Koblenz / Frankfurt am Main – Die von der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und der Generalstaatsanwaltschaft Koblenz – Landeszentralstelle Cybercrime (LZC) – gemeinsam geführten Ermittlungen wegen des Verdachts des Ausspähens von Daten sowie der Datenveränderung im Zusammenhang mit einem „Hackerangriff“ auf Zulassungsstellen in Hessen und Rheinland-Pfalz haben ergeben, dass ein Abfluss von Daten der Kraftfahrzeughalter mit sehr hoher Wahrscheinlichkeit ausgeschlossen werden kann.
Am frühen Morgen des 21. Juni 2015 und des 22. Juni 2015 kam es zu „Hackerangriffen“ auf kommunale Dienstleistungsunternehmen mit Sitz in Mainz und Gießen, die als Rechenzentren u.a. die EDV-Infrastruktur für rheinland-pfälzische, hessische und außerhessische Behörden zur Verfügung stellen. Die von dem Angriff betroffenen Server beinhalteten eine Webapplikation zur Prüfung und Reservierung von Kraftfahrzeug-Wunschkennzeichen sowie eine Datenbankschnittstelle zu den Bestandsdaten der Kraftfahrzeughalter der betroffenen Behörden in Hessen und Rheinland-Pfalz. Deren Systeme wurden aus Sicherheitsgründen vorübergehend vom Netz genommen, so dass in Hessen 23 von 25 Zulassungsstellen und in Rheinland-Pfalz 38 von 39 Zulassungsstellen nicht mehr darauf zugreifen konnten.
Die ZIT und die LZC übernahmen noch am 22. Juni 2015 – gemeinsam mit dem Landeskriminalamt Hessen und dem Landeskriminalamt Rheinland-Pfalz – die Ermittlungen. In deren Verlauf wurde festgestellt, dass sich Unbekannte unbefugt Zugang zu dem aus dem Internet erreichbaren Servern des Gießener und des Mainzer Dienstleistungsunternehmens verschafft und Manipulationen an der im Hintergrund laufenden Datenbank vorgenommen hatten, wobei die Manipulationen bei dem Gießener Unternehmen mittels einer sog. SQL-Injection erfolgten.
Nach der digital-forensischen Auswertung des durch die Strafverfolgungsbehörden gesicherten Datenverkehrs kann ein Abfluss von Daten der Kraftfahrzeughalter derzeit mit sehr hoher Wahrscheinlichkeit ausgeschlossen werden.
Während die internationalen Ermittlungen zur Identifizierung der Täter und Aufklärung der Angriffsmotive in Hessen noch andauern, musste die LZC die Ermittlungen in Rheinland-Pfalz mittlerweile nach § 170 Abs. 2 StPO einstellen, weil in Rheinland-Pfalz aus Gründen des Datenschutzes die letzten drei Stellen der IP-Adressen der auf das System zugreifenden Nutzer systemseitig anonymisiert werden. Die Zuordnung der IP-Adressen zu einem Täter war daher von vornherein ausgeschlossen.
Informationen zur ZIT:
Die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) ist am 01.01.2010 als Außenstelle der Generalstaatsanwaltschaft Frankfurt am Main mit Sitz in Gießen errichtet worden. In der Zentralstelle werden hessenweit Ermittlungsverfahren wegen besonders schwerwiegender oder umfangreicher Internetstraftaten bearbeitet. Die ZIT ist auch erster Ansprechpartner des Bundeskriminalamts für Internetstraftaten bei noch ungeklärter örtlicher Zuständigkeit oder bei Massenverfahren gegen eine Vielzahl von Tätern bundesweit.
Informationen zur LZC:
Die Landeszentralstelle Cybercrime (LZC) ist am 01.10.2014 bei der Generalstaatsanwaltschaft Koblenz errichtet worden. Die Zentralstelle zieht Ermittlungen aus dem Bereich der Internetkriminalität dann an sich, wenn es sich entweder um Verfahren von besonderer Bedeutung, besonderer Schwierigkeit und/oder von besonderem Umfang handelt.
Information zu sog. SQL-Injectionen:
SQL-Injection oder SQL-Einschleusung bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken. Dabei versucht der Angreifer über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es üblicherweise, Daten auszuspähen, in seinem Sinne zu verändern, die Kontrolle über den Server zu erhalten oder Schaden anzurichten.