Marc Ruef hat seine Einschätzung zum Fedpol-Hack vom Juni 2023 in einem Interview mit Joel Dittli auf zentralplus geteilt. Zahlreiche Personaldaten von Fussballfans sind nach einer Cyberattacke auf Xplain im Darknet gelandet (scip hat berichtet). Fans, welche einen Eintrag in der sogenannten Hoogan-Datenbank beim Fedpol aufwiesen, müssen derweil mit dem Abfluss persönlicher Daten rechnen, wie beispielsweise Namen, Adresse, Nationalität und ein codiertes Bild, welches die eindeutige Identifizierung der betroffenen Person ermöglicht. Dabei rät Ruef zu erhöhter Wachsamkeit im Internet und warnt ebenfalls vor Phishing- oder Erpressungsversuchen im Netz.

Sensible Daten Hunderter Personen sind im Darknet gelandet. Dabei hätten diese gar nicht mehr existieren dürfen. Wie kommentieren Sie diese Panne des Fedpols?

Ob und inwiefern das Fedpol direkt bzw. indirekt Mitschuld an diesen Zwischenfall trägt, lässt sich nicht ohne weiteres beantworten. Es stellt sich aber sicher die Frage, ob diese Daten in der gegebenen Form abgelegt und Dritten zur Verfügung gestellt haben werden dürfen. Je nachdem wurde hier gegen das «Bearbeitungsreglement HOOGAN» (z.B. Art. 11 und Art. 22) sowie damit verknüpfte gesetzliche Grundlagen verstossen.

Was haben die Personen zu befürchten, die in diesem Datenpaket im Darknet aufgeführt sind – samt Name, Geburtsdatum, Adresse, Geschlecht, Nationalität und einem codierten Bild von sich selbst?

Wie bei jedem Veröffentlichen von personenidentifizierenden Daten können diese für Identitätsdiebstahl oder zielgerichtetes Phishing missbraucht werden. Da die Daten jedoch in einem negativen Kontext zusammengetragen wurden, kann ebenso unmittelbare Erpressung die Folge sein.

Das Fedpol hat erwirkt, dass die Daten von den Hackern offline genommen worden sind. Haben Sie demnach Lösegeldforderungen o.ä. erfüllt, oder hat das allenfalls mit purer Autorität des Fedpols geklappt?

Eine kriminelle Vereinigung ist solange erfolgreich, wie sie unter dem Radar der Ermittlungsbehörden fliegen kann. Sobald sie zu viel Aufmerksamkeit der Behörden erfährt, steigt das Risiko einer Zerschlagung überproportional an. Dies wollen professionelle Gruppierungen verhindern. Es kann also durchaus sein, dass eine Bundesbehörde wie das Fedpol entsprechenden Druck aufbauen kann. Oder man hat eine partielle Zahlung vorgenommen, um die Täterschaft in dieser Hinsicht gütlich zu stimmen.

Unsere Redaktion hat Kenntnis davon, dass jemand anderes als die Hackergruppe die Daten erneut hochgeladen hat. Der Satz «Was einmal im Netz landet, kriegst du dort nicht mehr weg» scheint mehr zu sein, als eine blosse Floskel. Korrekt?

«Das Internet vergisst nie», wie es so schön heisst. Solange jemand die Daten hortet, könnten sie auch zukünftig missbraucht werden. Generell ist es ein Irrglaube, dass von Ransomware-Gangs zurückgezogene Daten «gelöscht» sind. Sie sind zwar nicht mehr öffentlich verfügbar. Die Chancen sind aber immer gross, dass sie zu einem späteren Zeitpunkt andernorts wieder in Umlauf kommen.

Das Fedpol hat mit ihrer Mitteilung, die Daten seien gelöscht, quasi Entwarnung gegeben. Doch sollten die Daten tatsächlich erneut hochgeladen worden sein – wovon das Fedpol ja ausgehen musste – ändert sich am Problem der Personen, die betroffen sind, nichts. Hat das Fedpol bewusst verschwiegen, dass die Daten jederzeit wieder hochgeladen werden könnten – auch von Drittpersonen und hätte dies tun müssen?

Taktisches Nichterwähnen ist ein gern genutztes Mittel, um die Wahrnehmung indirekt zu beeinflussen. Ob dies hier absichtlich getan wurde, kann ich nicht sagen.

Inwiefern darf sich ein Arbeitgeber, ein Vermieter oder sonst jemand auf die Daten aus dem Darknet beziehen, und beispielsweise die Wohnung oder den Job der Person kündigen, die sie aufgrund der Darknet-Daten wiedererkannt hat? Sowohl der Upload als auch der Download sind illegal – aber die Tatsache, dass jemand in der HOOGAN-Datenbank war, bleibt ja ein Fakt. Und ist ein möglicher Kündigungsgrund.

Der Straftatbestand der «Datenhehlerei» existiert in der Schweiz gegenwärtig nicht, entsprechende Motionen wurden bisher immer abgelehnt. Es ist durchaus möglich, dass Dritte Erkenntnisse aus diesem Datensatz gewinnen können und für ihre Entscheidungen beiziehen wollen. Wenn sie sich dabei nicht explizit darauf beziehen, wird es für Betroffene schwierig, sich dagegen zu wehren. Vielleicht wäre es das nächste Mal aber auch eine gute Idee sich darum zu bemühen, dass man gar nicht erst in eine solche Datenbank aufgenommen wird.

Was raten Sie den betroffenen Personen? Was raten Sie dem Fedpol?

Die Gesetzgebung in der Schweiz gibt den betroffenen Personen wenig Möglichkeiten gegen das Fedpol vorzugehen. In erster Linie sollten sie sich darauf fokussieren, sich dem erhöhten Risiko des Datensatzes bewusst zu sein und bei entsprechenden Angriffsversuchen (Phishing oder Erpressung) intelligent zu reagieren. Ebenso bleibt der Handlungsspielraum des Fedpols eingeschränkt. Auf technischer Ebene sind die Möglichkeiten voraussichtlich ausgeschöpft. Jetzt geht es in primär darum die Situation in der öffentlichen Wahrnehmung und auf rechtlicher Ebene unter Kontrolle zu behalten.

Links

• https://www.zentralplus.ch/sport/fc-luzern/dieser-fussballfan-landet-wegen-fedpol-hack-im-darknet-2564242/

Tags