[English]Unschöne Entwicklung in den USA, wo die Stadt Columbus in Ohio Opfer eines Ransomware-Angriff wurde. Der Bürgermeister versuchte den Fall herunter zu spielen, und behauptete, dass die Daten für Kriminelle unbrauchbar seien. Ein Sicherheitsforscher schaute sich die von der Ransomware-Gang geleakte Daten an und bewies, dass die Daten sensibel waren. Die Stadt verklagte den Sicherheitsforscher und diese bekam er eine einstweilige Verfügung, die ihm eine Berichterstattung verbietet.
Anzeige
Ransomware-Angriff auf Stadt Columbus
Die im US-Bundesstaat gelegene Stadt Columbus wurde am 18. Juli 2024 Opfer eines Ransomware-Angriffs. Dabei wurden 6,5 Terabyte an städtischen Daten abgegriffen. Die Rhysida Ransomware-Gruppe bekannte sich zu diesem Angriff und bot die Daten mit einem Startgebot von etwa 1,7 Millionen Dollar in Bitcoin in einer Versteigerung an. Es fand sich aber bei der Auktion kein Bieter, so dass Rhysida am 8. August 2024 etwa 45 Prozent der gestohlenen Daten auf seiner Dark-Web-Seite veröffentlichte. Diese ist per TOR-Browser frei zugänglich – so weit so schlecht.
Zoff zwischen Bürgermeister und Sicherheitsforscher
Andrew Ginther, der Bürgermeister der Stadt Columbus, sprach am 13. August 2024 von einem "Durchbruch" bei der forensischen Untersuchung des Ransomware-Vorfalls. Die Untersuchung habe ergeben, dass die von Rhysida erlangten sensiblen Dateien entweder verschlüsselt oder beschädigt waren. Die Daten seien daher für die Ransomware-Gruppe "unbrauchbar", und die fehlende Integrität der Daten sei wahrscheinlich der Grund für die gescheiterte Auktion der Ransomware-Gruppe.
Sicherheitsforscher David Leroy Ross ging per TOR-Browser auf die Leak-Seite der Rhysida-Gruppe und schaute sich die dort eingestellten Daten an. Er stellte fest, dass die Daten intakt waren und hochsensible Informationen über städtische Angestellte und Einwohner enthielten. Ross, der unter dem Pseudonym Connor Goodwolf auftritt, legte lokalen Nachrichtenagenturen Screenshots und andere Beweise vor, aus denen hervorging, dass die von Rhysida veröffentlichten Dateien sensibles Material darstellt. So gab es Namen aus Fällen häuslicher Gewalt und Sozialversicherungsnummern von Polizeibeamten und Verbrechensopfern in den Datensätzen. Einige der Datensätze erstreckten sich über Jahre.
Stadt verklagt den Sicherheitsforscher
Am 29. August 2024 verklagte die Stadt Columbus den Sicherheitsforscher wegen seiner Berichterstattung. Die Klage verlangt Schadensersatz wegen krimineller Handlungen, Verletzung der Privatsphäre, Fahrlässigkeit und "Diebstahl" (als civil conversion bezeichnet). In der Klage wurde behauptet, dass das Herunterladen der Dokumente von der Rhysida Dark-Web-Site, einem Hack entspreche, weil es besondere Fachkenntnisse und Werkzeuge erfordert.
Anzeige
In der Klage wird außerdem thematisiert, dass Sicherheitsforscher Ross über die Details informierte, die als Informationen für andere nicht leicht zu beschaffen sind. In einer Pressekonferenz (auf YouTube abrufbar) kündigte der Anwalt der Stadt, Zach Klein, den Antrag auf Erlass einer einstweiligen Verfügung gegen den Sicherheitsforscher in Bezug auf die öffentliche Weitergabe der Informationen an.
"Hier geht es nicht um Redefreiheit oder Whistleblowing", sagte der Anwalt. "Hier geht es um das Herunterladen und die Weitergabe von gestohlenen Strafregisterauszügen. Es geht darum, [Ross] dazu zu bringen, das Herunterladen und die Weitergabe von gestohlenen Strafregisterauszügen zum Schutz der öffentlichen Sicherheit einzustellen."
Ein Richter in Franklin County, Ohio, hat eine einstweilige Verfügung gegen den Sicherheitsforscher erlassen. Dieser darf damit nicht mehr öffentlich über die Daten berichten. ArsTechnica, die den Fall hier aufgegriffen haben, versuchten Stellungnahmen der Stadt und des Anwalts der klagenden Seite zu erhalten. Das Büro des Staatsanwalts der Stadt Columbus antwortete nicht auf die per E-Mail gesendeten Fragen, sondern veröffentlichte folgende Erklärung:
Die von der Stadt Columbus eingereichte Klage bezieht sich auf gestohlene Daten, die Herr Ross aus dem Dark Web auf sein eigenes, lokales Gerät heruntergeladen und an die Medien weitergegeben hat. Mehrere Medien nutzten die von Ross zur Verfügung gestellten gestohlenen Daten, um von Tür zu Tür zu gehen und Personen mit den in den gestohlenen Daten enthaltenen Namen und Adressen zu kontaktieren. Wie inzwischen ausführlich berichtet wurde, zeigte Herr Ross auch mehreren Nachrichtenagenturen gestohlene, vertrauliche Daten der Stadt, von denen er behauptet, dass sie die Identität von verdeckten Polizeibeamten und Verbrechensopfern sowie Beweise aus laufenden strafrechtlichen Ermittlungen enthielten.
