Angeblicher Datendiebstahl von 2,9 Milliarden Datensätzen löst Medienhysterie und rechtliche Schritte gegen nationale öffentliche Daten aus
Jüngste Gerüchte über einen massiven Datendiebstahl bei National Public Data (NPD), einem bekannten Dienst zur Hintergrundüberprüfung, haben die Medien in Aufruhr versetzt und zahlreiche Klagen ausgelöst. Trotz der großen Aufmerksamkeit bleibt die Wahrheit hinter dem angeblichen Datendiebstahl im Dunkeln, und es gibt kaum konkrete Beweise, die die Behauptungen untermauern.
Inhaltsverzeichnis
Ein Tweet, der einen Feuersturm entfachte
Die ersten Gerüchte über einen möglichen Datendiebstahl kamen am 8. April 2024 auf, als ein Benutzer namens HackManac auf X (ehemals Twitter) über unglaubliche 2,9 Milliarden Datensätze postete, die angeblich aus den Datenbanken des NPD exfiltriert wurden. Dem Post zufolge wurden die Daten, darunter Datensätze von Bürgern der Vereinigten Staaten, Kanadas und des Vereinigten Königreichs, von einem Bedrohungsakteur namens USDoD für 3,5 Millionen Dollar zum Verkauf angeboten. Trotz der Schwere der Behauptung wurde der Post von den Mainstream-Medien weitgehend ignoriert und das NPD reagierte nicht darauf.
Diesem ersten Beitrag folgte am 2. Juni 2024 ein weiterer von vx-underground, einer bekannten Cybersicherheits-Community. Sie behaupteten, eine Stichprobe der Daten überprüft und ihre Echtheit bestätigt zu haben. Auch diesmal schwiegen die Medien und die NPD.
Die rechtlichen Folgen nach Beginn der Sammelklagen
Die Situation nahm am 1. August 2024 eine dramatische Wendung, als Christopher Hofmann eine Sammelklage gegen NPD einreichte. Hofmann behauptete, dass seine personenbezogenen Daten (PII) bei dem Datendiebstahl kompromittiert worden seien, und verwies auf eine Benachrichtigung seines Identitätsdiebstahlschutzdienstes. Diese Klage sowie drei weitere von angeblichen Opfern eingereichte Klagen müssen noch konkrete Beweise liefern, die die exfiltrierten Daten direkt mit NPD in Verbindung bringen.
Die Klage von Hofmann, die den vx-underground-Beitrag als Hauptbeweis verwendet, ist voller Ungereimtheiten. So wird der Verstoß zunächst dem US-Verteidigungsministerium zugeschrieben, doch spätere Korrekturen deuteten darauf hin, dass ein anderer Bedrohungsakteur, bekannt als SXUL, dafür verantwortlich sein könnte. Darüber hinaus wird die Zahl der Datensätze in der Klage von 2,9 Milliarden auf „Milliarden von Einzelpersonen“ aufgebläht, eine Zahl, die die Gesamtbevölkerung der USA, Kanadas und Großbritanniens bei weitem übersteigt.
Eine mögliche Angelexpedition?
Experten vermuten, dass es in der Klage weniger darum geht, NPDs Schuld zu beweisen, als vielmehr darum, das Unternehmen zu zwingen, seine Unschuld zu beweisen. In den USA können Gerichte von Angeklagten verlangen, Informationen preiszugeben, die die gegen sie erhobenen Vorwürfe belegen oder widerlegen könnten. Diese Strategie, oft als „Fishing Expedition“ bezeichnet, könnte das Hauptziel von Hofmanns Anwaltsteam sein.
Ilia Kolochenko, CEO von ImmuniWeb und Rechtsexperte, merkte an, dass derartige Taktiken in den USA üblicher seien als in Europa, wo die Beweislast normalerweise beim Kläger liege. Wenn das Gericht NPD dazu zwingt, Informationen über den angeblichen Verstoß preiszugeben, könnte dies erhebliche Konsequenzen für das Unternehmen haben.
Das Gesamtbild und was wir bisher wissen
Trotz der rechtlichen Schritte und des Medienrummels gibt es noch immer keinen endgültigen Beweis dafür, dass die NPD gehackt wurde. Die in Umlauf gebrachten Daten könnten aus anderen Quellen stammen oder aus öffentlichen Aufzeichnungen zusammengetragen worden sein, anstatt von der NPD exfiltriert zu werden. Selbst seriöse Quellen wie Bleeping Computer, die Beispiele der durchgesickerten Daten überprüft haben, konnten nicht bestätigen, dass die Informationen von der NPD stammten.
Darüber hinaus wirft der mutmaßliche Datendiebstahl Fragen hinsichtlich der schieren Menge der gestohlenen Daten auf. Experten sind skeptisch, ob es möglich ist, 2,9 Milliarden Datensätze unentdeckt abzugreifen, insbesondere angesichts der sensiblen Natur der von der NPD verarbeiteten Informationen.
Die ungewisse Zukunft: Warten auf die Wahrheit
Bislang hat NPD weder den angeblichen Verstoß kommentiert, noch hat es offizielle Angaben gegenüber Aufsichtsbehörden in den USA, Großbritannien oder Kanada gemacht. Die Wahrheit hinter dem Verstoß könnte erst ans Licht kommen, wenn die Gerichte eine formelle Antwort von NPD verlangen.
Inzwischen haben die Vorwürfe weitverbreitete Besorgnis und Spekulationen ausgelöst. Ob sich diese Behauptungen als begründet oder als falsch erweisen, bleibt abzuwarten, aber die Situation erinnert uns an die potenziellen Risiken, die mit Datenschutzverletzungen im heutigen digitalen Zeitalter verbunden sind.
Während wir auf weitere Informationen warten, ist es wichtig, die Situation mit Vorsicht anzugehen. Zwar kann die Möglichkeit eines Verstoßes bei NPD nicht ausgeschlossen werden, aber der Mangel an konkreten Beweisen bedeutet, dass die Wahrheit komplexer sein könnte, als die Schlagzeilen vermuten lassen.