Führerscheindaten von Millionen US-Amerikanern gestohlen

In zwei US-Bundesstaaten haben Kriminelle sensible personenbezogene Daten bei Führerscheinbehörden erbeutet. Die Angriffe sollen über Sicherheitslücken der Software MOVEit erfolgt sein.

Unbefugte haben Millionen Führerscheindaten von Einwohnern der US-Bundesstaaten Louisiana und Oregon entwendet. Hintergrund sind Sicherheitslücken in der Dateiübertragungssoftware MOVEit, über die in jüngster Zeit auch bei weiteren Einrichtungen Daten gestohlen wurden.

Im US-Bundesstaat Louisiana sollen von dem Datendiebstahl alle betroffen sein, die im Besitz eines dort ausgestellten Führerscheins oder Ausweises sind oder in dem Bundesstaat ein Fahrzeug angemeldet haben. Das teilte das Louisiana Office of Motor Vehicles Ende vergangener Woche mit. In dem Bundesstaat leben etwa 4,6 Millionen Menschen.

Die Behörde gab an, Namen, Adressen, Geburtsdaten und Sozialversicherungsnummern seien “wahrscheinlich” gestohlen worden. Auch Angaben zu Größe, Augenfarbe und die Führerscheinnummer sollen von dem Datenleck betroffen sein.

Sozialversicherungsnummern und Führerscheine werden in den USA auch als Identifikationsnachweis verwendet – Kriminelle könnten die Angaben daher für Identitätsdiebstahl nutzen. Die Sozialversicherungsbehörde SSA warnt, dass jedes Jahr Millionen Amerikanerinnen und Amerikaner Opfer von Identitätsdiebstahl werden. Kriminelle könnten mithilfe der Sozialversicherungsnummer auch weitere Informationen über Betroffene herausfinden. Außerdem lassen sich mit einer Sozialversicherungsnummer neue Bank- und Kreditkartenkonten eröffnen.

3,5 Millionen Menschen in Oregon betroffen

Auch das Oregon Department of Transportation erklärte, es seien persönliche Daten von Personen gestohlen worden, die im Besitz eines dort ausgestellten Führerscheins oder Ausweises sind. Insgesamt seien die Daten von 3,5 Millionen Menschen von dem Datenleck betroffen – Oregon hat rund 4 Millionen Einwohner. Nähere Details zu den entwendeten Daten nannte die Behörde nicht, warnte aber vor Missbrauch.

Beide US-Behörden machten keine Angaben dazu, wer hinter den Angriffen stecken könnte.

Die Software MOVEit des US-amerikanischen Anbieters Progress Software wird beispielsweise von Behörden und Unternehmen verwendet, um Daten an Geschäftspartner und Kunden zu übermitteln. Seit Ende Mai sind mehrere Sicherheitslücken in der Software bekannt, für die inzwischen Updates veröffentlicht wurden.

Das Oregon Department of Transportation erklärte, die Software seit dem Jahr 2015 einzusetzen. Am 1. Juni sei die Behörde über eine Sicherheitslücke informiert worden und habe umgehend auf ein anderes System gewechselt – und mit staatlichen Behörden und externen IT-Experten zusammengearbeitet. Am 12. Juni sei dann bestätigt worden, dass persönliche Daten wurden.

US-Energieministerium erhält Erpresserschreiben

Angreifer sollen die Sicherheitslücken auch ausgenutzt haben, um bei mehreren US-Bundesbehörden Daten zu stehlen, darunter das Energieministerium. Dort seien zwei Erpresserschreiben eingegangen, berichtete die Nachrichtenagentur Reuters am Wochenende.

Das Louisiana Office of Motor Vehicles erklärte, es gebe bisher noch keine Hinweise darauf, dass die dort gestohlenen Führerscheindaten verkauft, weitergegeben oder veröffentlicht wurden.

Medienberichten zufolge sollen diese Angriffe zum Teil von einer russischsprachigen Gruppe namens “Cl0p” (auch “Clop”) ausgeführt worden sein. Laut der Washington Post gehen Beobachter davon aus, dass die Gruppe es hauptsächlich auf die Erpressung von Unternehmen abgesehen hat. Hinweise, dass sie im Auftrag der russischen Regierung handelt, gebe es nicht.

Nutzerdaten bei Verivox abgegriffen

Auch international sind Unternehmen und Behörden von MOVEit-Datendiebstählen betroffen: So teilte etwa das deutsche Vergleichsportal Verivox am Freitag mit, bei einem Angriff seien personenbezogene Daten wie Namen, Adressen und E-Mail-Adressen von Nutzerinnen und Nutzern erbeutet worden – in einigen Fällen seien zudem Bankverbindungsdaten betroffen. Um wie viele Datensätze es sich handelt, gab das Unternehmen zunächst nicht bekannt.

Laut Verivox wurden “die Behörden umgehend über den Datenverlust in Kenntnis gesetzt”. Aktuell werde der Vorfall unter Einbeziehung externer IT-Sicherheitsspezialisten geprüft.

Anfang Juni war bereits bekanntgeworden, dass die Sicherheitslücken auch beim Gehaltsabrechnungsdienstleister Zellis in Großbritannien ausgenutzt wurden. Dort sollen Daten von mehr als 100.000 Angestellten der BBC, von British Airways und der Drogeriekette Boots gestohlen worden sein; darunter Adressen, Sozialversicherungsnummern und Bankdaten. Und in der kanadischen Provinz Novia Scotia wurden Angaben der dortigen Verwaltung zufolge ebenfalls Daten aus verschiedenen Verwaltungsbereichen entwendet – darunter von Angestellten der Gesundheitsbehörde. Berichten zufolge soll auch der Verbund staatlicher Universitäten im US-Bundesstaat Georgia zu den Opfern zählen.

Laut der BBC könnten weltweit Hunderte Einrichtungen und Firmen betroffen sein. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Anfang Juni eine Sicherheitswarnung herausgegeben und darin erklärt, es bestehe “unmittelbarer Handlungsbedarf” – die vom Hersteller bereitgestellten Updates sollten “unverzüglich” installiert werden. (js)