Identitätsdatenbanken gehackt: Daten gestohlen und verkauft

Die Abfragemaske von SSNDOB.
Screenshot: Brian Krebs Der Journalist Brian Krebs hat einen Bericht veröffentlicht, aus dem hervor geht, dass drei große Daten­sammler in den USA Opfer eines Hack-An­griffs wurden. Mehr noch: Die gestohlenen Daten wurden auf der illegalen Webseite SSNDOB zum Kauf angeboten. Dort konnten Kriminelle zu Preisen zwischen 50 US-Cent und 1,50 Dollar pro Eintrag Daten abgreifen. Voll­ständige Profile sollen nach Angaben des Journalisten 5 bis 15 Dollar gekostet haben. Damit ist es den Daten­käufern ein Leichtes, sich als eine andere Person auszugeben - das Problem des Identitäts­diebstahls. Mittler­weile ist die Webseite offline - die Betreiber dürften sich aber schon nach einer neuen Bleibe für ihren Dienst umsehen. Denn:

SSNDOB macht wohl mehrere Hunderttausend Dollar Umsatz

Die Abfragemaske von SSNDOB.
Screenshot: Brian Krebs In den Datenbanken sammeln die drei betroffenen Firmen persönliche Daten von Verbrauchern - aber auch Daten über Unternehmen - und werten diese zu verschiedenen Zwecken aus. Über Verbraucher sind beispielsweise die Sozial­ver­sicherungs­nummer, Geburtstag oder (auch frühere) Adressen gespeichert. Über SSNDOB kamen Daten wie Telefon­nummern oder Adressen von Prominenten wie Michelle Obama, Beyonce, Jay Z oder Kayne West ins Internet.

Konkrete Details kamen durch einen unabhängigen Hack der SSNDOB-Daten­banken durch die Gruppe UGNazi ans Licht. Dem Journalisten lag eine Kopie dieser Daten vor. Aus diesen soll hervorgehen, dass die Webseite etwa 1 300 Kunden hatte, die zusammen mehrere Hundert­tausend Dollar für die Dienste bezahlt haben. Es habe außerdem Reseller gegeben, die mindestens ebensoviel zusätzlichen Umsatz generierten. Die Bezahlung erfolgt über anonyme Webdienste wie Bitcoin oder Webmoney - die Betreiber lassen sich so wohl nicht ermitteln. Seit Anfang 2012 haben Nutzer des illegalen Dienstes ingesamt 3,1 Millionen Geburtsdaten und 1,02 Millionen Sozialversicherungsnummern abgerufen, so Krebs.

Die SSNDOB-Betreiber schleusten Spionage­programme in einzelne Server der Daten­sammmel-Unter­nehmen ein und erhielten so wahrscheinlich Zugriff auf die internen Datenbanken - auch wenn ein betroffenes Unter­nehmen dies abstreitet. Offenbar haben die Betreiber von SSNDOB ihre Schadsoftware speziell auf die Ziele angepasst, so dass gängige Virenprogramme sie nicht entdeckten. Die Angreifer platzierten die Software wohl zwischen März und Juni 2013.

Ähnlich wie es die deutsche Schufa unternimmt, lassen sich aus dem Datenberg statistische Daten zu Kredit­würdigkeit eines Kunden errechnen. Es gibt aber auch weitreichendere - hierzulande aber weniger bekannte - Möglichkeiten, wie diese Daten verwendet werden.

Knowledge-based Authentification: Wissensbasierte Bestätigung der Identität

Pikant: Viele Banken, Versicherungen und andere Firmen in den USA verwenden die Daten genau solcher Firmen, um einzuschätzen, ob ein Kreditantrag oder eine sonstige Anfrage von genau dem anfragenden Kunden stammt - ein sogenanntes Know­ledge-Based-Authen­ti­fication-Ver­fahren. Dabei werden dem Kunden Fragen gestellt, die - im Idealfall - nur er beantworten kann. Beispielsweise frühere Wohnadressen. Hat ein Krimineller Zugriff auf das Wissensarchiv, das zum Beispiel SSNDOB bereitstellt, kann er alle Fragen beantworten - zumal die illegale Datenbank ja über die echten Daten der Unternehmen verfügt. Brian Krebs zitiert eine Expertin, die sagt, dass Personen, die die Fragen falsch beantworten, sich häufig nicht mehr an die richtigen Antworten erinnern. Kriminelle hingegen haben dank Zugriff auf die entsprechenden Datenbanken eine Trefferquote von 100 Prozent. Eine sichere Identitäts­prüfung ist damit also nicht (mehr) möglich. Zu vermuten ist, dass viele Fälle von Identi­täts­dieb­stahl in den USA aufgrund dieses Verfahrens möglich sind.

Manche Webdienste verwenden eine ähnliche Methode als Erinnerungsstütze für Passwörter. Hier können Nutzer Antworten auf eine oder mehrere Fragen hinterlegen, die vermeintlich nur sie beantworten können: Der Name des ersten Haustieres, die Lieblingsfarbe, die besuchte Grundschule oder anderes wird dann abgefragt, wenn der Nutzer das Passwort vergessen hat. Echte Sicherheit gewähren diese Fragen nicht - gibt der Nutzer eine wahre Antwort an, so sind andere Mitwisser in der Lage einen Account zu übernehmen. Im Gegensatz zu den oben skizzierten Möglichkeiten kann ein Nutzer hier immerhin falsche Antworten hinterlegen, da die Antworten nicht aus großen Datenbanken stammen.

Kommentar: Große Datensammlungen locken die Hacker-Fliegen

Der Fall zeigt deutlich, dass jede umfangreiche Datensammlung dieser Art Angreifer anzieht. Sicher, es gibt legitime Gründe dafür, Informationen über Konsumenten oder Unternehmen anzulegen. Doch müssen die Betreiber sicherstellen, dass höchste Anforderungen an die Datensicherheit erfüllt werden. Problematisch ist nur, dass die Hacker über genügend Know-How verfügen, um selbst raffinierteste Sicherungsmaßnahmen zu umgehen. Am Ende bewahrheitet sich doch, was Datenschützer oftmals fordern, von Vielen aber belächelt wird: Datenvermeidung ist der beste Schutz gegen Betrug, Datenmissbrauch und Identitätsdiebstahl.

Außerdem zeigt dieser Angriff, dass Knowledge-based Authentification keine Sicherheit bietet. Anbieter müssen entsprechende Abfragen dringend entfernen - sie gefährden die Sicherheit eher. Auch Brian Krebs schreibt, dass dieses Verfahren seine besten Tage wohl hinter sich hat.