Thousands of sportsmen and -women are on the way at the Stazerwald downhill on the way from Maloya to S-Chanf in south Eastern Switzerland as they participate in the annual Engadin skiing marathon in ...

Abenteuerliche Szenen am Engadin Skimarathon. Teilnehmerinnen und Teilnehmer müssen nun mit gezielten Phishing-Attacken rechnen, auch Spear-Phishing genannt.archivBild: KEYSTONE

Cyberangriff betrifft eine Million Schweizer Hobby-Sportler – das wissen wir

Die Firma Datasport, bekannt für Breitensport-Anlässe wie den Engadiner Skimarathon, ist gehackt worden. Nun bieten Cyberkriminelle massenhaft gestohlene Daten zum Kauf an. Wohl auch die des watson-Redaktors.

01.02.2024, 17:1002.02.2024, 13:10

Daniel Schurter

Die Datasport AG ist von einem massiven Hackerangriff betroffen. Persönliche Daten von «bis zu einer Million Athletinnen und Athleten» wurden gestohlen, wie das Schweizer Unternehmen auf seiner Website informiert. Die Daten würden seit Kurzem in einem Forum für Cyberkriminelle zum Kauf angeboten, berichtete Inside-IT am Donnerstag.

Demnach verkaufen Unbekannte rund 1,3 Millionen Datensätze an andere Cyberkriminelle. Über 900'000 Datensätze betreffen angeblich Schweizerinnen und Schweizer, beim Rest handle es sich um Personen aus Nachbarstaaten.

Schweizer Unternehmen Datasport gehackt – 1 Million Schweizer Hobbysportlerinnen und Hobbysportler betroffen.

Versuch einer Beschwichtigung auf der Datasport-Website. Die Auswirkungen des Hackerangriffs wurden zunächst völlig falsch eingeschätzt. Screenshot: hdatasport.com

Die Firma mit Sitz in Gerlafingen SO habe den Eidgenössischen Datenschutzbeauftragten (EDÖB) informiert.

Was wissen wir zum Cyberangriff?

Laut Mitteilung auf der Datasport-Website haben Cyberkriminelle am 22. Januar 2024 zugeschlagen. «Damals stellten wir einen Angriff auf unsere Systeme fest.»

Die Verantwortlichen versichern:

«Unsere IT hat sofort reagiert und konnte den Angriff innerhalb weniger Minuten stoppen.»

Diese Darstellung ist – vorsichtig ausgedrückt – etwas schönfärberisch. Denn bei den technischen Abklärungen nach der Cyberattacke lief einiges schief: Jedenfalls bemerkten die IT-Verantwortlichen nicht, dass der Datendiebstahl weit gravierender war als ursprünglich angenommen.

Bis zum 31. Januar hatte Datasport gemäss eigenen Angaben «keine Hinweise darauf, dass mehr als einige wenige Datensätze» betroffen waren. Auf der Firmen-Website wurde zwar ab dem 23. Januar transparent über den Cyberangriff informiert. Doch das böse Erwachen folgte später.

«Nun stellt sich heraus, dass bis zu einer Million Namen, Postadressen und teilweise auch Telefonnummern und E-Mail-Adressen von Athletinnen und Athleten betroffen sein könnten. Nicht betroffen sind sicherheitsrelevante Daten wie Passwörter oder Zahlungsinformationen.»

quelle: datasport.com

Wie konnte das passieren?

Datasport-Geschäftsführer Thomas Bachofner erklärte gegenüber dem IT-Newsportal inside-it.ch:

«Datasport hatte bei der regelmässigen Überprüfung der technischen und organisatorischen Massnahmen zur Datensicherheit und Informationssicherheit die Georedundanz erhöht und Daten zu Backup-Zwecken in ein weiteres Rechenzentrum überführt.»

Die Verantwortlichen hatten demnach veranlasst, die in einem Rechenzentrum gespeicherten User-Daten zusätzlich in einem anderen Rechenzentrum zu speichern.

Im Zuge des Datentransfers müsse kurz vor dem 23. Januar eine sicherheitsrelevante Schwachstelle existiert haben, erklärt der CEO und versichert: «Datasport hat diese nach der Entdeckung innert weniger Minuten geschlossen.»

Inside-IT konstatiert: «Der oder die Hacker müssen das kurze Zeitfenster aber ausgenutzt haben.»

