Ende Januar wurden in einem Untergrundforum angebliche Daten von rund 50 Millionen Europcar-Kunden angeboten. Europcar reagierte schnell und bestritt, dass es sich um eine echte Datei handele. Weder seien die Daten in sich konsistent, noch seien insbesondere die E-Mail-Adressen bei Europcar überhaupt bekannt.
Während Europcar die Vermutung äußerte, dass diese Daten mittels generativer KI (z.B. ChatGPT) erzeugt wurden, sind andere Sicherheitsforscher der Meinung, dass hier keine KI am Werk war. Allen gemeinsam ist jedoch die Meinung, dass diese Daten maschinell generiert wurden. Auch im Forum kam schnell der Verdacht auf, dass die zum Kauf angebotenen Daten nicht authentisch seien, was schließlich dazu führte, dass der Verkäufer im Forum gesperrt wurde.
So interessant die Geschichte auf den ersten Blick auch sein mag, ein Blick „hinter die Geschichte“ offenbart weitere interessante Aspekte:
Ehre unter Kriminellen
Ein Narrativ im Ransomware-Umfeld der letzten Jahre ist die vermeintliche „Ehre“ der Cyberkriminellen: Wenn man für die Entschlüsselung zahlt, gebietet es die „Ehre“ der Kriminellen, auch den Schlüssel herauszugeben; nur ist „Ehre“ hier wirklich nicht das richtige Wort. Die Herausgabe des Schlüssels gegen Lösegeld hat nichts mit Ehre zu tun. Das ist schlicht und einfach der Geschäftstrieb von Kriminellen: Würde es sich herumsprechen, dass trotz Zahlung kein Schlüssel herausgegeben wurde, wäre das geschäftsschädigend, also reiner Eigennutz und keine „Ehre“.
Auch die Meinung, dass Kriminelle sich untereinander nicht betrügen, ist eher einem verklärten Robin Hood Narrativ geschuldet als den Tatsachen: Im obigen Fall hat ein Krimineller versucht, andere Kriminelle zu betrügen. Man kann nur hoffen, dass es noch keine Käufer gab. Und nur weil den Käufern der Weg über die offizielle Justiz versperrt ist, heißt das noch lange nicht, dass keine Konsequenzen zu befürchten sind. In der Vergangenheit haben ähnliche Aktionen zu sehr unrühmlichen Ergebnissen geführt. Das „Doxing“ (die virtuelle Entlarvung des Betrügers durch Hacken des E-Mail-Accounts, Veröffentlichung der echten Adresse, Persoscans, Veröffentlichung von Referenzpersonen usw.) ist dabei nur der Anfang. Doxing Informationen sind das, was man in den Foren sieht. Was ein möglicherweise betrogener Krimineller mit diesen Informationen in der realen Welt anstellt, sieht man nicht … vielleicht zum Glück.
Kennen Sie Ihre Daten?
Der vielleicht interessantere Aspekt aus Sicht der Verteidigung ist aber die Reaktion von Europcar. Europcar machte schnell und sehr deutlich klar, dass die Daten nicht echt waren. Der Vorfall zeigt aber auch, dass Kriminelle sehr wohl gefälschte Daten produzieren – sei es, um diese zu verkaufen (wie in diesem Fall) oder auch, um potentielle Opfer damit zu erpressen. Und genau hier wird es spannend. Stellen Sie sich vor, ein Unternehmen erhält (z.B. nach einem Ransomware Vorfall) eine weitere Erpressungsnachricht à la „Wir haben Ihre Daten! Anbei ein Beispiel. Wenn Sie nicht wollen, dass diese veröffentlicht werden …“.
Und nun die entscheidende Frage: Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht? Je länger der Entscheidungsprozess dauert, desto nervöser kann das Management werden. Und diese Nervosität erhöht u.U. die Wahrscheinlichkeit, dass gezahlt wird – nur so als Failsafe-Lösung.
Daraus ergeben sich zwei wichtige Schlussfolgerungen für die Verteidigerseite. Erstens muss dieses Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, in die Risikobetrachtung einbezogen werden. Zweitens sollten dementsprechend auch risikomindernde Maßnahmen bzw. Verifikationsmaßnahmen (Prozesse, Zugriffsrechte, Personen) im Vorfeld definiert werden. Ansonsten kann es sehr schnell passieren, dass z.B. das beauftragte Incident Response Team die Daten nicht schnell genug verifizieren kann, weil z.B. die Datenbanken technisch nicht zugänglich sind. Ein weiterer Aspekt gerade bei personenbezogenen Daten ist sicherlich die DSGVO. Wie kann man in so einem Fall personenbezogene Daten verifizieren, ohne gegen die DSGVO zu verstoßen?
Beides sind Dinge, die man *im Vorfeld* relativ einfach definieren kann: Im Falle eines Falles kann dann der entsprechende Prozess geordnet durchlaufen werden. Ist der Prozess nicht definiert, bricht oft das große Chaos und die Panik aus – mit dem Effekt, dass die Aussage, ob die Daten mit denen erpresst wird, nicht zeitnah getroffen werden kann. Das wiederum erhöht die Wahrscheinlichkeit, dass die Erpresser zahlen.
Tipps:
1. Bereiten Sie sich darauf vor, mit (angeblich) gestohlenen Daten erpresst zu werden.
2. Definieren Sie vorab Prozesse, mit denen Incident Responder im Falle eines Falles schnell (technisch) und rechtlich sauber auf Daten (lesend) zugreifen können, um die Authentizität eines Dumps zu verifizieren.
Udo Schneider, Security Evangelist Europe bei Trend Micro