[ziesell]

Zitat:

Baldiges Urteil im Vastaamo-Hack: Verräterische Transaktionen

Bei diesem beispiellosen Hack sind Therapie-Patienten mit gestohlenen Daten erpresst worden. Um den mutmaßlichen Täter zu überführen, sollen die Ermittler etwas geschafft haben, was als unmöglich gilt.



Wenn Anbieter von Psychotherapiediensten Patientendaten auf einem Server im Netz speichern, ist klar, dass dieser Datenschatz ein besonders lukratives Ziel für Black-Hat-Hacker mit Erpressungsabsichten darstellt. Die Patientendatenbank von Vastaamo war so ein Ziel. Die Hacker hatten bei der fast schon spektakulär schlecht abgesicherten MySQL-Instanz des Unternehmens Erfolg, machten einen Datenabzug – wobei die Firma zunächst die zwei Sicherheitsvorfälle nicht an die Öffentlichkeit oder die zuständige Behörde kommunizierte.

Das änderte sich, als 2020 die Erpressungen anfingen, und zwar nicht nur gegen das Unternehmen selbst, sondern auch gegen einzelne Patienten. Jetzt ist der Prozess gegen einen der mutmaßlichen Täter fast abgeschlossen. Die Schlussplädoyers sind gehalten, das Urteil wird im April erwartet. Das wirklich Interessante ist aber die Beweisführung der Anklage: Man hat es offenbar geschafft, Monero-Transaktionen nachzuvollziehen, um auf den Täter zu kommen.

Vastaamo und die spektakulär schlechte IT-Security

Vastaamo war eine 2008 gegründete Firma im Privatbesitz, die ein Netzwerk für psychische Gesundheit in Finnland betrieb. Man vermittelte zunächst nur Patienten an Therapeuten, im Lauf der Zeit wurden vielerorts eigene Therapiecenter eröffnet. Um den zahlreichen Therapeuten in Diensten von Vastaamo möglichst einfachen Zugriff auf die Daten ihrer Patienten zu ermöglichen, wurde 2012 eine Patientendatenbank aufgesetzt.

Dort konnten die Mitarbeiter auch eigene Notizen eintragen, die nicht nur den Verlauf der Behandlung dokumentierten, sondern auch intime Details, die die Patienten preisgegeben hatten. Den Vastaamo-Gründern genügten vorhandene Datenbanklösungen der Medizinbranche dabei nicht – die Bedienung der Standardlösungen war zu kompliziert oder die Software ließ sich nur schwer auf die Erfordernisse der Psychotherapie adaptieren.

Eine Eigenentwicklung wurde angestoßen. Offenbar waren an dem Projekt jedoch keine Fachleute für Computersicherheit beteiligt – oder es wurde nicht auf sie gehört.

Denn schon grundlegende und eigentlich selbstverständliche Sicherheitskonzepte wurden in Vastaamos System ignoriert. So landeten die Akten unverschlüsselt in der MySQL-Instanz, auf Anonymisierung wurde verzichtet und das restliche Konzept bestand aus einer dreistufigen Firewall und einem Log-in-Screen.

Bei den drei Firewalls handelte es sich um eine auf Netzwerkebene, eine vor dem Datenbankserver sowie die Konfiguration des Servers selbst, allesamt darauf ausgelegt, Fremd-Connections aus dem Internet abzulehnen. Im Jahr 2017 aber konfigurierte ein führender Mitarbeiter diese Firewalls um, so dass sich die Datenbankmaschine auch von unterwegs administrieren ließ, anstatt ein entsprechend abgesichertes VPN aufzusetzen.

Selbst Gesetze halfen nichts

Auch Gesetze vermochten an der schlechten Sicherheit bei Vastaamo nichts zu ändern. 2014 beschloss das finnische Parlament Regularien betreffend Patientendaten. Demnach wurden die Patientendaten verarbeitenden Systeme in zwei Kategorien aufgeteilt – Klasse A für hochintegrierte Systeme, Klasse B für Systeme, die praktisch nur lokale Dateischränke und Dokumentenumschläge ersetzten. Während für Systeme der Klasse A eine Verbindung mit Kanta, dem landesweiten Gesundheitsdienst, zwingend vorgeschrieben war und strenge Sicherheitsvorschriften galten, war bei Klasse-B-Systemen, die eigentlich nur lokale Systeme in Praxen umfassen sollten, all dies nicht nötig, es genügte ein einfacher Antrag ohne große Kontrolle. Bei Vastaamo gab es zwar Pläne, das System zu einem der Klasse A zu machen, was aber nie erfolgte – das System lief als Klasse B ja auch prima.

