Standort: fm4.ORF.at / Meldung: "Serienhacks von Sexkontaktbörsen in den USA"

Erich Moechel

CC zazie.at

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

22. 7. 2015 - 19:05

Serienhacks von Sexkontaktbörsen in den USA

Der Angriff auf die Web-Plattform für Sexualkontakte "Ashley Madison" zeigt in den Abläufen erstaunliche Ähnlichkeiten mit dem verheerenden Sony-Hack im Dezember 2014.

Die Serie spektakulärer Hacks geht ungebrochen weiter, mit "Ashley Madison" wurde am Wochenende die zweitgrößte Dating-Plattform für Seitensprünge in den USA gehackt. Erst Ende Mai war "Adult FriendFinder", die Nummer eins auf diesem Markt fürt sexuelle Abenteuer erfolgreich angegriffen worden. Die beiden Firmen verfügen nach eigenen Angaben über mehr als 100 Millionen Kunden, wieviele davon betroffen sind, ist unbekannt. Seitens der betroffenen Unternehmen ist von Insidern die Rede, was aber nicht nur angesichts der Dimensionen beider Fälle wenig glaubhaft ist. Beide Dating-Sites sind in den 20 bzw. 13 Jahren ihrer Existenz nie durch große Datenverluste aufgefallen.

Die Verwaltung des öffentlichen Dienstes (OPM) in den USA wiederum hat mit den Folgen eines einzigartigen Einbruchs zu kämpfen, der ebenfalls Ende Mai an die Öffentlichkeit kam. Bis dahin war kein einziger Fall von Datendiebstahl bekannt, der Millionen behördlicher Sicherheits-Checks für US-Beamte betraf. Diese Datensätze enthalten die intimsten denkbaren Details über die privaten Lebensumstände aller Personen, die sich in den letzten 15 Jahren für eine Stelle im Öffentlichen Dienst beworben haben und in Folge vom FBI überprüft worden waren. Erst Mitte Juli wurden erste Notmaßnahmen zur provisorischen Absicherung von drei Dutzend OPM-Datenbanksystemen verhängt.

Die Sicherheits maßnahmen von Ashley Madison

Ashley Madison

Ashley Madison richtet sich nur an Heterosexuelle, während der Adult FriendFinder für sämtliche Spielarten der Sexualität offensteht.

Die Eskalation bei OPM

Parallel dazu:
Inder ersten Juniwoche tauchte rund um die Atomverhandlungen mit dem Iran die berüchtigte Spionagesoftware im Wiener Palais Coburg auf. Der deutsche Bundestag gab bekannt, dass sämtliche 20.000 PCs wegen eines Spionageangriffs ausgetauscht werden müssen, um nur die eindeutigen Ereignisse zu nennen.

Laut diesen amtlichen Weisungen waren die tatsächlichen Dimensionen dieses Datenangriffs erst nach zweimonatiger forensischer Untersuchung erkannt worden. Bei der Entdeckung im April war man noch von 4,2 Millionen Datensätzen ausgegangen, Anfang Juli galten dann plötzlich 21,5 Mio Personendaten als kompromittiert. Neben aktiven Angestellten des öffentlichen Diensts sind auch Pensionisten, Anwärter oder Mitarbeiter von Vertragsfirmen betroffen, deren gesamte Lebensgeschichten in diesen behördlichen Sicherheits-Checks abgebildet sind.

1,7 Millionen Datensätze betreffen allein die Lebenspartner von Beamten, die in Bereichen mit höheren Sicherheitsstufen arbeiten. Wie wenig vorbereitet die Behörde auf eine solch verheerende Attacke war, zeigt schon allein der Umstand, dass die ersten individuellen Warnungen an die Betroffenen erst nach dem 9. Juli hinausgegangen waren.

Auszug aus der Weisung von OPM

Public Domain

Sexualverhalten, Noten, Disziplin

In einer neueren Weisung vom 16. Juli aus dem Management von OPM sind dann die Datenbanksysteme des Öffentlichen Dienstes aufgelistet, die von den Notmaßmahmen betroffen sind. Neben den eigentlichen Personalakten sind auch die Datenbanken mit Beschwerden und Untersuchungen, Disziplinarangelegenheiten, Entlohnung, Reisen und Urlauben oder Gesundheitsszustand samt indiviuduellen Krankengeschichten. Dazu kommen die Metadaten aller Telefonate, Testergebnisse bei Fortbildungsprogrammen, Disziplinarmaßnahmen und Degradierungen.

Die offizielle Weisungen des OPM-Managements vom 9. Juli und vom 15.

Aber auch alle Anwärter für das "CyberCorps" sind betroffen, sowie US-Staatsbürger, die in den letzten Jahren einen Auskunftsantrag unter dem US-Transparenzgesetz "Freedom of Information Act" an das OPM gestellt haben. Dazu kommen die Protokolle der Befragung von Lebenspartnern, Verwandten und Bekannten aus dem persönlichen Umfeld, auf wahrheitsgetreue Informationen über sexuelle Beziehungen wird logischerweise besonderer Stellenwert gelegt. Diese Personen, die zwar mit Namen und Adressen aufscheinen, werden offenbar nicht einmal mitgezählt, wenn es über sie keine eigenen Personaldatensätze gibt.

