Hack: Doch Daten bei Sixt erbeutet

Bei einem Cyberangriff auf den Autovermieter Sixt vor rund fünf Wochen sind auch Daten abhandengekommen. Das teilte Sixt den betroffenen Kunden am Wochenende mit. Anfang Mai war Sixt noch davon ausgegangen, dass keine Gefahr für Kundendaten besteht.

In einer E-Mail von Sixt heißt es nun laut dem Spiegel, dass im Zuge des Angriffs "kein Zugriff auf unsere zentralen Kundendatenbanken oder Zahlungssysteme" erfolgt sei. Analysen hätten jedoch ergeben, "dass auch ein Teilbestand an Daten durch die Angreifer kopiert werden konnte, hierunter auch einzelne Kundendaten".

Ob es mehrere Varianten der E-Mail gibt, ist unklar. In der genannten Mail bedauert Sixt, dass die laufende Auswertung des Vorgangs ergeben habe, "dass hiervon auch Dateien im Zusammenhang mit unserem Loyalty-/Vorteilsprogramm mit Ihren Daten betroffen waren." Im vorliegenden Fall seien "bestimmte Kundenstammdaten" kopiert worden, darunter Name, Kunden- und Kundenkartennummer sowie allgemeine Kontaktdaten wie Anschrift und E-Mail-Adresse.

Laut Sixt kann derzeit auch nicht ausgeschlossen werden, "weitere einzelne Informationen, wie sie sich aus Dokumenten im Zusammenhang mit Mietwagenbuchungen ergeben, betroffen sein können (insbesondere Anmietzeitraum, Bezahlmethode sowie Ort oder Führerscheinnummer)". Passwörter und Kreditkartennummern sollen jedoch explizit nicht betroffen sein. Sixt rät den betroffenen Kunden auf verdächtige Aktivitäten, insbesondere Phishing-Angriffe, zu achten.

Black Basta soll hinter den Angriffen auf Sixt stecken

Ursprünglich hatte Sixt angegeben die "IT-Unregelmäßigkeiten" frühzeitig erkannt und entsprechende Gegenmaßnahmen eingeleitet zu haben. Dennoch führte der Angriff zu wochenlangen Beeinträchtigungen bei Sixt. So konnten einige Filialen nur noch Kreditkartenzahlungen annehmen oder Mietverträge manuell abwickeln. Auch die Hotline war bis Mitte Mai nicht erreichbar.

Hinter dem Angriff soll die Ransomwaregruppe Black Basta stecken, die neben Sixt auch Fendt angegriffen haben soll. Die Ransomwaregruppe soll ein Nachfolger von Conti sein. Neben Ermittlern sieht auch die Sicherheitsfirma Malware Hunter Team auffällige Überschneidungen zwischen den Vorgehensweisen. So würden Black Basta und Conti ähnlich kommunizieren und auch die Webseiten, auf denen die Gruppen mit Leaks von erbeuteten Daten drohen oder diese durchführen, gleichen sich demnach. Conti hatte sich zu Beginn des russischen Angriffes auf die Ukraine auf die Seite von Russland geschlagen.

Daraufhin leakte ein ukrainischer Sicherheitsforscher interne Chats der Ransomwaregruppe, die tiefe Einblicke in die Arbeitsweise der Gruppe gewähren. Neben einer unternehmensähnlichen Struktur und der schlechten Behandlung von Angestellten kamen auch Verbindungen zum russischen Staat zum Vorschein. Bei dem Leak wurde auch der Quellcode der Ransomware veröffentlicht, den die Hackergruppe NB65 für Angriffe auf russische Organisationen nutzte.

Conti selbst soll unter anderem auch für Angriffe auf hiesige Hersteller von Windkraftanlagen verantwortlich sein. Das Land Costa Rica rief nach einem Conti-Angriff mitsamt einer Lösegeldforderung über 10 Millionen US-Dollar kürzlich den Notstand aus. Conti veröffentlichte daraufhin 672 GByte an Daten. Danach wurde spekuliert, dass Conti einen Neustart mit mehreren Ransomwaregruppen plant. Eine davon könnte Black Basta sein.