Hacker stehlen Daten eines Touristikriesen, darunter Reisepässe von Schweizern

18. November 2021, 14:45
  • ransomware
  • cybercrime
  • cyberangriff
  • datenschutz
image

Die FTI Group hat einen Ransomware-Angriff eingeräumt. Unsere Recherchen zeigen nun exklusiv das Ausmass des Datenverlusts.

Die Ransomware-Bande Conti hat ein neues, prominentes Opfer gefunden: Laut Angaben der Gruppe hat sie die Systeme der FTI Group gehackt. Das in München beheimatete Touristikunternehmen beschäftigt weltweit rund 12'000 Angestellte. In der Schweiz zählt die Firma 70 Mitarbeitende, das Vertriebsnetz umfasst hierzulande rund 800 Agenturen.
FTI bestätigte am 28. Oktober selbst, dass man von einem Cyberangriff getroffen worden sei: "Vorübergehend waren die Veranstalter der Gruppe nicht buchbar, die IT-Infrastruktur sowie der Kommunikationsbereich teilweise gestört", hiess es in einer Mitteilung. Dort wird aber auch entwarnt: Noch am Abend seien wieder Neubuchungen möglich gewesen. Auch der Kommunikations- und Service-Bereich sei bald wieder zur Verfügung gestanden. Der Schaden scheine sich dank der schnellen Reaktion im Rahmen zu halten, hiess es.
Man folge allen Bestimmungen des Datenschutzes. Der Schutz und die Sicherheit der Kunden und Vertriebspartner, insbesondere deren Daten, würden oberste Priorität geniessen, erklärte FTI-Group-CEO Ralph Schiller damals. Offenbar hat das nicht ausgereicht.

Lohnangaben und Schweizer Pässe unter den geklauten Daten

Conti ist dafür bekannt, den Ansatz einer doppelten Erpressung, eine sogenannte Double Extortion, zu verfolgen: Dabei verschlüsseln die Hacker nicht nur die Systeme, sondern entwenden auch Daten, und drohen, diese zu veröffentlichen, wenn das Opfer das Lösegeld nicht bezahlt. Ob Verhandlungen stattgefunden haben und Lösegeld bezahlt werden soll, beantwortete die FTI Gruppe auf Anfrage von inside-it.ch nicht. Die Kriminellen waren aber offenbar unzufrieden.
Heute, am 18. November hat Conti nämlich mit der Veröffentlichung von Daten begonnen. Es sind bislang 15% der erbeuteten Daten publiziert, wie auf der Website von Conti erklärt wird, ein Datenpaket in der Grösse von 962 Megabyte. Darin finden sich bereits Fotos von rund 250 Pässen und Identitätskarten aus vielen Ländern, darunter auch mehrere aus der Schweiz (siehe Grafik). Dies zeigt unser Blick in die RAR-Ordner, die im Darknet veröffentlicht worden sind. 
image
Ein Schweizer Reisepass aus dem Datensatz von Conti.
Weil die Ausweise mit Foto und Passnummer für betrügerische Aktivitäten im Internet genutzt werden können, rät das Bundesamt für Polizei (Fedpol) Betroffenen, sich bei der zuständigen kantonalen Polizei zu melden. Die Passbesitzer wissen derzeit allerdings noch nichts von ihrem Unglück. Die FTI Gruppe schreibt uns: "Die Analyse des Cyber-Angriffs dauert derzeit an. Sobald hinreichende Erkenntnisse über Datenabflüsse vorliegen, wird die FTI Group Betroffene und Öffentlichkeit transparent informieren und hierbei die geltenden datenschutzrechtlichen Bestimmungen beachten." Man arbeite in der Sache mit dem Landeskriminalamt Bayern und den zuständigen Datenschutzbehörden zusammen, so eine Sprecherin.
Neben den Pässen und IDs haben die Hacker Buchhaltungsdaten zu Abrechnungen und Vereinbarungen mit Hotels und Ferienressorts veröffentlicht. Screenshots von Conti deuten zudem darauf hin, dass sich unter den noch nicht ins Darknet gestellten Datensätzen auch Budget-Berechnungen 2020/2021, interne Finanzberichte und HR-Angaben zu Löhnen befinden könnten.
Im Geschäftsjahr vor der Pandemie setzte FTI Touristik mit rund 8 Millionen Kunden 4,1 Milliarden Euro um. Die Hauptmärkte der Firma finden sich neben Deutschland, Österreich und der Schweiz in England, Frankreich und den Niederlanden.

Loading

Mehr zum Thema

image

Amazon bietet 1,7 Milliarden für Hersteller von Staubsauger-Robotern

Mit der Übernahme von iRobot setzt der Konzern seine Akquisitionen im Bereich Smart Home fort. Amazon erhält damit auch immer mehr Daten von Privathaushalten.

publiziert am 8.8.2022
image

Microsoft liefert neue Daten an SOCs

Die Redmonder erweitern ihr Security-Portfolio und geben Unternehmen neue Einblicke in die Bedrohungslage, Cyber-Crime-Banden und deren Tools.

publiziert am 4.8.2022
image

Threema kippt Google mehr und mehr aus seinen Diensten

Der Schweizer Messenger-Anbieter publiziert mit "Threema Libre" eine Android-Version, die ohne proprietären Google-Code auskommt.

publiziert am 4.8.2022
image

Elektronikhersteller Semikron meldet Cyberangriff

Der deutsche Spezialist für Leistungselektronik mit einer Niederlassung in Interlaken wurde mit Ransomware attackiert. Offenbar wurden auch Daten entwendet.

publiziert am 3.8.2022