Der Redakteur | 31.01.2024 Datenklau bei der Unfallkasse Thüringen - Wer ist betroffen?

31. Januar 2024, 19:09 Uhr

Die Unfallkasse Thüringen (UKT) ist die gesetzliche Unfallversicherung für rund 750.000 Thüringer. Also unter anderem für Kindergarten- und Schulkinder, Studenten und Angestellte von Kommunen oder des Landes. Das bedeutet aber nicht, dass 750.000 Datensätze gestohlen wurden.

Der Hackerangriff auf die Unfallkasse Thüringen (UKT) kurz vor Weihnachten 2023 war ein ernstzunehmender und schwerer Fall und auch nicht der erste dieser Art für die Unfallkasse Thüringen. Schon 2022 hatte es einen ähnlichen Vorfall gegeben. Daraufhin waren die Sicherheitsvorkehrungen deutlich erhöht worden, aber offenbar nicht hoch genug.

UKT-Geschäftsführerin Sabine Dexheimer betont, dass die Struktur der Systeme geändert wurde, die Mitarbeiter wurden geschult, eine Zwei-Faktor-Authentifizierung wurde eingeführt, gesonderte Überprüfungsmechanismen durch eigene und fremde Mitarbeiter ergänzt. Zudem wurden die Ressourcen im Bereich der EDV ausgeweitet.

Wir haben eine Vielzahl von Aktivitäten entfaltet, die aber leider trotzdem nicht die nötige Sicherheit gebracht haben.

Sabine Dexheimer Unfallkasse Thüringen

Über weitergehende Maßnahmen wird natürlich jetzt auch wieder nachgedacht. Zum Beispiel wäre eine andere Struktur der Endgeräte denkbar, heißt: neue Rechner. Auch will man weitere serverinterne Maßnahmen ergreifen, die jemandem, der eingedrungen ist, die Handlungsmöglichkeiten weiter erschweren. Aber irgendwann ist auch ein Punkt erreicht, an dem Aufwand und Nutzen in keinem Verhältnis mehr stehen.

Zur Einordnung: Die weiteren Maßnahmen erhöhen die Sicherheit vielleicht nur noch von 99,5 auf 99,6 Prozent. Ein Restrisiko wird schon deshalb immer bleiben, weil täglich neue Schadsoftware-Varianten in Umlauf gebracht werden. Das Bundesamt für die Sicherheit in der Informationstechnik zählt im Schnitt 250.000 jeden Tag.

Welche Daten wurden gestohlen?

In erster Linie sind es die Betriebsdaten der Einrichtungen, also von Stadtverwaltungen oder Schulen. Dazu gehören Adressdaten, Bankverbindungen oder Lohnsummen aber auch Passwörter für das UKT-System, mit denen sich die Einrichtungen einloggen können. Von Bürgern, die schon einmal wegen eines Unfalls mit der Unfallkasse in Kontakt waren, sind es ebenfalls die persönlichen Daten, bis hin zu Details des Versicherungsfalles. Die Einzelheiten hat die Unfallkasse bekanntgegeben.

Blick in einen Serverraum.
Daten liegen auf solchen Servern Bildrechte: picture alliance / dpa | Google Handout

Vom Datendiebstahl möglicherweise betroffene Daten (Quelle: UKT):

Daten der Mitgliedseinrichtung (z.B. der Verwaltung oder der Schule):

  • Betriebsdaten: Name, Anschrift, Kommunikationsdaten, Bankverbindung, Informationen zur Einzugsermächtigung, gemeldete Lohnsummen, festgesetzte Beiträge, Ansprechpartner für die Meldung der Lohnsummen
  • Mitgliedsnummer bei der UKT, Unternehmernummer
  • PIN für den Stammdatendienst (elektronische Meldung der Lohnsummen)
  • Initialpasswort für die Anmeldung bei unserem Online-Mitglieder-Service

Daten von Bürgern im Zusammenhang mit gemeldeten Arbeitsunfällen:

  • Stammdaten wie Name, Anschrift, Geschlecht, Kommunikationsdaten, Bankverbindung
  • Versicherungsfalldaten: Unfalldatum, Unfallart, Art der Verletzung, Diagnosen, Unternehmenszuordnung, Vorerkrankungen, Krankenversicherung, Rentenversicherung
  • Ergebnisse von Unfall- und Berufskrankheiten-Untersuchungen

Daten von Bürgern mit Seminaranmeldungen bei der UKT ab dem 01.01.2023:

  • Stammdaten: Name, Anschrift, Geschlecht, Kommunikationsdaten, Unternehmenszuordnung, Funktions- oder Dienstbezeichnung
  • Im Falle der Erstattung von Reisekosten: Bankverbindung

Passwortabfrage im Internet 17 min
Bildrechte: Colourbox.de
17 min

Sabine Dexheimer ist Geschäftsführerin Unfallkasse Thüringen. Sie ordnet den neuerlichen Datenklau ein.

