Erpresserfall betrifft Schweizer Schulen – Kinderfotos und sensible Daten gestohlen
Gemäss watson-Recherche hat ein Cyberangriff auf die deutsche Firma Portraitbox GmbH potenziell gravierende Folgen für die Schweiz. Da auch hierzulande Schulfotografen die Portraitbox-Dienstleistungen für den Verkauf von Bildern nutzen, sind sensible Daten von hiesigen Schulkindern, Eltern und Bildungseinrichtungen betroffen.
Die von Erpressern gehackte deutsche Firma betreibt einen Online-Shop sowie eine Cloud-Plattform, die von unzähligen professionellen Fotografen – insbesondere im Bereich Kindergarten- und Primarschule-Fotos – genutzt wurde.
watson liegt ein Schreiben vor, in dem ein Schweizer Vertragspartner von Portraitbox Lehrpersonen und Eltern informiert und auf mögliche Folgen hinweist.
Laut einer deutschen Datenschutzbehörde drohen die Täter, Kinderfotos im Darknet zu veröffentlichen.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) bestätigte gegenüber watson, es sei «auch eine Vielzahl von Personen in der Schweiz betroffen».
Was wissen wir zum Hackerangriff?
Das Vorgehen deutet auf eine Ransomware-Operation von Cyberkriminellen hin. Bislang gibt es kein öffentliches Bekennerschreiben, was vermuten lässt, dass hinter den Kulissen noch Verhandlungen über ein Lösegeld laufen.
Die bis dato unbekannten Täter konnten sich illegalen Zugang zur IT-Infrastruktur (der AWS-Cloud von Portraitbox) verschaffen, mutmasslich über einen gestohlenen oder anderweitig kompromittierten API-Schlüssel. Dabei handelt es sich sozusagen um einen digitalen Zugangsausweis.
So konnten die Angreifer unbemerkt die Kundendaten und Fotos massenhaft herunterladen und anschliessend die Originale (in der Cloud) löschen. Sie mussten dafür keine Passwörter von einzelnen Eltern oder Fotografen knacken, da sie über den erwähnten API-Schlüssel quasi den Generalschlüssel zur gesamten digitalen Infrastruktur hatten.
Der Cyberangriff an sich liegt bereits etwas zurück. Das IT-Nachrichtenportal heise.de berichtete am 22. Mai und bezog sich auf die deutsche Website anwalt.de. Dort wurde am Vortag über den Fall und juristische Folgen informiert.
Die Portraitbox-Daten lagerten demnach bei AWS (Amazon Web Services), der weltweit führenden Cloud-Computing-Plattform des US-Techkonzerns Amazon.
Wer ist betroffen?
Das ganze Ausmass ist unklar. Die Portraitbox-Verantwortlichen haben bislang nicht auf eine Anfrage reagiert.
Der Vorfall könnte einen grossen Teil der Kundschaft betreffen, die mehrheitlich aus der DACH-Region stammt, also aus Deutschland, Österreich und der Schweiz.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in Bern bestätigte am Donnerstag:
Da die Portraitbox-Systeme kompromittiert wurden, sind potenziell alle Fotografen betroffen, die am Wochenende des 16./17. Mai aktive Online-Galerien bei Portraitbox führten oder dort Kundendaten gespeichert hatten.
Portraitbox hat gemäss Heise-Bericht «etwa 2000 Kunden aus der Fotobranche». Wenn jedes dieser Fotostudios nur 100 Personen abgelichtet habe, seien 200'000 Betroffene zu verzeichnen. Bei Schulfoto-Anbietern dürften es schnell mehr Betroffene sein. Und viele davon wohl minderjährig.
Ein Schweizer Portraitbox-Vertragspartner erklärte am Donnerstag auf Anfrage von watson:
watson sind allein im Kanton Zürich mehrere Primarschulen bekannt, die vom Cyberangriff betroffen sind.
Was wissen wir zu den Folgen für Betroffene?
watson liegt ein Schreiben des Schweizer Schulfoto-Anbieters Schuelfoti GmbH vor, in dem die Verantwortlichen über den Cyberangriff auf ihren deutschen Vertragspartner Portraitbox und die Folgen aus Schweizer Sicht informieren.
Das am Mittwoch, 27. Mai, per E-Mail verschickte Schreiben richtet sich an Lehrpersonen und Eltern. Darin heisst es:
Im Sinne der Transparenz möchten wir Sie über den Vorfall informieren. Diese Information erfolgt vorsorglich. Wir haben bisher keine Hinweise darauf, dass eine missbräuchliche Verwendung einzelner Daten oder Bilder festgestellt worden ist.»