Als es dann fast schon zwangsläufig zu Sicherheitsvorfällen kam – bekannt sind davon zwei, Ende 2018 und im Frühling 2019 – wurden diese vertuscht. Beide Vorfälle äußerten sich durch Systemabstürze und eine auf diesen Systemen hinterlegte Lösegeldforderung.

Vastaamos Firmenleitung in Person des damaligen CEO Ville Tapio behauptete vor Gericht, nichts davon gewusst zu haben, weil die beiden technischen Köpfe der Firma, der oben erwähnte Mitarbeiter und der Datenschutzbeauftragte, nichts davon berichtet hätten.

Eine später beauftragte Sicherheitsfirma fand jedoch die Lösegeldforderungen und berichtete, dass der von den beiden gemeinsam benutzte Admin-Account die Lösegeldforderung gelesen und gelöscht hatte.

Die Tragweite des Hacks

Die erbeutete Datenbank von Vastaamo enthielt der Kriminalpolizei zufolge mehr als 33.000 Patientenakten und mehr als 400 Akten von Mitarbeitern. Auf den ersten Blick erscheint das nicht viel. Bedenkt man allerdings, dass Finnland nur 5,5 Millionen Einwohner zählt, bedeutet dies, dass fast einer von 164 Einwohnern des Landes betroffen war – als Mitarbeiter oder als Patient.

Die Folgen des Datendiebstahls waren immens: Datenschutzvorschriften wurden drastisch verschärft, Vastaamo ging in die Insolvenz, das Geschäft wurde ohne die Patientendaten verkauft. Das Schlimmste jedoch: Einige der Opfer begingen Suizid.

Einbrüche in Computersysteme und Datendiebstähle seien nichts Ungewöhnliches mehr, sagte Marko Leponen, Chefinspektor des Cybercrime Centers der finnischen Kriminalpolizei 2021 der US-Zeitschrift Christian Monitor. Gleichwohl sei der Fall Vastaamo in Finnland "beispiellos" gewesen, denn zum ersten Mal sei Geld nicht nur von einem betroffenen Unternehmen, sondern auch von dessen Kunden gefordert worden.

Außerdem sei die Menge der erbeuteten Daten "enorm", mehr als 33.000 Patientenakten wurden gestohlen und später veröffentlicht. Natürlich sei es überall auf der Welt ungeheuerlich, wenn die vertraulichen Informationen und die erzählten Geheimnisse aus Gesprächen mit Psychotherapeuten öffentlich bekannt würden, erklärte der an der Universität von Helsinki tätige Politikprofessor Teivo Teivainen, "aber hierzulande ist es vielleicht ein noch größerer Schock, weil das gesellschaftliche Vertrauen so groß ist".

Hilfe für die Opfer

Nach einer umfassenden Untersuchung des Falles durch die finnische Datenschutzbehörde wurde Vastaamo im Dezember 2021 zu einer Strafzahlung in Höhe von 608.000 Euro verurteilt. In der Entscheidung heißt es aber ausdrücklich, dass solche Zahlungen bei Insolvenzen an letzter Stelle stehen, insofern werde eventuell "für die Opferentschädigung bereitstehendes Geld nicht um diese Summe reduziert".

Diverse Organisationen wie das finnische Rote Kreuz boten spezielle Hilfen wie Beratungshotlines für die Vastaamo-Opfer an. Finland Today zufolge erklärten sich zusätzlich Inkasso-Unternehmen bereit, Opfer von Identitätsdiebstahl zu unterstützen.

Auch die Politik wurde aktiv: Der individuelle Personencode, der in Finnland unter anderem für Behördengänge und Bankgeschäfte benötigt und auch an Menschen, die nur vorübergehend dort wohnen, ausgegeben wird, sollte eigentlich lebenslang und vor allem unveränderbar gelten. Mittlerweile können Opfer von Datendiebstählen ihren ID-Code ändern lassen, um die Gefahr von Identitätsdiebstählen zu reduzieren.

Die Erpressung

Zunächst forderten die Erpresser nur von der Firma Vastaamo Geld in Bitcoin. 40 Bitcoin sollten es sein, damals eine Summe von etwa 366.000 bis 450.000 Euro, andernfalls würden die erbeuteten vertraulichen Patientenakten veröffentlicht. Als die Firma nicht zahlte, fingen die Erpresser an, Patienten direkt anzuschreiben: Für 200 Euro in Bitcoin binnen 24 Stunden bot man ihnen die Möglichkeit, den eigenen Datensatz aus der geklauten Datenbank zu löschen.

Nach Ablauf der Frist werde die geforderte Summe auf 500 Euro in Bitcoin erhöht, hieß es von Seiten der Erpresser weiter. Um den Forderungen noch mehr Nachdruck zu verleihen setzten die Erpresser ein System auf, das im Tor-Netzwerk jeden Tag 100 Datensätze posten würde.

An den ersten beiden Tagen funktionierte das auch ganz gut, doch am dritten Tag veröffentlichte das System ein Datenpaket von 10 GByte. Durch einen Programmierfehler wurden offensichtlich ein paar Daten zu viel abgegriffen – und diese wurden zu einer ersten heißen Spur.

Flucht und Prozess

Im Oktober 2022 erhob die Staatsanwaltschaft in Abwesenheit Anklage gegen Aleksanteri K. Sie umfasst unter anderem mehr als 21.300 Erpressungsversuche, 20 schwere Erpressungen sowie die Verbreitung von das Privatleben verletzenden Informationen in 9.600 Fällen. Allein oder gemeinsam mit einem noch unbekannten Komplizen soll K. sich im November 2018 Zugang zum Informationssystem des Unternehmens Vastaamo verschafft haben.

Der per internationalem Haftbefehl Gesuchte behauptete, sich in Dubai zu befinden, wurde aber am 3. Februar 2023 im Großraum Paris verhaftet. K. war im Besitz gefälschter französischer Ausweispapiere, am 25. Februar 2023 wurde er nach Finnland ausgeliefert.

Besonders unauffällig verhielt sich K. trotz der Fahndung durch Europol und Interpol allerdings nicht: Laut MTV Finnland war er unter eigenem Namen in einem Reddit-Forum aktiv, wo er unter anderem über seine Lieblingskleidermarke Rick Owens, frühere Verhaftungen, die Preise für hochwertige Kupfer-Bratpfannen und die Möglichkeit 3D-Drucker-Waffen in Serie herzustellen diskutiert haben soll.

Angesprochen auf den Haftbefehl sagte er, dass er gern nach Finnland zurückkehren und zu den Vorwürfen Stellung nehmen wolle, "aber ich wurde in einem Geheimverfahren ja schon zu Gefängnis verurteilt."

Was K. damit meinte, ist unklar. 2015 war er tatsächlich verurteilt worden, allerdings nicht zu einer Gefängnisstrafe und auch nicht in einem geheimen Prozess. Unter dem Namen "zeekill" war er als Mitglied der Hackergruppe Lizard Squad in 50.700 Fällen an DDoS-Attacken, unter anderem gegen die Server des Spiels League of Legends, Playstation, X-Box, das nordkoreanische Internet sowie Server der Spielefirma Daybreak Game Company beteiligt.

Dazu kamen Bombendrohungen sowie eine Sybil-Attacke auf das Tor-Netzwerk. K., der sich damals mit Vornamen Julius nannte, war allerdings erst 17 Jahre alt und wurde zu einer zweijährigen Bewährungsstrafe verurteilt. Außerdem wurden seine Online-Aktivitäten überwacht.

Erneut untergetaucht

Mutmaßlich aus Sorge, dass sich die Untersuchungshaft des Angeklagten zu lange hinziehen könnte, wurde K. am 5. Februar 2024 – ein Jahr und zwei Tage nach der Verhaftung in Paris – auf freien Fuß gesetzt. Allerdings unter Auflagen: Er sollte sich alle zwei Tage bei der Polizei melden, dazu kamen ein Reiseverbot sowie die Auflage, sich nur in bestimmten Gegenden Helsinkis aufzuhalten.

Die Staatsanwaltschaft hatte davor gewarnt, K. aus der Untersuchungshaft zu entlassen. Das Reiseverbot werde eine mögliche Flucht nicht verhindern, denn in der Vergangenheit habe er ja bereits lange auf der Most-Wanted-Liste von Europol gestanden, ohne verhaftet zu werden – auch, indem er sich problemlos ausländische Pässe beschafft und damit falsche Identitäten angenommen habe.

Dies könne er nach wie vor, da er außerdem wohl weiterhin über aus unklaren Quellen stammende Geldmittel in nicht unbeträchtlicher Höhe verfüge. Doch dieser Argumentation folgte erst ein Berufungsgericht am 16. Februar 2024.

Am 19. Februar stellte man jedoch fest, dass K. tatsächlich wieder untergetaucht war.

Demonstrativ uninteressiert

Ins Ausland abgesetzt hatte er sich allerdings nicht, nach sechs Tagen konnte er in einer im Zentrum von Helsinki gelegenen AirbnB-Wohnung verhaftet werden. Auf die Spur war die Polizei dem 26-Jährigen gekommen, nachdem er auf dem finnischen Imageboard Ylilauta ein Foto einer Champagnerflasche der Marke Krug – je nach Sorte kosten diese bei Alko, dem staatlichen Alkoholhandelsmonopolisten, zwischen 150 und 3.000 Euro gepostet hatte.

Nicht näher benannte Details des Fotos führten dazu, dass K. in einem Airbnb-Appartement festgenommen werden konnte. Beim Untertauchen soll er Hilfe durch Dritte erhalten habe. Von denen habe er auch eine virtuelle Kreditkarte bekommen, sagte die Staatsanwaltschaft.

Im Prozess beharrte K. nach wie vor auf seiner Unschuld. Während der ersten Verhandlungstage gab er sich zunächst uninteressiert und las im Gerichtssaal demonstrativ Bücher wie Tolstois Krieg und Frieden und Dianetikka, die finnische Ausgabe von L. Ron Hubbards Buch über die pseudowissenschaftliche Dianetik der Scientology-Sekte.

Der den Ermittlern zufolge erste Durchbruch in dem Fall sei durch K.s Sorglosigkeit gelungen. Er habe einen virtuellen Server aufgesetzt, der automatisch die Daten von 100 zufällig ausgewählten erbeuteten Patientenakten abholte. Anschließend wurden diese Daten zur Veröffentlichung vorbereitet.

Die Art und Weise, in der das Filesharing-Schema aufgesetzt war, enthielt allerdings auch Informationen über den Server, von dem die Daten aus gesendet wurden. Die Ermittler konnten die Spur bis zu einem Rechenzentrum in Tuusula zurückverfolgen, danach fanden sie zwei weitere Server, die mit dem ersten Server in Verbindung standen.

Die Verschlüsselung des ersten Servers, auf dem sich die Patientendaten befanden, sowie eines weiteren konnte dann durch die Polizei geknackt werden. Durch Analysen des Traffics wurden weitere 16 Server ermittelt. Nach dem Mapping begann die Suche nach demjenigen, der Zugang zu diesen Servern hatte, indem Onlinezahlungen untersucht wurden.

Durchbruch bei der Monero-Entschlüsselung?

Doch ein Aspekt, der auch international viel Interesse nach sich gezogen hatte, war die vorprozessliche Erklärung der Polizei, dass sie zu K.s Identifikation dessen Monero-Transaktionen nachverfolgen konnte. Die Aussagen der Ermittler waren daher nicht nur in Finnland mit Spannung erwartet worden.

Die norwegische Kripo ist zum Beispiel sehr interessiert, wie es gelungen war, Geldflüsse in der Cyberwährung Monero zu entschlüsseln, obwohl sie als nicht rückverfolgbar gelten. Im Oktober 2018 war Anne-Elisabeth Hagen, die Frau eines reichen Unternehmers, aus ihrem Haus verschwunden. Ein dort zurückgelassener Brief der angeblichen Entführer enthielt genaue Anweisungen zur Kommunikation mittels Monero-Transaktionen.

Die Hoffnungen auf große Erkenntnisse wurden jedoch eher enttäuscht. Die Ermittler blieben sehr vage und erklärten "durch Drehungen und Wendungen" sei es gelungen, einer Kryptowährungsspur zu folgen, die zu K.s Monero-Konto geführt habe, wie es in einem Bericht des staatlichen Rundfunk- und Fernsehsenders Yle (Yielsradio Oy, deutsch: Allgemeinradio) heißt.

