. Vielleicht ist das meine und Google’s Schuld: Ich hatte die Person schon vor langer Zeit mit einem GMail Account ausgestattet und Google’s Filter haben offenbar in all der Zeit den Posteingang frei von Spam gehalten.

Ist es wirklich schon so weit gekommen? Das nur noch wir ‚Älteren‘ uns an die Zeit erinnern, in der Spam eine echte Plage war und man beim morgendlichen Öffnen des Postfaches 90% gleich löschen konnte, weil es SPAM war? Oder ist mit dem Siegeszug der Messenger auf den Smartphones die E-Mail einfach unwichtiger geworden?

spam_nation_krebs

Egal. Meine letzte Weihnachtslektüre war für mich trotzdem sehr spannend, auch wenn die Ereignisse, die dort behandelt werden, nun schon einige Jahr her sind: Brian Krebs beschreibt hier mit sehr tiefgehenden Kenntnissen die Geschichte der Pharmawars, einer Auseinandersetzung zwischen zwei großen russischen Internetanbietern von (legalen und illegalen) Medikamenten, die insbesondere mit massiven Spamwellen beworben wurden.

Krebs beleuchtet dabei alle Teile des Spam/Pharma-Geschäfts. Das sind neben den Plattformbetreibern, den Spammern mit ihren riesigen Botnetzen und diversen anderen Akteuren dieser kriminellen Verbünde:

  • Die Käufer: Warum kaufen Leute eigentlich Medikamente bei Quellen, deren Zuverlässigkeit sie nicht kontrollieren können und wie zufrieden sind sie mit dem Service? Spoiler: Das Servicelevel dieser Dienste war offenbar ausgesprochen gut. Und die Leute, die auf die Links in Spam klicken, haben teilweise gute Gründe dazu, und sind nicht einfach ‚dumme Nutzer‘, zu denen sie die Nerds gerne erklären.
  • Die geschädigten Pharmakonzerne: Jeder kennt vermutlich Spam für Viagra / Cialis etc. Was machen eigentlich die betroffenen Konzerne, denen dadurch doch Gewinne entgehen müssten? Spoiler: Offenbar erstaunlich wenig. Denn was wäre, wenn sich herausstellt, dass die Plagiate der illegalen Shops viel billiger sind, aber chemisch nicht von den teuren Originalprodukten unterschieden werden können?
  • Die ‚Antis‘: Welche Kräfte gibt es, die sich – oft eher inoffiziell und im Schatten – der Spamflut entgegen stellen und in welchen Fällen wurden sie von den Spammern bezwungen. Spoiler: Microsoft hat in dieser Geschichte viel bewegt mit seiner hartnäckigen Verfolgung von Raubkopien, jedenfalls mehr, als die Pharmakonzerne.
  • Das russische ‚Rechtssystem‘: Interessant ist bei der detailgenauen Portraitierung der russischen Spammer und Plattformbetreiber das Umfeld, in dem sie sich bewegen (müssen). Ist das für Einflussnahmen anfällige russischen System zunächst eine Hilfe beim Aufbau der kriminellen Aktivitäten, werden diese ‚kleinen‘ Diebe später auch mal von den viel größeren Dieben im russischen Staat ausgenommen.

Brian Krebs hat dabei offenbar ungeheure Mühen bei der Auswertung von geleakten Chatlogs der Konfliktparteien aufgewendet und einen teilweise sehr persönlichen (zu persönlichen?) Kontakt zu einigen der Schlüsselfiguren aufgebaut. Auch ist er ob seiner Herkunft als Journalist – im Gegensatz zu vielen IT Leuten, die in diesen Bereich Texte produzieren – in der Lage echte Spannungsbögen zu produzieren und den roten Faden in diesem komplexen Thema nicht zu verlieren.

Und auch, wenn das Spamproblem heute reduziert scheint: Die gleichen Leute, die Botnetze für das Spamming aufgebaut haben, sind immer noch da und suchen neue Tätigkeitsfelder um die mit Pharmaverkäufen heute nicht mehr erzielbaren Einnahmen zu kompensieren.

Von mir daher 5 Sterne!