Lerbach.de wird erpresst

Von Jörg Hüddersen für hueddersen.de.

Die Nachricht kam heute morgen per Mail: Hacker haben die Datenbank mit den Website-Inhalten von Lerbach.de geknackt und verlangen nun rund 800 $ dafür, dies nicht öffentlich bekannt zu machen.

Glücklicherweise liegen in dieser Datenbank keine sensiblen Daten. Alles, was dort gespeichert ist, kann öffentlich als Adresse eines Vereins oder einer Firma, als Termin oder als aktuelle Meldung gelesen werden. Insofern haben die Hacker nur für sie wertlose Daten erbeutet. Und auch die Kennwörter, mit denen man sich einloggen kann, um beispielsweise einen aktuellen Bericht zu veröffentlichen, werden nicht in der Datenbank gespeichert. Dort liegt nur eine Prüfsumme (ein sog. MD5-Hash). Wenn sich ein Benutzer einloggt, wird die Prüfsumme erneut berechnet und mit der gespeicherten verglichen. Ein Rückschluss von der Prüfsumme auf das Kennwort ist nicht möglich, sofern das Kennwort nicht zu einfach ist.

Trotzdem könnte es sein, dass die Hacker Druck ausüben wollen und z.B. an einen Vereinsvorsitzenden Mails senden, dass seine Daten geklaut wurden. In diesem Fall wenden Sie sich bitte an Jörg Hüddersen, Tel (0171) 4855107(0171) 4855107.

Der Fall wurde sofort beim Landeskriminalamt zur Anzeige gebracht und alle relevanten Passwörter wurden geändert. Außerdem wurde die Firewall verstärkt. Das LKA betonte, dass es mittlerweile wirklich jeden treffen könnte und dieser Fall weder der erste noch der letzte sei. Wichtiger sei, dies auch zur Anzeige zu bringen und auf keinen Fall die geforderte Summe zu zahlen. In diesem Zusammenhang verwies der zuständige Sachbearbeiter auch auf die Präventionsseite der Polizei Niedersachsen, http://www.polizei-praevention.de/, die wertvolle Hinweise für Firmen und Privatanwender zur Internetsicherheit enthält.

Hier noch einige Auszüge aus dem Erpresserschreiben:

"Oder wir finden gemeinsam eine Lösung für ihr Sicherheitsproblem. Klar das kostet nun was kostenlos arbeitet niemand auch Sie nicht. Erpressen nein so würde ich das nicht sagen Sehen Sie es als Auswertung der Schwachstellen ihres Systems an..."

"Sie sagen uns bis Montagabend 18:00 einfach Bescheid ob Sie interessiert sind an einer Lösung wie der Server und die Daten geschütz werden im Sinne des Datenschutzes und der Kunden. Wir wollen dafür 2.0 Bitcoins. 1 Bitcoin ist im Moment ca. 400 Dollar."

"Nochmals keine Reaktion ist in ihrem Fall das falscheste was man machen kann. Das bringt ihnen mehr Stress ein als es gut macht. Und verlassen Sie sich drauf wir werden handeln."