Der Einbruch ins IT-System der grössten australischen Krankenkasse dauerte gerade mal wenige Minuten. Ein kaum geschützter Rechner reichte den Kriminellen, um auf die Firmenserver von Medibank zu gelangen.
Tagelang kopierten die Hacker sodann unbemerkt die Gesundheitsdaten von zehn Millionen Kundinnen und Kunden – um sie dann portionsweise zu veröffentlichen, in der Hoffnung auf ein Lösegeld. Es waren medizinische Berichte über Schwangerschaftsabbrüche, Röntgenresultate, Bluttests, psychiatrische Gutachten – und das alles mit den Namen der Patientinnen und Patienten.
Hacker suchen sich lukrative Ziele – weltweit
So folgenschwer der Datenraub ist, Australien-spezifisch sei er nicht, sagt Chad Whelan, Professor für Kriminologie. Die Internetkriminellen seien Opportunisten. Sie suchten sich primär Ziele in reichen Ländern, wo die Chance auf ein gutes Lösegeld am grössten sei.
Es gebe immer wieder Beispiele, wo internationale Akteure Zugang zu Systemen in Industrieländern erschleichen. Etwa, indem sie Lücken im Datenschutz nutzen oder veraltete Schutzmassnahmen. Im aktuellen Fall war die Herkunft der Kriminellen bald klar. Die australischen Behörden identifizierten ein Syndikat russischer Hacker als Urheber des Angriffs.
Der Datenklau bei Medibank ist nicht der einzige solche Fall in Australien. Wochen zuvor war in andere Systeme eingebrochen worden, auch in das des Telekommunikationsgiganten Optus.
Regierung erklärt den Hackern den Krieg
Für die australische Cyberministerin Clare O'Neil ist das Fass jetzt voll. Sie erklärte den Hackern unmissverständlich den Krieg. Ein hundertköpfiges Eliteteam werde rund um die Uhr «Drecksäcke» jagen, die solche Verbrechen gegen Unschuldige verübten, kündigte sie an.
Kritische Stimmen warfen der Ministerin wegen ihrer klaren Worte Angeberei vor. Denn der Kampf gegen Hacker in Drittländern ist alles andere als einfach. Russische Cyberkriminelle etwa erfreuen sich des Schutzes der Regierung in Moskau.
Der Kriminologe Whelan sieht trotzdem Möglichkeiten, kriminelles Unternehmertum zu blockieren: «Behörden können die technische Infrastruktur solcher Syndikate angreifen, indem sie etwa Möglichkeiten blockieren, mit denen die Kriminellen Geld empfangen und weiterleiten können.»
Wenn möglich kein Lösegeld zahlen
Für die betroffenen Unternehmen lautet die schwierigste Frage: Sollen sie Lösegeld bezahlen, um dem Datenalptraum ein Ende zu machen? Für den Experten ist das nicht zielführend, denn Erpresser könnten einfach weitere Forderungen stellen.
Nur in den seltensten Fällen sei die Zahlung von Lösegeld eine Option. Etwa dann, wenn Menschenleben gefährdet sind. Die australische Regierung überlegt sich jetzt sogar, Lösegeldzahlungen gesetzlich zu verbieten.
Die Krankenkasse Medibank hat den Entscheid selbst getroffen. Die Firma zahlt die geforderten 15 Millionen Dollar nicht. Doch die Hacker haben Geduld. Sie wollen weiterhin alle paar Tage weitere Patientendaten veröffentlichen.
