GIS-Skandal
Hacker stahl Meldedaten aller Österreicher: Drei Jahre Haft
04.07.2023Ein Gericht in Amsterdam verurteilte Erkan S. zu drei Jahren Haft. Ein Wiener Anwalt verklagt den nicht rechtskräftig mutmaßlichen Cyberkriminellen jetzt auf Schadenersatz.
Amsterdam/Wien. Jener Hacker, der neun Millionen österreichische Meldedaten aus der GIS-Datenbank gestohlen und im Internet zum Verkauf angeboten hatte, wurde kürzlich von einem Gericht in Amsterdam zu einer Haftstrafe verurteilt, wie die niederländische Zeitung "AD" berichtet. Der Beschuldigte Erkan S., ein 25-jähriger niederländischer Staatsbürger mit türkischen Wurzeln, muss drei Jahre ins Gefängnis - davon zwei unbedingt. Das Urteil ist nicht rechtskräftig.
Das Doppelleben des Erkan S.
Tagsüber arbeitete Erkan S. aus Almere (etwa 20 Kilometer östlich von Amsterdam) als Dateningenieur bei einer Amsterdamer Immobilienfirma – in seiner Freizeit handelte er mit gestohlenen Datenbanken. Diese werden von Hackern im Internet angeboten und verkauft.
So kam er an die Meldedaten aller Österreicher
An die Meldedaten von neun Millionen Österreichern war er durch eine Schlamperei bei einer Wiener IT-Firma gelangt, welche die GIS mit der Neustrukturierung ihrer Datenbank beauftragt hatte. Ein Mitarbeiter der Firma dürfte für eine Teststellung die echten Meldedaten der GIS verwendet haben, und diese Datenbank war so – ohne Zugangssicherung – für etwa eine Woche im Internet verfügbar. Erkan S. fand die Daten über eine Suchmaschine und saugte sie ab. Betroffen waren praktisch alle österreichische Meldedaten, also Namen, Geburtsdaten und Meldeadressen aller Bürger.
Der Hacker bot die Datenbank schließlich unter dem Pseudonym "DataBox" im Hackerforum "raidforum.com" zum Verkauf an und fand tatsächlich einen Käufer – einen Ermittler des Bundeskriminalamtes, der sich bereits mit dem Fall beschäftigte. Er kaufte den Datensatz um einen mittleren vierstelligen Betrag und erhielt vom Hacker die Zusage, dass dieser die Daten nicht weiter zum Verkauf anbieten würde. So brachte der Ermittler die Klärung des Falles ins Rollen. Im November 2022 wurde der Hacker in den Niederlanden verhaftet.
Erkan S.: "Datenbanken wie Pokémon-Karten gesammelt"
Erkan S., der laut "AD" behauptet "Datenbanken wie Pokémon-Karten gesammelt" zu haben, bot insgesamt 16 Datensätze zum Verkauf an – darunter zum Beispiel medizinische Daten von 4,4 Millionen Kolumbianern oder auch Informationen über Mitglieder des "Königlichen Niederländischen Kletter- und Bergsteigerverbands". Außerdem war Erkan S. auch in Phishing verwickelt. Die Polizei fand auf seinem Computer eine Phishing-E-Mail und Hunderte Wiederherstellungscodes für Online-Wallets, in denen Kryptomünzen (Coins) gespeichert sind.
Das Gericht verurteilte Erkan S. auch wegen Diebstahls von Kryptomünzen im Wert von 300.000 Euro – die Opfer dieses Diebstahls sind unbekannt.
So argumentiert das Gericht die Verurteilung
Die Informationen der Datensätze sind nicht zur Veröffentlichung bestimmt – Nutzer müssen sich auf die Vertraulichkeit der von ihnen (online) bereitgestellten personenbezogenen Daten verlassen können, stellte das Amsterdamer Gericht fest. "Der Angeklagte hat hiergegen grob verstoßen", so die Richter. Denn die Datenbanken, die Erkan S. in Internetforen zum Verkauf anbot, würden von Kriminellen genutzt, um Menschen zu betrügen.
Wiener Anwalt verklagt Erkan S.
Rechtsanwalt Dr. Philipp Springer verklagt im Auftrag seines Mandanten den Cyberkriminellen jetzt auf Schadenersatz. Bei der Musterklage soll es um eine "symbolische Summe" gehen. Anwalt Philipp Springer führt mehrere Zivilverfahren aufgrund des im Mai 2020 erfolgten Hackangriffes auf die GIS. "Wir klagen sowohl die GIS als auch den Hacker", sagt Springer gegenüber oe24.