Und weiter:
Es kann aber leider nicht vollständig ausgeschlossen werden, dass betroffene Daten missbräuchlich verwendet werden könnten.»
Das Unternehmen war am Donnerstag nicht telefonisch zu erreichen. Auf eine schriftliche Medienanfrage erfolgte zunächst eine automatisierte Antwort, in der es hiess: «Wir werden derzeit mit Anfragen überflutet. Wir bitten um Verständnis, dass eine Antwort derzeit länger dauern kann.»
Etwas später meldeten sich die Verantwortlichen:
Wer steht in der Verantwortung?
Schweizer Schulfotografen nutzen Portraitbox als Plattform, um Eltern die Schulfotos ihrer Kinder zum Kauf anzubieten.
Durch den Hackerangriff sind die auf den Servern gespeicherten Daten in die Hände von Cyberkriminellen gefallen. Daraus ergibt sich eine spezielle rechtliche Situation:
- Portraitbox als Auftragsverarbeiter: Die deutsche Portraitbox GmbH fungiert datenschutzrechtlich als «Auftragsverarbeiter», da sie im Auftrag der Fotografen die technische Infrastruktur zur Verfügung stellt.
- Schweizer Fotografen als Verantwortliche: Die Schulfotografen oder deren Firmen sind die Vertragspartner der Schulen und der Eltern. Im Sinne der Datenschutzgesetze gelten die Fotografen somit als Verantwortliche.
- Informationspflicht: Weil die Fotografen die rechtliche Verantwortung tragen, liegt die Pflicht zur Information bei ihnen. Sie müssen den Vorfall der zuständigen Datenschutzbehörde (in der Schweiz dem EDÖB) melden und die Betroffenen über den Vorfall aufzuklären.
Viele Eltern wurden in den letzten Tagen bereits von ihren Schulfotografen über den Vorfall informiert.
Die Schweizer Fotografinnen und Fotografen seien aufgefordert worden, ihre Kundinnen und Kunden zu informieren, bestätigt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) gegenüber watson. Da momentan eine direkte Information der Betroffenen erschwert möglich sei, werde über verschiedene Kanäle (Webseiten, Mailversand über Gruppen wie zum Beispiel Schulen) informiert.
Weiter sei der EDÖB im Austausch mit der für Portraitbox GmbH (Auftragsdatenbearbeiter) zuständigen deutschen Datenschutzaufsicht in Nordrhein-Westfalen.
Was wissen wir zu den gestohlenen Daten?
Wie das IT-Nachrichtenportal heise.de berichtete, sind alle Online-Galerien betroffen, die Fotostudios und freie Fotografen für ihre Kundenbilder angelegt hatten. Solche Galerien dienten nach einem Fototermin dazu, Fotos als Abzüge zu bestellen und später Nachbestellungen zu vereinfachen.
Wie der Schweizer Anbieter «Schuelfoti» schreibt, hatten die Täter wohl Zugriff auf weitreichende persönliche Daten, die in der Cloud gespeichert waren. Darunter:
- Kinder- und Klassenfotos
- Namen von Kunden (Eltern, Angehörige)
- E-Mail-Adressen
- Lieferanschriften und Rechnungsadressen
- Bestellhistorien
- Zugangsdaten (Passwörter) zu den geschützten Online-Galerien
Gut zu wissen aus Eltern-Sicht:
Die Schuelfoti-Verantwortlichen halten fest:
Alle Fotos, die in den Online-Galerien von Portraitbox lagen, wurden laut deutschen Berichten von den Angreifern gelöscht und können nicht wiederhergestellt werden.
Gemäss aktuellem Kenntnisstand sind Zahlungsdaten (wie Kreditkarteninformationen der Eltern) nicht unmittelbar betroffen, da diese zumeist über externe Zahlungsdienstleister abgewickelt werden. Kontodaten der Fotografen selbst könnten jedoch kompromittiert worden sein.
Sicher ist: Betroffene sollen ihre Passwörter ändern und in verdächtigen E-Mails keine Links anklicken. Da E-Mail-Adressen und Namen in Kombination erbeutet wurden, besteht eine erhöhte Gefahr für Betrugs-E-Mails (Phishing).
Ein spezialisiertes IT-Forensik-Unternehmen untersuche derzeit den Vorfall bei Portraitbox in Deutschland.
Quellen
- portraitbox: Wichtige Mitteilung zum Cyberangriff
- heise.de: Fotoanbieter Portraitbox: Erpressung nach Sicherheitsvorfall? (22. Mai)
- swr.de: Kinderbilder von Plattform gestohlen - Das ist bekannt (22. Mai)
- anwalt.de: Datenpanne bei Portraitbox: Was Fotografen jetzt in 72 Stunden tun müssen (21. Mai
