Datendiebstahl bei US-Steuerbehörde umfangreicher als bisher bekannt

Bei einem Hackerangriff auf die US-Steuerbehörde Internal Revenue Service (IRS) im Frühjahr wurden nach neuen Erkenntnissen Daten von bis zu 330.000 Haushalten gestohlen. Das sind mehr als doppelt so viele, wie die Behörde im Mai nannte, nämlich 114.000 Haushalte, berichtet das Wall Street Journal.

Auch die Zahl fehlgeschlagener Versuche, Sicherheitsabfragen von Nutzern des IRS-Systems zu erraten, lag doppelt so hoch wie zunächst gemeldet, nämlich bei 280.000. Die Angreifer kamen nämlich an die Daten, indem sie Fragen wie die nach dem ersten Haustier oder dem Geburtsnamen der Mutter beantworteten. Die Attacke gilt als Beispiel für das Risiko, das solche Systeme mit sich bringen: Die Rateversuche der Unbekannten waren öfter erfolgreich als nicht erfolgreich.

Die Angreifer waren zwischen Februar und Mitte Mai aktiv. Sie nutzten ein System namens „Get Transcript“, das dazu dient, Steuerzahlern eine Überprüfung ihrer Transaktionen in einem bestimmten Jahr einzusehen. Es sind mehrere Berichtsformen verfügbar, aber grundsätzlich ist der Zugriff auf Zahlungen im laufenden Jahr sowie den drei vorangegangenen möglich. Solche Unterlagen benötigen US-Bürger vor allem für Kreditanträge und College-Gebührenberechnungen.

„Get Transcript“ erfordert laut IRS normalerweise eine Identifikation mit Sozialversicherungsnummer, Geburtsdatum, Steuerstatus und Postadresse. Es wird angenommen, dass die Hacker solche Daten auf dem Schwarzmarkt einkauften, um überhaupt bis zur ergänzenden Sicherheitsfrage vorzudringen.

IRS hatte im Mai zugesagt, betroffene Steuerzahler zu informieren und ihnen unter anderem drei Jahre Schutz gegen Kreditbetrug anzubieten. Zudem soll durch eine spezielle Identifikationsnummer Betrug mit falschen Rückzahlungsanträgen verhindert werden.

Der Dienst wurde im Mai zunächst vorübergehend eingestellt. Er ist bis heute nicht mehr aktiv gewesen. Steuerzahler, die Vorjahresdaten benötigen, müssen diese derzeit stattdessen per Briefpost beantragen.

Zur Identität der Angreifer gibt es bisher keine Angaben. Es seien jedoch offenbar „keine Amateure“ gewesen, erklärte IRS. Die Behörde hat es nach eigenen Angaben zu 80 Prozent mit organisiertem Verbrechen zu tun.

Die Zahl der mit den Daten laut IRS ergaunerten unberechtigten Rückzahlungen liegt unter 50 Millionen Dollar. 2013 wurden laut der Behörde geschätzte 5,8 Milliarden Dollar an Identitätsdiebe ausgezahlt.

Das IRS-System war auch beispielsweise im März von Sicherheitsforscher Brian Krebs kritisiert worden. Demnach konnte jeder ein Konto für eine beliebige Identität anlegen, wenn er bestimmte Daten hatte. Wer sich nicht selbst für „Get Transcript“ anmeldete, lief daher Gefahr, dass dies Dritte in seinem Namen tun würden.

[mit Material von Laura Hautala, News.com]

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Ohne Passwort-Management keine IT-Sicherheit

Neben hochentwickelten Firewalls und Authentifizierungsverfahren spielt eine möglichst hohe Passwortsicherheit eine entscheidende Rolle für die…

24 Stunden ago

Starke Leistung im kompakten Desktop-PC | MSI Business & Productivity Desktop-PCs für vielseitige Anwendungen

Ein klassischer Desktop-PC im Tower-Format ist nicht für jeden geeignet, besonders bei begrenztem Arbeitsraum. MSI…

1 Tag ago

Silicon Security Day Europe

Wie kann Künstliche Intelligenz helfen, den Krieg gegen Ransomware und "Nukleare" Ransomware 3.0 zu gewinnen?

1 Tag ago

Silicon Security Day Austria

Beim Silicon Security Day in Österreich am 2. Juni 2022 ab 9:45 Uhr dreht sich…

1 Tag ago

ONLYOFFICE kündigt umfangreiches Update für Kollaborationsplattform und Dokumenten-Editoren an

Die quelloffene Online-Office-Lösung ONLYOFFICE kündigt ein umfangreiches Update für ihre Kollaborationsplattform (ONLYOFFICE Workspace 12.0) und…

1 Tag ago

VeeamON: Veeam wird Marktführer bei Data Protection

Auf der Konferenz VeeamON zeigt sich Veeam sehr optimistisch. Die Zahlen unabhängiger Marktforscher bestätigen den…

2 Tagen ago