Die Weitergabe dieser gestohlenen Daten gefährdet die öffentliche Sicherheit und die Integrität der Ermittlungen. Die vom Gericht erlassene einstweilige Verfügung verbietet Herrn Ross die Weitergabe der gestohlenen Daten der Stadt. Es steht Herrn Ross nach wie vor frei, über den Cybervorfall zu sprechen und sogar zu beschreiben, welche Art von Daten sich im Dark Web befinden – er darf diese Daten nur nicht weitergeben.
Der angefragte Sicherheitsforscher äußerte sich gegenüber ArsTechnica nicht. Der Knackpunkt war im aktuellen Fall wohl die direkte Weitergabe des von der Darknet-Webseite heruntergeladenen Materials.
Anzeige
Die übliche Vernebelung wie überall bei jedem Vorfall, nur diesmal beweisbar erwischt worden…
**************************
Es steht Herrn Ross nach wie vor frei, über den Cybervorfall zu sprechen und sogar zu beschreiben, welche Art von Daten sich im Dark Web befinden – er darf diese Daten nur nicht weitergeben.
**************************
Damit wohl zurecht, das wäre Datenhehlerei…
Ich bin jetzt mal ein bißchen pingelig.
Zitat :"Der Bürgermeister versuchte den Fall herunter zu spielen, und behauptete, dass die Daten für Kriminelle unbrauchbar seien."
Wenn die Daten also unbrauchbar waren, dann hätte der Sicherheistforscher seine Daten gar nicht veröffentlichen können.
Die einstweilieg Verfügung ist nachvollziehbar. Zumindest sofern es sich um die Weitergabe von Daten handelt.
Die Verfügung hätte jedoch auch dem Bürgermeister und der Stadt das Eingeständnis auferlegen müssen, dass die Daten sehr wohl sensibel und brauchbar waren.
Kommentar von Hobbyperte wegen zu weit abseits des Themas und abschweifen ins politische gelöscht
Danke!
Warum tun sich Sicherheitsforscher sich das denn überhaupt noch an darüber zu berichten? Wenn ich das Risiko habe verklagt zu werden lasse ich diese Diletanten doch ins offene Messer laufen. Die CDU hat doch in Deutschland schon den gleichen Mist gebracht. In der App waren schwerwiegende Fehler und die CDU ist nicht dankbar dass sie darauf aufmerksam gemacht wird nein sie verklagt die Finderin. Vom Verbot von IT-Tools zum Auffinden von Schwachstellen auch "Hackerparagraph" genannt braucht man da garnicht erst anfangen.
Ganz einfach man darf ja durchaus Quellen angeben… da kann sich dann jeder selbst ein Bild machen. Selbst ne Verlinkung ist rechtens (Siehe Heiseurteil)
Nur eben downloaden und selbst weiterverteilen ist nicht!
@hobbyperte:
war das jemals in der Geschichte und in der Welt irgenwann irgendwo mal anders?
Die Reichen und Mächtigen regieren und der Rest hält die Schnauze und buckelt… egal ob Matriachat Patriachat Demokratie oder Dikatur… Unterschiede gibt es da nur wer und wieviel der Oberen davon profitieren!
In manchen Systemen offener in anderen verdeckter, aber letztendlich überall gleich. So ist der Mensch nunmal, leugnen hilft nicht.
Wurde die gefundenen Daten vor der Veröffentlichung denn nicht zumindest teilweise geschwärzt?
Das ist in den USA nicht üblich. Medien nennen dort immer alle Namen und Details ohne Datenschutz. Angeblich dürfen die das…
Herzlichen Glückwunsch, Frau Streisand ist dem Bürgermeister nicht bekannt?
Möglicherweise. Ansonsten vermute ich bei solchen Aktionen immer, dass da jemand (hier der Bürgermeister) seine Haut retten will. Wenn die Sache publik wird erstmal jemanden (hier der Forscher) anzeigen / verklagen und so tun als ob dieser Schuld wäre oder dessen Schuld größer. Dann ist der Fokus der Öffentlichkeit ggf. erstmal auf dieser Person. Und wenn dann Jahre später ein Urteil gefällt wird und der Beklagte (hier der Forscher) sich als unschuldig erweist, interessiert das keine Sau mehr und es wird nicht oder nur sehr wenig darüber berichtet.