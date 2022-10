Vor eineinhalb Wochen ging eine Nachricht durch die australische Presse, die für viele Unternehmen inzwischen keine Seltenheit mehr ist: Der australische Telekommunikations­anbieter Optus wurde gehackt. Was in den Tagen danach ans Tageslicht kam, entwickelte sich jedoch zu einem Krimi mit zehn Millionen Hauptdarstellerinnen und Hauptdarstellern. Denn genau so viele Australierinnen und Australier sind von dem Hack betroffen. Bei nur 26 Millionen Menschen sind dies fast 40 Prozent der Bevölkerung. Einige Fachleute nannten den Fall die schlimmste Datenschutzverletzung in der Geschichte Australiens. Inzwischen hat der Diebstahl zudem eine Debatte darüber ausgelöst, wie Australien mit Daten und dem Thema Privatsphäre umgeht.

Hinzu kommt: Je mehr Tage ins Land ziehen, umso verworrener wird die Geschichte. Begonnen hat sie am Donnerstag vor eineinhalb Wochen. Da ging Optus, eine Tochtergesellschaft von Singtel, einem Konzern aus Singapur, mit der Nachricht an die Öffentlichkeit, dass rund 24 Stunden zuvor verdächtige Aktivitäten im Netzwerk bemerkt worden seien. Die Daten aktueller und ehemaliger Kundinnen und Kunden seien gestohlen worden – darunter Namen, Geburtsdaten, Wohnadressen, Telefon- und E‑Mail-Kontakte sowie Pass- und Führerscheinnummern. Zahlungsdetails und Kontopasswörter seien nicht kompromittiert worden. Dies entblößt die Betroffenen nun gleich in mehrfacher Hinsicht: Nicht nur sind sie gefährdet, Spamnachrichten zu erhalten und Opfer von Finanzbetrug zu werden, auch ihre Identitäten könnten gestohlen werden. Beispielsweise könnten in ihrem Namen Kredite aufgenommen werden.

Lösegeldforderung in Millionenhöhe

Es gingen nur einige Tage ins Land, bis die Optus-Geschäftsführerin Kelly Bayer Rosmarin schließlich die betroffenen Kundinnen und Kunden per E‑Mail anschrieb. Die Nachricht, die die meisten erhielten, klang „zerknirscht“: Sie sei „schwer enttäuscht“, schrieb sie darin beispielsweise. Sie gab einige allgemeine Tipps, mit denen sich die Kundinnen und Kunden schützen könnten, nannte jedoch wenige konkrete Maßnahmen.

Kurz darauf veröffentlichte der vermeintliche Hacker dann die Daten von rund 10.000 Personen. Und er forderte von Optus ein Lösegeld in Höhe von einer Million US-Dollar. Sollte das Unternehmen nicht innerhalb einer Woche zahlen, so würde er die anderen gestohlenen Daten nach und nach verkaufen. Die australische Bundespolizei schaltete sich ein und ermittelte, selbst das amerikanische FBI wurde zu Hilfe gerufen.

„Offenes Fenster“ für Hacker

Zunächst versuchte Optus-Chefin Bayer Rosmarin, sich zu rechtfertigen: Ihr Unternehmen sei Opfer eines „ausgeklügelten Angriffs“ geworden, behauptete sie. Der Hacker sitze im Ausland, die zugehörige IP-Adresse stamme „aus Europa“. Doch Nachrichten des vermeintlichen Täters, die an die Öffentlichkeit drangen, ließen an dieser Aussage schnell Zweifel aufkommen. So waren die Botschaften des Hackers in rudimentärem Englisch verfasst und voller Rechtschreibfehler. Zudem gab er selbst zu, dass der Diebstahl einfach gewesen sei – die Daten seien „offen zugänglich“ gewesen.

Für Letzteres spricht auch die harsche Kritik von Australiens Ministerin für Cybersicherheit, Clare O’Neil. Diese schrieb in einem Post auf dem Kurznachrichtendienst Twitter: „Was bei Optus passiert ist, war kein ausgeklügelter Angriff.“ Es sollte in Australien keinen Telekommunikations­anbieter geben, „der das Fenster für Datendiebstahl dieser Art faktisch offen lässt“. Laut Fachleuten soll Optus eine sogenannte Anwendungs­programmier­schnittstelle (API) online gehabt haben, die keine Autorisierung oder Authentifizierung benötigte, um auf Kundendaten zuzugreifen.

Hacker macht Rückzieher

Während der Ärger in Australien hochkochte, sich die Kundenbeschwerden bei Optus häuften und selbst eine Sammelklage angedacht wurde, kam urplötzlich ein Rückzieher des vermeintlichen Hackers. Er entschuldigte sich, schrieb, das Ganze sei ein „Fehler“ gewesen, und löschte die zuvor veröffentlichten Daten wieder. „Zu viele Augen“, hieß es in der Nachricht, die lokale Medien veröffentlichten. Die Daten würden nicht weiterverkauft werden. Hatte Optus die finanzielle Forderung beglichen? Optus bestreitet dies. Hatte der Hacker kalte Füße bekommen, nachdem nun die australische Bundespolizei und selbst das FBI ermittelten? War das ganze nur ein Bluff?

Laut einer Gruppe von Forschenden, die den Fall für das akademische Magazin „The Conversation“ analysierte, besaß der vermeintliche Hacker tatsächlich „legitime Daten“. Dass er sie – wie behauptet – tatsächlich gelöscht hat, glauben die Wissenschaftler jedoch nicht. „Wir müssen uns fragen: Was würde der Hacker gewinnen, wenn er behauptet, sie zu löschen?“, schrieben sie. Viel wahrscheinlicher sei, dass er noch eine Kopie habe. Zudem sei es möglich, dass der Post ein Trick sei, um die Opfer davon zu überzeugen, sich keine Sorgen um ihre Sicherheit zu machen. Damit würde sich dann die Wahrscheinlichkeit erfolgreicher Angriffe mithilfe der Daten erhöhen. Laut der Forscher gibt es auch keine Garantie, dass die Daten nicht bereits an Dritte verkauft wurden.

Operation Guardian

Inzwischen ist der Fall zur „Chefsache“ geworden: Australiens Premierminister Anthony Albanese nannte den Datendiebstahl am Freitag „inakzeptabel“. Er verkündete, dass Optus Ersatzpässe für betroffene Kundinnen und Kunden bezahlen werde. Gleichzeitig rief die australische Bundespolizei eine Sonderaktion – die Operation Guardian – aus, um die Identität der 10.000 Opfer zu schützen, zu denen Details bereits online veröffentlicht wurden.

Laut Albanese soll als Konsequenz aus dem Vorfall auch das Datenschutzgesetz in Australien gestärkt werden. Außerdem sind deutlich härtere Strafen angedacht. Bisher ist die Höchststrafe für Unternehmen auf etwas über 2 Millionen australische Dollar, umgerechnet rund 1,3 Millionen Euro, begrenzt. Im Vergleich dazu können Unternehmen in der EU für ernste Datenschutzverletzungen eine Strafe in Höhe von bis zu 4 Prozent ihres Unternehmens­umsatzes oder maximal 20 Millionen Euro erhalten.

Von Barbara Barkhausen/RND