Konkret habe es sich um Geld gehandelt, das von Erpressungsopfern auf ein Bitcoin-Konto eingezahlt worden sei. Dieses Geld sei anschließend auf ein Monero-Konto überwiesen und von dort aus auf ein weiteres transferiert worden, das eindeutig K. zugeordnet werden konnte.

Wie genau diese Zuordnung aber als eindeutig eingestuft werden konnte, verrieten die Ermittler zumindest der Öffentlichkeit nicht. Dass ein einfaches "Hier Tokens weg" und "dort andere Tokens aufgetaucht" als eindeutig gelten konnte, ist jedenfalls ziemlich unwahrscheinlich.

Die Öffentlichkeit wird an dieser Stelle wohl abwarten müssen, ob in der nächsten Zeit vermehrt Erpressungen oder andere kriminelle Aktivitäten mit Monero-basierten Geldflüssen plötzlich doch aufgeklärt werden. Zumindest bis dahin bleibt unbekannt, ob Monero-Transaktionen tatsächlich nachvollziehbar sein könnten.

Ein verräterisches Foto

Stattdessen wurde aber genau erklärt, wie ein Foto im Internet, dessen Herkunft und Fingerabdrücke zusammen zu einem Beweis wurden. Konkret ging es um das Foto einer Hand, die ein an heißen Tagen für Abkühlung sorgendes Wasserspray hielt.

Das Bild war auf dem Imageboard Ylilauta hochgeladen worden und es war scharf genug, dass die Fingerabdrücke erkennbar waren – nämlich die von K. Dass von einem im Internet hochgeladenen Foto Fingerabdrücke genommen werden konnten, dürfte auch noch nicht so oft vorgekommen sein.

Da das Foto zudem von einem der Server aus hochgeladen worden war, der mit den Patientendaten-Servern in Verbindung stand, gab es eine Verbindung zu den Erpressern. In der anderen Richtung konnten einige der Server einer Firma namens Scanfi zugeordnet werden, als deren CEO K. firmierte.

Scanfis Geschäftsmodell war es, im Internet nach Sicherheitslücken zu suchen und anschließend die betroffenen Firmen darüber zu informieren. K. konnten außerdem IP-Adressen zugeordnet werden, die mit dem Datendiebstahl bei Vastaamo in Verbindung standen.

Die Schlussplädoyers

K. Verteidiger nannte die Ermittlungen der Polizei in ihrem Schlussplädoyer unzureichend. Die Verknüpfung mit seinem Mandanten basiere "nur auf einem Satz Servern und einer künstlichen Zeitlinien-Theorie sowie einer Schlussfolgerung, die aus Ermittlungsmethoden gezogen wurde". Es handele sich größtenteils lediglich "um Indizienbeweise, es gibt keine Beweise für eine konkrete Tat" und die Beweise basierten größtenteils auf Spekulationen über K.s Beteiligung. Seine Schuld sei nicht zuverlässig bewiesen worden.

Die Anwältin Jenni Raisiko, deren Kanzlei 1.500 Opfer vertritt, hatte zuvor in ihrem Abschlussplädoyer betont, dass einige Vastaamo-Patienten sich das Leben nahmen, nachdem ihre Akten veröffentlicht worden waren. Staatsanwalt Bo-Niklas Lundqvist nannte die mutmaßlichen Taten des Angeklagten "außergewöhnlich grausam und rücksichtslos", keine andere Verbrechensserie habe in Finnland derart viel Leid verursacht. Die Beweislage sei klar.

Er forderte die Verhängung der gesetzlich vorgesehenen Höchststrafe, sieben Jahre Gefängnis. Falls K. schuldig gesprochen wird, muss er nach Angaben seines Verteidigers insgesamt 1.200 Opfern eine Entschädigung in ungenannter Höhe zahlen. Die Betreffenden hatten sich bereits während des Prozesses außergerichtlich mit dem Angeklagten geeinigt, um nach einem eventuellen Schuldspruch langwierige Zivilprozesse zu vermeiden.

Wie weit also die mögliche Monero-Transaktionsverfolgung den Ausschlag gab – sei es bei der tatsächlichen Argumentation des Nachweises oder nur, um an die anderen Teile von Spuren zu kommen – ist zurzeit noch Spekulation.

Am 30. April wird das Urteil im Fall Vastaamo verkündet werden.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]