Werbung

Hacker erbeuten Lohnabrechnungen, Steuer-ID und Telefonnummern von Mitarbeitern deutscher Firmen und stellen sie ins Darknet: Polizei und Staatsanwaltschaft ermitteln

An einem Donnerstag in der ersten Aprilwoche durchlebte das Unternehmen Perbit den wohl schlimmsten Albtraum jeder Softwarefirma: Es wurde gehackt. Eindringlinge zogen große Datenmengen ab. Darunter waren hochsensible Informationen wie Lohn- und Gehaltsabrechnungen, die Sozialversicherungsnummer, Kontodaten oder private Telefonnummern.

Prebit ist ein weithin unbekanntes Unternehmen, es agiert im Hintergrund, fungiert etwa als IT-Dienstleister für andere Firmen und Verbände – z.B. für Industrie und Handelskammern (IHK). Bei ihrem Angriff haben Hacker daher die persönlichen Mitarbeiterdaten von zahlreichen Kunden von Perbit gestohlen.

Die Hacker nutzten die Beute und versuchten Perbit zu erpressen: Geld gegen Daten. Das Unternehmen ließ sich auf Anraten der Ermittlungsbehörden nicht auf die Erpressung ein. Auf Anfrage von Business Insider teilte eine Sprecherin von Perbit mit: „Wir können und dürfen uns nicht von kriminellen Hackern der organisierten Kriminalität erpressen und nötigen lassen. Auch um deren Geschäftsmodell nicht zu fördern. Wir informieren unsere Kunden unverzüglich."

Weiter sagte die Sprecherin: „Wir arbeiten Hand in Hand mit Staatsanwaltschaft und Polizei und haben den Angriff unverzüglich zur Anzeige gebracht sowie die zuständigen Datenschutzbehörden umgehend informiert.“

Das Landeskriminalamt, die Staatsanwaltschaft Köln und die in Köln angesiedelte Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) ermitteln in dem Fall unter dem Aktenzenzeichen 230 UJs 35/22. Der offizielle Anlass der Ermittlungen: Erpressung. Das teilt ein Sprecher der Kölner Staatsanwaltschaft mit.

Zu dem Ausmaß des Datenraubs machen weder die Ermittlungsbehörden noch Perbit selbst genaue Angaben. Die Behörden verweisen auf „ermittlungstaktische Gründe“, das Unternehmen macht grobe Angaben. „Aus Datenschutzgründen werden wir hierzu keine genauen Angaben machen. Dennoch ist zu verzeichnen, dass eine erhebliche Anzahl unserer Kunden von dieser kriminellen Attacke betroffen war und ist. Unsere Mitarbeiter sind mit allen Kunden im engen Kontakt, um die sichere Wiederinbetriebnahme der Systeme mit den Kunden zu begleiten“, sagt eine Sprecherin von Perbit zu Business Insider. Nach eigenen Angaben liefert Perbit für Hunderte Unternehmen in Deutschland Software-Lösungen für den Personalbereich.

Die Hacker drohten Perbit damit, die gestohlene Datenbank im Darknet zu veröffentlichen, falls die Firma das Lösegeld in Millionenhöhe nicht zahlen würde. Ausgerechnet im Darknet, einer Schattenwelt im Netz, in der sich Kriminelle tummeln, um dort illegale Geschäfte im Geheimen abzuwickeln. Nachdem sich Perbit geweigert hat, das Geld zu zahlen, wurde die Datenbank im Darknet tatsächlich veröffentlicht. Das bestätigen das Unternehmen und die Ermittlungsbehörden.

Gehaltsabrechnungen, Sozialversicherungsnummern und Telefonnummern von hunderten Bürgern wurden nun auf der Spielwiese von Kriminellen offengelegt. Es dauerte offenbar nur wenige Wochen, bis die ersten Phishing-Mails die Runde machten, basierend auf den geleakten Daten. Das geht aus einem internen IHK-Dokument hervor, das Business Insider vorliegt.

Im Nachgang des Cyberangriffs wurde auch das System von Perbit lahmgelegt, die Firma konnte erst mithilfe von Forensikern und Experten die Systeme wieder stabilisieren und in Betrieb nehmen. Weder die Behörden noch Perbit wollen sich dazu äußern, wer möglicherweise hinter dem Hack stehen könnte.

Die betroffenen Unternehmen informieren derzeit ihre Mitarbeiter und ehemaligen Mitarbeiter über den Cyberangriff und den Diebstahl ihrer persönlichen Daten. "Wir möchten unser außerordentliches Bedauern über diesen Vorfall zum Ausdruck bringen", heißt es in einem Schreiben an IHK-Mitarbeiter. Zudem werden die Opfer vor dem Missbrauch ihrer Daten gewarnt. Ausdrücklich wird auf das Risiko von "Identitätsklaus" hingewiesen.

Dieser Artikel erschien bereits am 28.5. und wurde nun aktualisiert.