MDR THÜRINGEN - Das Radio Mi 31.01.2024 09:48Uhr 17:17 min

https://www.mdr.de/mdr-thueringen/audio-2545000.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio

Was heißt "Daten gestohlen", sind die dann weg?

Gestohlen in der IT bedeutet nicht, dass da etwas abhandengekommen ist wie eine gestohlene Brieftasche. Wenn jemand zu Hause Dateien auf einen Stick zieht oder im Internet herunterlädt, bleiben die Daten ja in der Regel trotzdem auf dem Originallaufwerk. Daten werden eher kopiert als geklaut.

Natürlich ist auch das Löschen denkbar oder eben das Verschlüsseln. Letzteres ist der Unfallkasse passiert. Die Daten wurden quasi erst heruntergeladen und dann wurde die Datenbank verschlüsselt. Das Ziel: Entschlüsselung gegen Geldzahlung. Wird nicht gezahlt, werden die Daten für andere Missbrauchsinteressierte im Darknet zum Herunterladen bereitgestellt. Das ist das Geschäftsmodell der Täter.

Wir haben nicht gezahlt, sondern Strafanzeige gestellt, in der Folge wurden die Daten ins Darknet gestellt, waren dort also abrufbar.

Sabine Dexheimer Unfallkasse Thüringen

Nun sind das nicht alles lesbare Word- oder PDF-Dateien, sondern das ist ein für Menschen unlesbarer SQL-Datensalat, für dessen Konsumierung es schon einiger IT-Kenntnisse bedarf. Dieser Datensalat stand also nun im Darknet bereit. Herauszufinden, ob den jemand heruntergeladen hat, das ist nun Aufgabe des LKA.

Die Unfallkasse selbst hat natürlich ein Backup ihrer Daten. Das heißt: Das Verschlüsseln der Datenbank durch die Täter war zwar ärgerlich, aber – um im heimischen PC-Bild zu bleiben – Festplatte plattmachen, Backup einspielen und alles ist wieder gut.

Was tun, wenn meine Daten betroffen sind?

Auch wenn das Risiko gering ist, es könnte jemand die im Darknet bereitgestellten Daten heruntergeladen haben oder die Hacker selbst haben eine "Tochtergesellschaft", die sich mit der Datenverwertung beschäftigt. Wenn dem so ist, könnten die Daten dazu verwendet werden, sogenannte Phishing-Mails zu versenden.

 Phishing Mail im Spam Ordner eines Email Postfachs
Eine typische Phishing Mail, die einen bekannten Absender vorgaukelt. Bildrechte: IMAGO / Rüdiger Wölk

Das sind Mails, die Menschen verleiten, Links anzuklicken, die zu Seiten führen, die Schadsoftware installieren. Oder man gelangt auf Seiten, wo weitere sensible Daten wie Kontodaten eingegeben werden sollen. Solche Mails sehen natürlich glaubhafter aus, wenn sie Angaben zur Person enthalten. Also: Plötzlich stimmt der Name, es wird Bezug genommen auf den Unfall und schon steigt die Bereitschaft, die "unbedingt erforderlichen" IBAN- oder Kreditkartenummern einzugeben.

Heißt: Erhöhte Vorsicht bei allen Betroffenen, wobei die ohnehin gelten sollte. Denn das Bundesamt für die Sicherheit in der Informationstechnik registriert pro Monat zwei solcher Ransomware-Angriffe (= Erpressung) auf Verwaltungen wie auf die Unfallkasse und 68 "erfolgreiche" auf Unternehmen.

Und überall liegen unsere Daten. Der Angriff auf die Daten der Unfallkasse hat ein permanent bestehendes Problem eigentlich nur für jedermann noch einmal sichtbar gemacht und sollte vor allem als warnender Zeigefinger verstanden werden. Denn mit Hilfe gestohlener Daten werden die Mails in unseren Spamordnern, die im Normalfall vor Schreibfehlern nur so strotzen, vertrauenerweckend. Und das ist das Gefährliche.

Sollten Sie jemals Zweifel an der Rechtmäßigkeit einer E-Mail, eines Briefes, einer Textnachricht, eines Anrufs oder einer anderen Mitteilung haben, die Sie von der UKT erhalten, setzen Sie sich bitte mit uns in Verbindung

Hinweis der Unfallkasse Thüringen für Betroffene

Mehr zur Datensicherheit

MDR (dvs)

Dieses Thema im Programm: MDR THÜRINGEN - Das Radio | Ramm am Nachmittag | 31. Januar 2024 | 16:40 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/e23f8056-d86c-414d-b032-19bb109fe9db was not found on this server.