Das Hamburger Big-Data-Startup Kreditech ist Opfer eines Datendiebstahls geworden. Dabei wurden persönliche Daten von mehreren tausend Nutzern entwendet. Der Vorfall ereignete sich bereits im Sommer 2014, das Leck ist längst gestopft – die Daten sind allerdings noch immer auffindbar, auf einem Server im Deep Web. Kreditech hat den Vorfall nie öffentlich gemacht.
Der Vorfall
Sowohl das Unternehmen als auch die Hamburger Polizei haben den Datenraub gegenüber Gründerszene bestätigt. „Es ist richtig, dass eine begrenzte Menge sensibler Daten wie Scans von Ausweisdokumenten oder E-Mail-Adressen potenzieller Kreditech-Kunden von einem Unbekannten gestohlen wurden“, sagt ein Polizeisprecher.
„Es gab im Sommer 2014 ein einzelnes internes Sicherheitsereignis“, sagt eine Kreditech-Sprecherin. „Wir haben sofort das LKA informiert und Tests von internen und externen Experten durchführen lassen, die bestätigt haben, dass von außen kein Zugriff auf das Kreditech-System möglich ist.“
Noch einmal die Polizei: „Das seinerzeit festgestellte ‚Datenleck‘ wurde sofort geschlossen. Es handelt sich um einen einmaligen Vorgang. Diese heute veralteten Daten sind zum Teil ins Internet eingestellt worden. Die dabei betroffenen Geschäftspartner wurden offensiv informiert.“
Die Daten, das betont Kreditech, entstammen keinem Hacker-Angriff – stattdessen muss der Täter oder die Täterin sich von innen Zugriff auf das Caching-System der Website verschafft haben. Aus diesem Zwischenspeicher stammen laut Kreditech die Daten. Das Unternehmen betont, die eigentliche Kundendatenbank sei nicht betroffen gewesen.
Die Person müsste also über reguläre Zugriffsrechte auf den Cache verfügt haben. Ein unzufriedener Mitarbeiter? Vorstellbar wäre das. Kreditech-CEO Sebastian Diemer hat sich mit seinem Führungsstil in der Belegschaft nicht nur Freunde gemacht. Immer wieder ist Gründerszene von Mitarbeitern auf die schlechte Stimmung im Unternehmen aufmerksam gemacht worden.
Seit dem Vorfall sind Hinweise auf den Datensatz mehrfach bei Twitter aufgetaucht, versehen mit dem Link auf einen kleinen Teil der Daten. Mitte Februar etwa überzogen dutzende Twitter-Bots das soziale Netzwerk mit Hinweisen auf einen vermeintlichen Hack bei Kreditech. So wurde auch Gründerszene aufmerksam auf den Fall.
Die Twitter-Bots verlinkten auf die Seite eines ostfriesischen Gamer-Clans, wo – offenbar ohne, dass die Seitenbetreiber davon wussten – ein Teil der Daten lagerte. Außerdem befanden sich dort ein Dokument mit der laut Kreditech falschen Behauptung, das Unternehmen sei gehackt worden – und der Link auf einen Server des Anonymisierungsnetzwerks Tor, wo der gesamte Datenbestand untergebracht ist. Nach wenigen Tagen verschwand das Material von der Seite der Gamer, auch die Twitter-Nachrichten schienen gelöscht worden zu sein.
Offenbar besteht aber keine juristische oder technologische Handhabe, um die Daten von dem Tor-Server zu entfernen. Denn diese sind noch immer zugänglich.
Die Daten
Der Datensatz teilt sich in drei Bereiche: einmal mehrere Gigabyte Logdateien, dann mehrere tausend individuelle Angebote für Darlehensverträge, außerdem mehr als 2.000 Scans und Fotos von Ausweisdokumenten. Darin enthalten sind sensible persönliche Daten: Email-Adressen, Klarnamen, Geburtsdaten, Telefonnummern, Ausweisdaten.
Laut Polizei gehören die Daten zu potenziellen Kreditech-Kunden. Das meint: Es handelt sich um Nutzer, die bei den ausländischen Kreditech-Töchtern Kredite angefragt haben, aber nicht unbedingt einen Kreditvertrag abgeschlossen haben. „Wir sprechen also über temporäre Antragsdaten, keine Kundenkonten“, sagt die Kreditech-Sprecherin.
- Die Logdateien sind Ereignisprotokolle: Sie zeichnen mit, wie Nutzer mit dem System interagieren. Der allergrößte Teil der Dateien ist unbrauchbarer Wust. Doch selbst ein Laie braucht nicht besonders viel Zeit, um aus dem mehrere Gigabyte großen Datenhaufen verwertbare Informationen zu filtern: Klarnamen etwa und dazugehörige Email-Adressen oder Telefonnummern. Passwörter scheinen nicht betroffen zu sein. Die Daten kommen aus Australien, der Tschechischen Republik, Spanien, Mexiko, Peru, Russland, Polen – das sind fast alle Länder, in denen Kreditech 2014 mit seinen Töchterfirmen aktiv war.
- Offenbar ausschließlich aus Russland stammen die mehreren tausend PDF-Dokumente, die in kyrillischer Schrift verfasst sind und in denen die russische Kreditech-Tochter Zaimo interessierten Nutzern ein Angebot für den Abschluss eines Darlehensvertrages unterbreitet. Offenbar handelt es sich um ein Standardformular, das sich nur an wenigen Stellen unterscheidet – nämlich dort, wo persönliche Informationen stehen. Die Dokumente enthalten Klarnamen, die dazugehörigen Geburtsdaten und Passnummern sowie den jeweils angefragten Kreditbetrag mit offeriertem Zinssatz und Tilgungsrahmen.
