USA: Angreifer erbeuten Daten von 1,3 Millionen Menschen
IT-Angreifer haben sensible personenbezogene Daten von Einwohnerinnen und Einwohnern des US-Bundesstaates Maine gestohlen. Das hat die Regierung des Bundesstaates am Donnerstag bestätigt. Betroffen sind demnach etwa 1,3 Millionen Menschen – und damit nahezu die gesamte Bevölkerung von Maine.
Wie die Regierung von Maine mitteilte, wurden bei dem Angriff Daten wie Namen, Sozialversicherungsnummern, Geburtsdaten, Führerscheinnummern und Steuernummern gestohlen. Welche Daten betroffen sind, unterscheide sich jedoch von Person zu Person – Einwohnerinnen und Einwohner von Maine sollen über eine Hotline Kontakt aufnehmen, um herauszufinden, welche ihrer Daten gestohlen wurden.
Bei einigen Personen seien darüber hinaus “bestimmte Arten von medizinischen Informationen” und Krankenversicherungsdaten von dem Diebstahl betroffen.
Insbesondere Sozialversicherungsnummern und Führerscheindaten sind sensible Informationen, weil sie in den USA auch als Identifikationsnachweis verwendet werden – Kriminelle könnten die Angaben daher für Identitätsdiebstahl nutzen. Die zuständige Behörde Social Security Administration warnt, dass jedes Jahr Millionen Amerikanerinnen und Amerikaner Opfer von Identitätsdiebstahl werden. Kriminelle könnten mithilfe der Sozialversicherungsnummer auch weitere Informationen über Betroffene herausfinden.
Weltweit Angriffe über MOVEit-Sicherheitslücken
Hintergrund des Angriffs sind seit Ende Mai bekannte Sicherheitslücken in der Datenübertragungssoftware MOVEit, für die inzwischen Updates veröffentlicht wurden. Auch der Angriff auf die Systeme in Maine ereignete sich demnach bereits Ende Mai. Man habe den eigenen MOVEit-Server damals sofort offline genommen, Updates installiert und externe IT-Sicherheitsexperten hinzugezogen. Eine anschließende Untersuchung sei nun abgeschlossen, sodass Einwohnerinnen und Einwohner über den Datendiebstahl benachrichtigt werden könnten.
Weltweit wurden über die Sicherheitslücken zahlreiche Organisationen angegriffen. Wie die Nachrichtenagentur Bloomberg in der vergangenen Woche berichtete, sind Kriminelle etwa beim US-Jusitzministerium sowie Teilen des Verteidigungsministeriums an mehr als 630.000 E-Mail-Adressen gelangt.
Kriminelle hatten zudem in den US-Bundesstaaten Louisiana und Oregon Millionen Führerscheindaten erbeutet. Auch bei einem Dienstleister der US-Regierung wurden sensible Daten von Millionen Menschen abgegriffen – darunter Sozialversicherungsnummern und Gesundheitsdaten.
In Deutschland war bekannt geworden, dass die Sicherheitslücken in MOVEit auch ausgenutzt wurden, um beim Dienstleister Majorel Daten abzugreifen. Über das Tochterunternehmen Kontowechsel24.de will der Anbieter Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern. Bei dem Angriff wurden Daten von Tausenden Kunden der Deutschen Bank, Postbank sowie der Direktbanken ING und Comdirect entwendet.
Auch beim deutschen Vergleichsportal Verivox sowie bei einem externen Dienstleister der Barmer-Krankenkasse hatten Angreifer die MOVEit-Lücken ausgenutzt und personenbezogene Daten erbeutet.
Daten von Millionen Menschen gestohlen
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Anfang Juni eine Sicherheitswarnung herausgegeben und darin erklärt, es bestehe “unmittelbarer Handlungsbedarf” – die vom Hersteller bereitgestellten Updates sollten “unverzüglich” installiert werden.
Nach Angaben der IT-Sicherheitsfirma Emsisoft sind inzwischen weltweit mehr als 2500 Organisationen und die Daten von über 69 Millionen Personen betroffen. Das Unternehmen hat unter anderem Mitteilungen über Datenlecks sowie Börsenmitteilungen für die Statistik ausgewertet. (js)