Datendiebstahl bei US-Steuerbehörde umfangreicher als bisher bekannt

Bei einem Hackerangriff auf die US-Steuerbehörde Internal Revenue Service (IRS) im Frühjahr wurden nach neuen Erkenntnissen Daten von bis zu 330.000 Haushalten gestohlen. Das sind mehr als doppelt so viele, wie die Behörde im Mai nannte, nämlich 114.000 Haushalte, berichtet das Wall Street Journal.

Auch die Zahl fehlgeschlagener Versuche, Sicherheitsabfragen von Nutzern des IRS-Systems zu erraten, lag doppelt so hoch wie zunächst gemeldet, nämlich bei 280.000. Die Angreifer kamen nämlich an die Daten, indem sie Fragen wie die nach dem ersten Haustier oder dem Geburtsnamen der Mutter beantworteten. Die Attacke gilt als Beispiel für das Risiko, das solche Systeme mit sich bringen: Die Rateversuche der Unbekannten waren öfter erfolgreich als nicht erfolgreich.

Die Angreifer waren zwischen Februar und Mitte Mai aktiv. Sie nutzten ein System namens „Get Transcript“, das dazu dient, Steuerzahlern eine Überprüfung ihrer Transaktionen in einem bestimmten Jahr einzusehen. Es sind mehrere Berichtsformen verfügbar, aber grundsätzlich ist der Zugriff auf Zahlungen im laufenden Jahr sowie den drei vorangegangenen möglich. Solche Unterlagen benötigen US-Bürger vor allem für Kreditanträge und College-Gebührenberechnungen.

„Get Transcript“ erfordert laut IRS normalerweise eine Identifikation mit Sozialversicherungsnummer, Geburtsdatum, Steuerstatus und Postadresse. Es wird angenommen, dass die Hacker solche Daten auf dem Schwarzmarkt einkauften, um überhaupt bis zur ergänzenden Sicherheitsfrage vorzudringen.

IRS hatte im Mai zugesagt, betroffene Steuerzahler zu informieren und ihnen unter anderem drei Jahre Schutz gegen Kreditbetrug anzubieten. Zudem soll durch eine spezielle Identifikationsnummer Betrug mit falschen Rückzahlungsanträgen verhindert werden.

Der Dienst wurde im Mai zunächst vorübergehend eingestellt. Er ist bis heute nicht mehr aktiv gewesen. Steuerzahler, die Vorjahresdaten benötigen, müssen diese derzeit stattdessen per Briefpost beantragen.

Zur Identität der Angreifer gibt es bisher keine Angaben. Es seien jedoch offenbar „keine Amateure“ gewesen, erklärte IRS. Die Behörde hat es nach eigenen Angaben zu 80 Prozent mit organisiertem Verbrechen zu tun.

Die Zahl der mit den Daten laut IRS ergaunerten unberechtigten Rückzahlungen liegt unter 50 Millionen Dollar. 2013 wurden laut der Behörde geschätzte 5,8 Milliarden Dollar an Identitätsdiebe ausgezahlt.

Das IRS-System war auch beispielsweise im März von Sicherheitsforscher Brian Krebs kritisiert worden. Demnach konnte jeder ein Konto für eine beliebige Identität anlegen, wenn er bestimmte Daten hatte. Wer sich nicht selbst für „Get Transcript“ anmeldete, lief daher Gefahr, dass dies Dritte in seinem Namen tun würden.

[mit Material von Laura Hautala, News.com]

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.