von Christian Kirchner, 20. September 2023
Über die kommunikativen Umstände des Daten-Leaks bei der Deutschen Leasing hatten wir uns ja neulich schon gewundert. Erst – wartete man wochenlang vergeblich auf Details. Dann – war plötzlich vom „Darknet“ die Rede und einem „potenziell betroffenen Personenkreis“, der fast jeden zu umfassen schien, der jemals mit der Sparkassen-Tochter zu tun hatte. Alles irgendwie seltsam! Indes: Neue Recherchen von Finanz-Szene legen nun den Verdacht nahe, dass es weniger am Unwillen lag, dass die Deutsche Leasing nicht transparenter kommuniziert hat. Sondern am Unwissen.
Konkret: Unmittelbar nach dem heftigen Cyber-Agriff vom 3. Juni gab das Unternehmen laut unseren Informationen ein forensisches Gutachten in Auftrag – und zwar bei dem auf Cyber-Sicherheit spezialisierten US-Konzern CrowdStrike. Die Antwort kam exakt zwei Wochen später. Demnach hatte CrowdStrike festgestellt, dass von den insgesamt rund 1.400 IT-Servern der Deutsche Leasing gerade mal drei vom Datenabfluss betroffen gewesen seien. Angesichts der Schwere der Attacke ein fast schon beruhigender Befund (sofern sich dieses Formulierung bei einem Datenabfluss im Umfang von 117 Gigabyte nicht verbietet).
Weitere zwei Monate später, am 17. August, stieß die Sparkassen-Tochter dann aber unseren Informationen zufolge im Darknet auf elf Dokumente, die allem Anschein nach ebenfalls bei dem Angriff von Anfang Juni entwendet worden waren – die allerdings von keinem der drei Server stammten, auf die sich der Datenabfluss angeblich „mit an Sicherheit grenzender Wahrscheinlichkeit“ beschränkt hatte. Anders gesagt: Die vermeintliche Gewissheit, das Daten-Leak lokalisiert zu haben, war plötzlich obsolet. Was dann auch die drastischen Formulierungen in der Kommunikation vom 1. September erklärt.
Und nun? Stellen sich Fragen. Zum einen natürlich, was das Gutachten als solches angeht:
Darüber hinaus legt der zeitliche Ablauf der Ereignisse einen unschönen Verdacht nahe. Kann es sein, dass die Deutsche Leasing nicht nur gehackt, sondern möglicherweise auch erpresst worden ist? Und dass die Kriminellen mit der Veröffentlichung von Dokumenten im Darknet etwaige Lösegeld-Forderungen untermauern wollten?
Der Leasing-Spezialist der Sparkassen widerspricht dieser Vermutung, wenn auch mit einer etwas verqueren Begründung: „Die Deutsche Leasing hat zu keinem Zeitpunkt Kontakt zu den Angreifern aufgenommen – somit ist sie kein Opfer von Erpressung“.
Auf die Frage, ob man überhaupt noch einen Überblick habe, welche Daten denn nun abgeflossen sind oder sein könnten, teilt das in Bad Homburg ansässige Unternehmen mit: „Die Deutsche Leasing hat nach dem Auftauchen der elf Dokumente im Darknet auf weitere Detail-Analysen der betroffenen 117 GB verzichtet, da nach der Veröffentlichung im Darknet ohnehin alle potenziell betroffenen und betroffenen Personen breit und transparent informiert wurden – dieses Vorgehen wurde mit dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit vereinbart.“
Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.
Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!