Zertifiziertes Desaster

Bereits im Mai hatte der Spionageabwehrexperte John Schindler den OPM-Einbruch als "zertifiziertes Desaster, ein epic #FAIL" bezeichnet, denn diese Datensätze seien eine "Goldmine für ausländische Geheimdienste", da sie alles Nötige enthalten, um US-Beamte zu erpressen und für ihre Dienste zu rekrutieren. Schindler, der lange Jahre NSA-Mitarbeiter war, ist keineswegs ein Whistleblower, sondern erweist sich regelmäßig als erbitterter Verteidiger seines ehemaligen Arbeitgebers. Schindler hatte als erster darauf hingewiesen, dass auch die Datenbank mit den "Background Checks" für den Bereich "nationale Sicherheit" kompromittiert sein muss.

John Schindler betreibt den Blog 20 Committee, der regelmäßig für heftige Kontroversen sorgt

Fragebogen für Bewerber

Public Domain

Angebliche Insiderjobs

In dieses inhaltliche und zeitliche Umfeld fallen die Angriffe auf die beiden Dating-Websites für Sexualkontakte, die in der Vergangenheit nur durch Delikte aufgefallen waren, die in dieser Branche weit verbreitet sind: Falsche Accounts, um einen höheren Frauenanteil vorzuspiegeln, oder fortlaufende Gebühren trotz erfolgter Kündigung des Kontos. Weil sowohl der bereits 1995 gestartete Adult Friendfinder wie auch Ashley Madison (gegründet 2002) keinen Fall von Datenverlust auswiesen, galten gerade diese Websites, die intimste Daten prozessieren, deshalb auch als überdurchschnittlich gut gesichert.

Dass in beiden Fällen von Rachsucht getriebene Insider der Firmen am Werke waren, die im Alleingang handelten, ist angesichts der zeitlichen Abfolge der Angriffe, den bisher sichtbaren Folgen, wie auch vom technisch-organisatorischen Schwierigkeitsgrad kaum vorstellbar. Hier wurden zeitlich knapp hintereinander zwei verschiedene Datennetze penetriert und unterwandert, die direkten Konkurrenten auf demselben Markt gehören.

Botschaft der Hacker von Ashley Madison

Ashley Madison

Dieser Screenshot wurde vom bekanntesten Experten für den kriminellen Untergrund Brian Krebs, gefunden.

Parallelen zum Sony-Hack

Die aktuellen Abläufe im Fall Ashley Madison erinnern geradzu frappierend an die Reaktion von Sony auf den verheerenden Angriff im Dezember. Seitens des Sony-Managements war erst von "Hacktivists" die Rede, dann wurden Insider, nämlich vergrätzte ehemalige Angestellte, verdächtigt und es wurde öffentlich versichert, bereits einschlägige Spuren zu verfolgen.

Der Hergang des Sony-Hacks im Dezember 2014

Wie bei Sony werden auch bei Ashley Madison leitende Angestellte der Firma in den Botschaften der "Hacker" persönlich angesprochen. Dito gab es ähnliche Beschimpfungen und starke Sprüche auch in anonymen Foren, die Kriminelle frequentieren. Besonders auffällig dabei ist, dass beiden Firmen amoralisches Verhalten vorgehalten wurde. Sony war ultimativ aufgefordert worden, eine fertig produzierte Comedy über Nordkorea nicht in die Kinos zu bringen, ansonsten würden alle gestohlenen Daten tranchenweise im Netz verbreitet. Die Betreiber von Ashley Madison sehen sich nun mit der Forderung der "Hacker" konfrontiert, ihre Website komplett vom Netz zu nehmen, ansonsten würden täglich Tranchen von Kundendatensätze veröffentlicht .

"Guardians of Peace"

Public

/Die Bildmetapher der staatlichen Akteure, die das gesamte weltweite Sony-Netz infiltriert hatten: Horror und Tod.

Bis Mittwoch ist noch kein Datensatz von Ashley Madison nachweislich im Netz aufgetaucht, im Fall des Konkurrenten Adult FriendFinder wurden anfangs zwar vier Millionen Datensätze im Netz veröffentlicht. Hier handelte es sich aber nicht etwa um einen "Dump" von Rohdaten aus den Datenbanken, sondern um Auszüge aus den Datenfeldern der Personenprofile, die in Excel-Dateien übertragen wurde. Die wenigen bekannten Screenshots zeigen in erster Linie Stammdaten, Verweise auf sexuelle Präferenzen, die sich alle in einem der ausgewählten paar Datenfelder befinden, sind die Ausnahmen.

Klassenunterschiede

Das Netz von Sony ist zwar um mehrere Dimensionen größer als die Systeme der beiden kompromittierten Sites für Kontakte der sexuellen Art. Doch für die Exfiltration von solchen Datenmassen aus verschiedenen Datenbanken oder Mailservern von kleinjeren Netzen braucht es eine bestimmte Zeit, in der die Angreifer im System aktiv sind. Um eine frühe Enttarnung zu verhindern und diese Datenmengen erfolgreich an Firewalls und "Deep Packet Inspection"- Mechanismen vorbeizuschleusen bedarf es einer entwickelten Spionagesuite, die umfangreiche Tarnmaßnahmen integriert hat. Über Ähnliches verfügt nur das Topsegment der kriminellen Szene, während von Militärgeheimdiensten gesteuerte Gruppen über Tools verfügen, die um Klassen besser sind.

Vorläufiger Epilog

Im Fall des Sony-Hacks wurde schlussendlich im Frühjahr durch US-Außenminister John Kerry persönlich Nordkorea beschuldigt. Vor einer Woche zitierte die New York Times namentlich nicht genannte Offizielle Vertreter der US-Regierung, die staatliche Stellen aus China für die Angriffe auf die Datenbanksysteme verantwortlich machten.