Deutsches Jugendherbergswerk bestätigt Datenschutzvorfall
Ende August kam es zu Störungen bei rund 450 deutschen Jugendherbergen. Die Ursache war unklar. Offenbar ist eine Ransomware-Attacke schuld.
Ransomware hat sich im Netzwerk ausgebreitet.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
(Bild: Screenshot)
Vor rund drei Wochen kam es zu Computerproblemen beim Deutschen Jugendherbergswerk (DJH), zu dem rund 450 Jugendherbergen gehören; regionale Medien berichteten davon. Demnach sind am 30. August die Server der Herbergen ausgefallen. Jetzt hat sich im Darknet die Ransomware-Gruppe Hunters dazu bekannt, bei den Jugendherbergen eingebrochen zu sein und größere Mengen an Daten kopiert zu haben.
Der SWR berichtete Anfang des Monats, dass Rechnungsstellung und Buchungen nicht funktionierten sowie Türen sich aufgrund nicht programmierbarer Schlüsselkarten nicht öffnen ließen. Es habe demnach eine schwere technische Störung gegeben. Das Rechenzentrum sei dadurch lahmgelegt. Ursachenforschung solle später erfolgen; einen IT-Angriff wollte ein Sprecher weder dementieren noch einräumen.
Kriminelle Vereinigung im Darknet reklamiert Angriff für sich
Hunters schreibt jetzt, eine größere Menge an Daten kopiert zu haben. Zudem haben sie anscheinend mittels Ransomware die IT lahmgelegt. Zwar nennen die Kriminellen keine geforderte Geldsumme auf ihrer Seite, räumen den Jugendherbergen jedoch nur noch wenige Stunden bis zum Veröffentlichen von Daten ein, wenn sie nicht zahlen.
In dem Darknet-Eintrag der Ransomware-Gruppe Hunters beschreiben Icons, dass der Leak private Daten enthält, persönlich identifizierbare Informationen und Finanz- sowie Kundendaten. 29,3 GByte Umfang sollen die kopierten Daten haben. Mehr Druck bauen die Täter in ihrer News-Rubrik auf. Dort schreibt die Gruppe in einem drei Tage alten Eintrag, dass sie Entschlüsselung-Keys in dieser Woche löschen will.
"Wir möchten alle, die es betreffen könnte, informieren, dass wir die Entschlüsselungssoftware einschließlich der Schlüssel von jedem nicht zahlenden Unternehmen in dieser Woche löschen werden. Sollte jemand die Absicht haben zu zahlen, ist nun die richtige Zeit, das zu tun", steht dort in der Nachrichtensektion. Auf eine Anfrage konnten die Jugendherbergen nicht unmittelbar antworten. Wir aktualisieren die Meldung, sobald wir eine Antwort erhalten.
Landesbeauftragte für Datenschutz und Informationsfreiheit bestätigt Vorfall
Von einem Pressesprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit, Bettina Gayk, heißt es: "Der Verantwortliche hat den Sachverhalt gemäß Art. 33 DS-GVO gemeldet und die LDI NRW steht mit dem Verantwortlichen diesbezüglich noch im Kontakt." Es werde "geprüft, ob eine Benachrichtigung der betroffenen Personen gemäß Art. 34 DS-GVO erforderlich" sei oder unabhängig vom Vorliegen eines voraussichtlich hohen Risikos für die Rechte und Freiheiten natürlicher Personen als Abmilderungsmaße angezeigt sei. "Ein abschließender Bericht des Verantwortlichen über den Umfang und die Auswirkungen des Vorfalls steht noch aus."
Zudem gibt die LDI Tipps, wie sich potenziell Betroffene schützen können: "Sofern beispielsweise Passwörter oder Passwort-Hashes entwendet wurden, sollten Sie diese umgehend ändern. Aber auch wenn Zugangskennungen (bspw. Ihre E-Mail-Adresse) betroffen ist, sollten Sie die Sicherheit Ihrer Online-Konten prüfen. Für jedes Online-Konto sollten Sie ein unterschiedliches und starkes Passwort verwenden. Wenn der Diensteanbieter bzw. Plattformbetreiber eine Zwei-Faktor-Authentifizierung anbietet (wie dies beim Online-Banking bereits verpflichtender Standard ist), sollten Sie diese zum Schutz des Zugangs einrichten."
Deutsches Jugendherbergswerk erörtert IT-Vorfall
Am Samstag hat ein Sprecher des deutschen Jugendherbergswerks auf unsere Anfrage hin erklärt: "Bei routinemäßigen Systemprüfungen im DJH-Rechenzentrum wurde am Freitag, 30.08.2024, ein datentechnisch sicherheitsrelevanter Vorgang identifiziert, der unmittelbare Auswirkungen auf die Funktionalität vieler technischer Einrichtungen im DJH hatte: Es kam zu temporären Ausfällen der Erreichbarkeit – etwa von jugendherberge.de und der Kommunikationsinfrastruktur sowie der gastrelevanten Systeme in den Jugendherbergen". Mittlerweile gebe es keine Einschränkungen bezüglich Kommunikation, Buchbarkeit oder Aufenthalt mehr.
Die Wiederherstellung der Systeme im DJH-Rechenzentrum habe innerhalb weniger Tage erfolgen können. "Daran anschließende, eingehende Checks haben ergeben, dass hier ein externes Eindringen auf einige Systeme des Rechenzentrums zugrunde liegt", erklärte der Sprecher. "Seit Mittwoch, 18.09., existieren Postings auf verschiedenen Internetportalen und Kanälen, die eine geplante Veröffentlichung von DJH-Daten ankündigen. Stand heute, 21.09., können wir entsprechende Veröffentlichungen bestätigen, die zuständigen Behörden wurden bereits von uns informiert. Nach einer ersten Analyse des veröffentlichten Datenbestandes gehen wir derzeit davon aus, dass es sich hier um geschäftliche Dokumente sowie Daten von DJH-Mitarbeitenden in einem begrenzten Umfang handelt." Selbstverständlich werde den hieraus resultierenden Rechtspflichten Rechnung getragen.
Cyberattacken sind inzwischen an der Tagesordnung. Anfang des Monats hat etwa die Cybergang Ransomhub den US-amerikanischen Gas- und Öl-Dienstleister Halliburton angegriffen. Auch IT-Sicherheitsunternehmen gehören zu den Angriffszielen. Das Antivirenunternehmen Dr. Web hat Anfang der Woche nach einer Cyberattacke zunächst die Update-Server für Virensignaturen offline genommen, konnte inzwischen eigenen Angaben zufolge aber wieder den Normalbetrieb herstellen.
Antwort der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, Bettina Gayk, im Text ergänzt.
21.09.2024 Stellungnahme des Deutschen Jugendherbergswerk ergänzt
(dmk)