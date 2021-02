Im Zuge eines Hackerangriffs auf den Internet-Provider Netcom Kassel am 18. Januar 2021 sind Kundendaten von dessen Servern kopiert worden. In den vergangenen Tagen haben die Angreifer offenbar damit begonnen, einige dieser Daten auf einer eigenen Website zu veröffentlichen, um von dem Provider ein Lösegeld zu fordern. Besagte Erpresser-Website ist mittlerweile wieder offline; vom Datenleck Betroffene will Netcom Kassel "sobald möglich" direkt informieren. Derweil arbeitet der Provider noch immer an der Bereinigung kompromittierter Systeme; der Kundenservice läuft langsam wieder an.

Die Netcom Kassel Gesellschaft für Telekommunikation mbH wurde 1997 gegründet. Der wichtigste Markt des Unternehmens ist nach eigenen Angaben Nordhessen, Kunden gibt es aber auch in anderen Teilen Hessens, in Niedersachsen und in Nordrhein-Westfalen. "50.000 Kunden nutzen unsere Produkte, Tarife und Services", heißt es auf der Unternehmens-Website.

Ermittlungen laufen, Emotet möglicher Verdächtiger

Gegenüber der Hessisch/Niedersächsischen Allgemeinen (HNA) hatte der Geschäftsführer von Netcom Kassel, Ralph Jäger, betont, dass nicht die technischen, sondern die Kunden- und Kommunikationssysteme gehackt worden seien. Statt auf einen (durch Jäger bestätigten) Erpressungsversuch der Angreifer einzugehen, informierte das Unternehmen die zuständigen Behörden über den Datenschutz- und Sicherheitsvorfall, erstattete Anzeige bei der Polizei und band zusätzlich das Cyber Competence Center des hessischen Innenministeriums ein.

Jäger hatte im Gespräch mit der HNA den Verdacht geäußert, dass die Kriminellen um Emotet verantwortlich für den Angriff seien. Strafverfolgungsbehörden aus acht Ländern gelang es erst vergangene Woche, die Infrastruktur der gefährlichen Schadsoftware zu zerschlagen. Typischerweise hatte Emotet als Türöffner für weitere Schädlinge gedient – etwa auch für die Ransomware Ryuk. Gegenüber heise Security wollte der Pressesprecher von Netcom Kassel am heutigen Mittwoch weder bestätigen noch dementieren, dass Jägers Vermutung zutreffend war: Man warte angesichts noch immer laufender Ermittlungen auf belastbare Untersuchungsergebnisse.

Im Zuge einer seit einigen Jahren für viele Ransomware-Familien üblichen "doppelten" Erpressungsstrategie veröffentlichten die Kriminellen einen Teil der Kundendaten kurzzeitig auf einer Website; diese ist derzeit aber wieder offline. "Wir überwachen gemeinsam mit Experten uns bekannte Veröffentlichungen, um Sie an dieser Stelle umgehend informieren zu können", heißt es auf einer Informationsseite zum Sicherheitsvorfall, die bei neuen Entwicklungen aktualisiert werden soll.

Wieviele und welche Kundendaten geleakt wurden, wollte der Datenschutzbeauftragte der Netcom Kassel gegenüber heise Security zum jetzigen Zeitpunkt nicht ausführen. Laut Informationsseite kann zu den betroffenen Kundendaten jedenfalls "auch sämtlicher Schriftverkehr" gehören. Man habe "technische Vorkehrungen getroffen", um zu gewährleisten, dass die Daten nicht für externe Angriffe im Rahmen des Anschlusses der Kunden genutzt werden könnten. Vom Leak betroffene Kunden wolle man in jedem Fall "sobald möglich" direkt informieren, so der Datenschutzbeauftragte.

Potenziell betroffene Kunden sollen laut Informationsseite angesichts möglicher Betrugsversuche insbesondere vorsichtig sein, wenn sie E-Mails mit Links oder Anhängen im Namen der Netcom Kassel erhalten. Allerdings handle es sich lediglich um eine vorbeugende Warnung; bislang seien keine derartigen Aktivitäten beobachtet worden.

Kundenservice wieder per Mail erreichbar

Den von Netcom Kassel veröffentlichten Informationen zur aktuellen Erreichbarkeit und Beeinträchtigungen ist zu entnehmen, dass der Kundendienst seit dem gestrigen Dienstag wieder per Mail erreichbar ist. Man habe bereits begonnen, liegengebliebene Anfragen zu bearbeiten, bitte jedoch um Geduld, wenn die Kontaktaufnahme erst nach einigen Tagen erfolge.