Der Datasport-Geschäftsführer versucht, die Brisanz des Datendiebstahls zu relativieren:

Die meisten Informationen, die potenziell betroffen waren, werden von unseren Nutzerinnen und Nutzern auf Datasport.com selbst online gestellt und sind somit öffentlich abrufbar.

quelle: inside-it.ch

Die Datasport-Verantwortlichen waren am Donnerstagnachmittag telefonisch nicht zu erreichen. Inzwischen hat das Unternehmen auf eine Medienanfrage reagiert. Geschäftsführer Thomas Bachofner verweist «auf die aktualisierten Fakten und Informationen» auf der Firmen-Website. Und weiter:

Eine auf Cybersicherheit spezialisierte Unternehmung untersuche den Vorfall und überprüfe die aktuellen Sicherheitsmassnahmen von Dataport umfassend.
Die User-Daten seien in einem Rechenzentrum in der Schweiz gespeichert, «mit Georedundanz Schweiz und Deutschland». Die Accounts würden auf Wunsch der Nutzenden oder durch diese selbst gelöscht.

Screenshot zum Hackerangriff auf Datasport. Unbekannte bieten 1,3 Millionen Datensätze in einem Hackerforum zum Kauf an.

Screenshot des Hackerforums, in dem 1,3 Millionen Datensätze zum Kauf angeboten werden. Die Daten betreffen angeblich den Zeitraum 2021 bis 2024.Bild: watson

Bin ich betroffen – und was ist zu tun?

«Wer am Engadin Skimarathon, am Zürcher Silvesterlauf oder am Lausanne Marathon teilgenommen hat, dessen Daten könnten geklaut worden sein.»

Inside-IT

In der Mitteilung auf der Datasport-Website heisst es, «potenziell Betroffene» müssten nichts unternehmen.

Nichtsdestotrotz gilt es nun für aktuelle und frühere Hobby-Sportlerinnen und -Sportler, die an solchen Events teilgenommen haben, besonders auf der Hut zu sein.

Man empfehle, «noch wachsamer zu sein, als dies leider ohnehin schon der Fall ist», so Datasport, und man solle beispielsweise keine verdächtigen E-Mails oder SMS öffnen.

«Unter der E-Mail-Adresse
cyber@datasport.com stehen wir für Fragen und Anliegen zur Verfügung und nehmen Hinweise auf verdächtige Aktivitäten entgegen.»

Der watson-Redaktor hat am Donnerstagnachmittag eine entsprechende Anfrage per E-Mail an Datasport geschickt. Dies, weil er mutmasslich zu den Betroffenen gehört – als ehemaliger Teilnehmer des Engadin Skimarathons. Das gehackte Unternehmen reagierte innert 70 Minuten mit einer standardisierten Antwort-Mail. Darin heisst es:

«Wir verstehen Ihre Besorgnis über den Cybervorfall bei Datasport und versichern Ihnen, dass wir diese Situation sehr ernst nehmen und äusserst bedauern.

Leider erleiden heute weltweit Institutionen und Unternehmen ständig Cyberattacken. Wir als grosser Anbieter sind auch immer wieder damit konfrontiert. Datensicherheit hat bei uns oberste Priorität. Wir updaten unsere IT-Sicherheit ständig.»

screenshot: watson.ch

Weiter teilt das Unternehmen mit: «Nach unserer Kenntnis können Ihre Daten potenziell betroffen sein.» Es könne sich hierbei um folgende Daten handeln:

myDS-ID – hier gibt's Infos dazu
Vor- und Nachnamen
Geschlecht
Geburtsdatum
Nationalität und Sprache
Postleitzahl
Anschrift
Telefonnummer
E-Mail-Adresse

Das Bundesamt für Cybersicherheit (BACS) informiert auf seiner Website über Phishing und andere Attacken, die in Zusammenhang mit gestohlenen Daten drohen.

Datasport betreut gemäss eigenen Angaben jedes Jahr über 300 Veranstaltungen «im Laufsport, Walking, Radsport, Mountainbiking, Inline-Skating, Triathlon/Duathlon, Langlauf und Ski Alpin». Als Gesamtdienstleister sei man «zuständig für Datenmanagement, Meldewesen, Inkasso, Zeitmessung, Ergebnisdienst, Speaker- und Informationssysteme sowie die Informationsverbreitung».