- Die mehr als 2.000 Scans und Fotos von Ausweisdokumenten dürften zum Identitätsnachweis gedient haben. Es handelt sich überwiegend um Personalausweise, aber auch Führerscheine sind darunter, außerdem Kontoauszüge. Fast alle Dokumente kommen aus Spanien, dort ist Kreditech mit der Tochter Kredito24 präsent. In den Personalausweisen stehen Vor- und Nachname, Geburtsdatum und -ort, Wohnadresse sowie Nummer und Ablaufdatum des Dokuments.
Die Bewertung
Wie schlimm ist der Datenraub? Die Polizei spricht von einer begrenzten Menge an Daten – dagegen lässt sich schwer etwas sagen. Jede Menge ist begrenzt. Handelt es sich um eine große Menge an Daten? Zu den Massen an Informationen, die bei spektakulären Hacker-Angriffen erbeutet werden, ist die Beute im Fall Kreditech tatsächlich kein Vergleich. Trotzdem ist eine mindestens vierstellige Zahl an Nutzern betroffen.
Die Polizei sagt, die Daten seien heute veraltet. In der Tat könnte es sein, dass bis heute, ein gutes halbes Jahr nach dem Vorfall, einige Email-Adresse abgemeldet worden und ein Teil der Ausweise abgelaufen sind. Aber bei Stichproben stellt sich schnell heraus, dass die allermeisten Dokumente noch gültig sind – und Email-Adressen noch funktionieren.
Dass die Daten sensibel sind, gibt auch die Polizei zu. Der IT-Sicherheitsexperte Sandro Gaycken von der European School of Management and Technology in Berlin hat sich für Gründerszene die Daten angesehen. „Es sieht mir schon nach sensiblen Daten aus“, sagt Gaycken, „allerdings auch nicht so wahnsinnig sensibel.“ Aber: „Für ein handfestes Datenschutz-Problem reicht das natürlich. Insbesondere mit den Scans von Ausweisen lassen sich viele Betrugsmodelle fahren.“
Die Betroffenen
Laut Polizei wurden die „betroffenen Geschäftspartner“ über den Vorfall offensiv informiert. Damit, das bestätigt ein Polizeisprecher auf Nachfrage, sind die Nutzer gemeint. Die Frage, wie viele Nutzer wann und auf welche Art und Weise informiert wurden, will Kreditech allerdings nicht beantworten. Dies würde die laufenden Ermittlungen gefährden, heißt es.
Gründerszene hat per Zufallsprinzip ein Dutzend Email-Adressen betroffener Nutzer ausgewählt und angeschrieben. Wurden sie über den Datenraub informiert, darüber, dass persönliche Informationen über sie im Netz abrufbar sind? Zwei Nutzerinnen aus Australien meldeten sich zurück. Die Antwort: Nein, sie hätten nie etwas gehört.
Eine öffentliche Mitteilung durch Kreditech hat es seit dem Vorfall nicht gegeben.
Die Ermittlungen
Nachdem der Datendiebstahl entdeckt worden war, hat Kreditech nach eigener Aussage sofort das Landeskriminalamt informiert. Die strafrechtlichen Ermittlungen des LKA und der Hamburger Staatsanwaltschaft in der Sache dauern noch immer an – weswegen „derzeit keine Einzelheiten zum Ermittlungssachstand bekannt gegeben werden können“, so die Polizei. Was die Ermittler zugeben: Einen Tatverdächtigen gibt es bislang nicht.
Das Nachspiel
Auch um das, was seit dem Datendiebstahl passiert ist, bleiben eine Reihe von Fragen offen. Zum Beispiel: Sind der „Datendieb“ und die Person, die eine Auswahl der Daten auf normal zugängliche Websiten hochgeladen hat, identisch?
Und: Wie kam letztgenannte Person an ein Anwaltschreiben von Kreditech? Denn auf der oben erwähnten Seite des Gamer-Clans fand sich im Februar auch eine Datei, die sich wie der förmliche Brief eines Kreditech-Anwalts liest. In dem Text wird ein unbekannter Adressat aufgefordert, bestimmte Inhalte (die Daten?) aus dem Netz zu nehmen. Außerdem wird betont, dass die Behauptung falsch sei, Kreditech sei gehackt worden. Dies habe auch das Landgericht Köln in einer einstweiligen Verfügung bestätigt.
Die Polizei und das Unternehmen bestätigen, dass es in diesem Zusammenhang eine zivilrechtliche Auseinandersetzung gegeben hat. Laut der Kreditech-Sprecherin war der Adressat der einstweiligen Verfügung aber das soziale Netzwerk Twitter, „um die Verbreitung von Falschbehauptungen zu vermeiden“.
Weiter heißt es von der Polizei: „Die Erkenntnisse aus dieser zivilrechtlichen Angelegenheit haben bisher noch keinen entscheidenden Hinweis auf die Täterschaft im Zusammenhang mit dem Strafverfahren erbracht.“
Fest steht: Den Rufschaden eines „Hacks“ scheint Kreditech enorm zu fürchten. Gegen die Behauptung, das Unternehmen sei gehackt worden, gehen die Hamburger immer wieder vor. Ein Twitter-Nutzer, der vor einiger Zeit in einem Tweet eine ähnliche Andeutung machte und auf die Daten verlinkte, bekam umgehend Post von Twitters Legal-Team. Wegen der „mutmaßlich verleumderischen Eigenschaft“ des Tweets sei dieser umgehend zu entfernen. Ansonsten sehe sich Twitter gezwungen, „etwas mit dem Account zu unternehmen“. Gegenüber Gründerszene macht Kreditech klar: „Wenn nötig, werden auch weitere zivilrechtliche Schritte unternommen.“