Seit Dienstag (12. November) bieten Hacker ein 3,8 Gigabyte schweres Datenpaket von Destatis zum Verkauf im Dark Web an. Angeblich enthält es Namen, Adressen, Telefonnummern, E-Mail-Adressen und Log-in-Daten von Unternehmen , die statistische Daten bei Destatis angegeben haben. Auch E-Mails und Dokumente sollen dazu zählen.

Wie die  Neue Zürcher Zeitung (NZZ) berichtet, befinden sich unter den gestohlenen Informationen zum Beispiel die Kontaktdaten eines hessischen Herstellers für Druckmaschinenzubehör und Log-in-Daten eines Maschinenproduzenten aus der Kunststoffindustrie.

Auch Passwörter betroffen

„Den Hackern scheint es gelungen zu sein, tief in das System einzudringen und auch Passwörter zu stehlen“, heißt es in dem Bericht. Demzufolge haben die Cyberkriminellen einzelne Passwörter zu Demonstrationszwecken veröffentlicht, die sogar noch funktionsfähig gewesen sein sollen. „Mit diesen Zugangsdaten ist es möglich, die von den Unternehmen eingereichten Daten einzusehen“, schreiben die NZZ-Autoren. Dazu sollen etwa Warenbewegungen ins Ausland inklusive Rechnungsbeträge zählen.

Angriffsweg noch unklar

Der Angriff erfolgte möglicherweise über die Online-Meldeplattform IDEV (Internet Datenerhebung im Verbund). Auf diesem Portal können Firmen Daten erfassen, die anschließend von Destatis oder den statistischen Landesämtern zu Statistiken weiterverarbeitet werden. Eigentlich soll diese Datenübertragung sicher sein. So heißt es dazu etwa auf der Website des Statistischen Amts Baden-Württemberg: „Mit dieser Technik können Sie Ihre Daten verschlüsselt und somit sicher und vor unbefugten Zugriffen geschützt über das Internet melden.“

Deshalb stellt sich die Frage, wie der Datendiebstahl passiert ist. Der Bericht weist in diesem Zusammenhang darauf hin, dass das Meldesystems erst im August 2024 ein Update erhalten hat. Ob die neue Version eine Lücke aufwies oder die Angreifer einen anderen Weg zum System fanden, ist demnach jedoch nicht bekannt.

Das Statistische Bundesamt selbst konnte laut NZZ bisher noch keine Auskunft über den Vorfall geben. „Wir prüfen derzeit die an uns herangetragenen Hinweise auf ein mögliches Datenleck. Wir haben vorsorglich das IDEV-System vom Netz genommen“, teilt die Behörde auf NZZ-Anfrage mit.

Hinter der Aktion steckt eine prorussische Hackerbande, die sich selbst „Indonesian Cyber Attack“ oder kurz „Indohaxsec“ nennt. Die Gruppe soll sogar einen Tag vor dem Angriff auf Telegram Deutschland als nächstes Ziel ihrer Cyberattacken angekündigt haben.