US-Steuerbehörde IRS verliert 100.000 Nutzerdaten

Ungefähr 200.000 unberechtigte Datenzugriffe wurden zwischen Februar und Mitte Mai initiiert. Damit wurden unberechtigte Rückzahlungen ergaunert. Die Schadenssumme beträgt laut der Behörde unter 50 Millionen Dollar. Das System wurde vorerst abgeschaltet.

Die US-Steuerbehörde Internal Revenue Service (IRS) meldet einen Sicherheitsvorfall. Unbekannte Eindringlinge haben Einsicht in die Steuerunterlagen von rund 100.000 Amerikanern bekommen. Laut AP konnten sie zudem weitere nicht konkret genannte persönliche Daten der Betroffenen einsehen.

Logo IRS (Bild: IRS)Die Angreifer waren zwischen Februar und Mitte Mai aktiv. Sie nutzten ein System namens „Get Transcript“, das dazu dient, Steuerzahlern eine zeilenweise Überprüfung ihrer Transaktionen in einem bestimmten Jahr einzusehen. Dies scheint vor allem für Kreditanträge und College-Gebührenberechnungen wichtig.

„Get Transcript“ erfordert laut IRS eine Identifikation mit Sozialversicherungsnummer, Geburtsdatum, Steuerstatus und Postadresse. Wie die Angreifer an fremde Daten kommen konnten, wurde nicht im Detail öffentlich gemacht. Die IRS teilt aber mit, dass 200.000 betrügerische Anfragen eingingen, von denen nur die genannten 100.000 erfolgreich waren. Zugleich seien im Zeitraum fürs Einreichen der Steuerdaten 23 Millionen Transkripte legitim heruntergeladen worden.

Motivfoto Hacker (Bild: Shutterstock)Das System wurde vorerst abgeschaltet. Steuerzahler, die Vorjahresdaten benötigen, müssen diese derzeit stattdessen per Briefpost beantragen.

Zur Identität der Angreifer gibt es bisher keine Angaben. Es seien jedoch offenbar „keine Amateure“ gewesen, erklärte IRS. Die Behörde hat es nach eigenen Angaben zu 80 Prozent mit organisiertem Verbrechen zu tun.

Die Zahl der mit den Daten laut IRS ergaunerten unberechtigten Rückzahlungen liegt unter 50 Millionen Dollar. 2013 wurden laut der Behörde geschätzte 5,8 Milliarden Dollar an Identitätsdiebe ausgezahlt.

Das IRS-System war auch beispielsweise im März von Sicherheitsforscher Brian Krebs kritisiert worden. Demnach konnte jeder ein Konto für eine beliebige Identität anlegen, wenn er bestimmte Daten hatte. Wer sich nicht selbst für „Get Transcript“ anmeldete, lief daher Gefahr, dass dies Dritte in seinem Namen tun würden.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, Hacker, Secure-IT, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu US-Steuerbehörde IRS verliert 100.000 Nutzerdaten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *