Hacker stehlen Daten eines Touristikriesen, darunter Reisepässe von Schweizern

18. November 2021, 14:45
  • ransomware
  • cybercrime
  • cyberangriff
  • datenschutz
image

Die FTI Group hat einen Ransomware-Angriff eingeräumt. Unsere Recherchen zeigen nun exklusiv das Ausmass des Datenverlusts.

Die Ransomware-Bande Conti hat ein neues, prominentes Opfer gefunden: Laut Angaben der Gruppe hat sie die Systeme der FTI Group gehackt. Das in München beheimatete Touristikunternehmen beschäftigt weltweit rund 12'000 Angestellte. In der Schweiz zählt die Firma 70 Mitarbeitende, das Vertriebsnetz umfasst hierzulande rund 800 Agenturen.
FTI bestätigte am 28. Oktober selbst, dass man von einem Cyberangriff getroffen worden sei: "Vorübergehend waren die Veranstalter der Gruppe nicht buchbar, die IT-Infrastruktur sowie der Kommunikationsbereich teilweise gestört", hiess es in einer Mitteilung. Dort wird aber auch entwarnt: Noch am Abend seien wieder Neubuchungen möglich gewesen. Auch der Kommunikations- und Service-Bereich sei bald wieder zur Verfügung gestanden. Der Schaden scheine sich dank der schnellen Reaktion im Rahmen zu halten, hiess es.
Man folge allen Bestimmungen des Datenschutzes. Der Schutz und die Sicherheit der Kunden und Vertriebspartner, insbesondere deren Daten, würden oberste Priorität geniessen, erklärte FTI-Group-CEO Ralph Schiller damals. Offenbar hat das nicht ausgereicht.

Lohnangaben und Schweizer Pässe unter den geklauten Daten

Conti ist dafür bekannt, den Ansatz einer doppelten Erpressung, eine sogenannte Double Extortion, zu verfolgen: Dabei verschlüsseln die Hacker nicht nur die Systeme, sondern entwenden auch Daten, und drohen, diese zu veröffentlichen, wenn das Opfer das Lösegeld nicht bezahlt. Ob Verhandlungen stattgefunden haben und Lösegeld bezahlt werden soll, beantwortete die FTI Gruppe auf Anfrage von inside-it.ch nicht. Die Kriminellen waren aber offenbar unzufrieden.
Heute, am 18. November hat Conti nämlich mit der Veröffentlichung von Daten begonnen. Es sind bislang 15% der erbeuteten Daten publiziert, wie auf der Website von Conti erklärt wird, ein Datenpaket in der Grösse von 962 Megabyte. Darin finden sich bereits Fotos von rund 250 Pässen und Identitätskarten aus vielen Ländern, darunter auch mehrere aus der Schweiz (siehe Grafik). Dies zeigt unser Blick in die RAR-Ordner, die im Darknet veröffentlicht worden sind. 
image
Ein Schweizer Reisepass aus dem Datensatz von Conti.
Weil die Ausweise mit Foto und Passnummer für betrügerische Aktivitäten im Internet genutzt werden können, rät das Bundesamt für Polizei (Fedpol) Betroffenen, sich bei der zuständigen kantonalen Polizei zu melden. Die Passbesitzer wissen derzeit allerdings noch nichts von ihrem Unglück. Die FTI Gruppe schreibt uns: "Die Analyse des Cyber-Angriffs dauert derzeit an. Sobald hinreichende Erkenntnisse über Datenabflüsse vorliegen, wird die FTI Group Betroffene und Öffentlichkeit transparent informieren und hierbei die geltenden datenschutzrechtlichen Bestimmungen beachten." Man arbeite in der Sache mit dem Landeskriminalamt Bayern und den zuständigen Datenschutzbehörden zusammen, so eine Sprecherin.
Neben den Pässen und IDs haben die Hacker Buchhaltungsdaten zu Abrechnungen und Vereinbarungen mit Hotels und Ferienressorts veröffentlicht. Screenshots von Conti deuten zudem darauf hin, dass sich unter den noch nicht ins Darknet gestellten Datensätzen auch Budget-Berechnungen 2020/2021, interne Finanzberichte und HR-Angaben zu Löhnen befinden könnten.
Im Geschäftsjahr vor der Pandemie setzte FTI Touristik mit rund 8 Millionen Kunden 4,1 Milliarden Euro um. Die Hauptmärkte der Firma finden sich neben Deutschland, Österreich und der Schweiz in England, Frankreich und den Niederlanden.

Loading

Mehr zum Thema

image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022