Single Daily
af

redaktionen

Flensborgske børns data lå frit fremme på nettet

På en hjemmeside tilhørende et sponseret fritidstilbud lå talrige oplysninger om tilmeldte børn og deres forældre frit tilgængeligt på nettet. Det er kun et enkelt eksempel på, hvor let det er at finde følsomme oplysninger og sikkerhedshuller på nettet.
På en hjemmeside tilhørende et sponseret fritidstilbud lå talrige oplysninger om tilmeldte børn og deres forældre frit tilgængeligt på nettet. Det er kun et enkelt eksempel på, hvor let det er at finde følsomme oplysninger og sikkerhedshuller på nettet.

af Tomma Schröder

Det kræver kun få klik med musen på de rigtige steder, før lange lister med oplysninger om 350 familier i Flensborg og omegn dukker op: Forældrenes og børnenes navne, adresser, fødselsdato, telefonnummer, mailadresser – endog børnenes tøj- og skostørrelser står der. Alle disse informationer, som forældrene skulle oplyse om i 2017, da de meldte deres børn til et fritidstilbud, ligger et år senere frit tilgængeligt på nettet. Også helbredsmæssige skavanker er oplyst: To børn lider af diabetes, andre har børneeksem, høfeber eller nøddeallergi.

Det er it-eksperten Matthias Nehls fra Skovby, der har fundet lækken. Han er hacker og tilbyder sikkerhedsscanninger til private og virksomheder. For nogle uger siden offentliggjorde han en datalæk, han havde fundet hos Hochschule Flensburg.

For Flensborg Avis har han scannet nogle flensborgske IP-adresser for datalæk. Det tog faktisk kun få minutter, før han fandt noget på en server i en kommunalt ejet virksomhed og stødte på den hjemmeside for ovennævnte fritidstilbud.

Matthias Nehls kontaktede straks firmaet, der havde lavet siden og oplyste om datalækken. Hjemmesiden blev derefter straks spærret.

For Maret Hansen, der er delstatens rådgiver for databeskyttelse, er der ikke noget nyt i at støde på en læk som denne, men hun finder dem særdeles betænkelige.

– Også i projekter, der fungerer på et frivilligt grundlag, er man forpligtet til at beskytte data, siger hun og henviser til, at oplysninger om børn er specielt følsomme.

– Ganske vist er det ikke sandsynligt, at der sker noget, men i værste fald kan personlige oplysninger om børn naturligvis udnyttes til at manipulere dem og vinde deres fortrolighed. Desuden kan disse oplysninger også bruges i reklameøjemed eller til bedrageri, siger Maret Hansen.

– Netop derfor er det vigtigt, at de berørte bliver informeret. Fejl kan forekomme, men man skal håndtere det professionelt, tilføjer hun.

Meldepligt ikke opfyldt

Og professionelt vil sige, at man som hjemmeside-ansvarlig, hvis man opdager at være blevet hacket, skal anmelde fejlen til databeskyttelsescentret i Kiel i løbet af 72 timer. Men fredag middag havde Maret Hansen endnu ikke hørt om en sådan anmeldelse. Ifølge databeskyttelsesforordningen skal alle berørte derefter informeres om lækken.

Konstant søger Matthias Nehls efter sikkerhedshuller og datalæk på nettet i sit lille kontor i Skovby.
(Foto: Martin Ziemer)

Udbredt middel til afpresning

I Slesvig-Holsten oplever mange virksomheder at blive afpresset af cyberkriminelle. Det handler om enorme summer.

 

– Vores opklaringskvote for cyberkriminalitet er fremragende, siger Alexander Hahn for derefter straks at tilføje: – Desværre er det ikke relevant.

Alexander Hahn er leder af afdelingen for cyberkriminalitet i Landeskriminalamt og hader disse spørgsmål om tal. For han har ikke noget svar. Statistikkerne omfatter kun de lovovertrædelser, der bliver begået i Slesvig-Holsten og Tyskland. Men hvis man ikke kan lokalisere bagmanden og hans opholdssted, indgår lovovertrædelserne ikke i statistikken. Derfor er opklaringskvoten så god. For ved man, hvor gerningsmanden bor, kender man også ham selv.

90 procent af alle lovovertrædelser forbliver ukendte

I virkeligheden er det ofte meget svært at finde ophavsmanden til cyberkriminalitet, siger AlexanderHahn. Hertil kommer, at det langtfra er alle tilfælde, der bliver anmeldt. Ifølge et studie er det kun ti procent af de begåede lovovertrædelser, der lander på politiets bord.

Til gengæld giver antallet af ofre bedre mening: IHK Nord lavede i 2013 en stor rundspørge blandt 6000 virksomheder og fandt ud af, at hver tredje af dem i løbet af de foregående 12 måneder havde været udsat for et cyberangreb.

Industri- og handelskammeret IHK Schleswig-Holstein vil først gennemføre en ny undersøgelse næste år, men man går ud fra, at antallet af berørte »i de seneste år er vokset og nærmer sig de 50 procent«.

Årsagen er menneskelige fejl

Ud over sikkerhedshuller er det ofte menneskelige fejl, som hackerne kan benytte sig af. Medarbejderne åbner filer med skadelig software og vedhæng og prisgiver følsomme oplysninger. Derfor skal man være opmærksom på, om mailen virkelig kommer fra chefen og eventuelt ringe ham op og spørge.

Men også telefonopkald kan være farlige. Selv om det er en kollegas nummer, der dukker op på displayet, betyder det ikke nødvendigvis, at det er vedkommende, der ringer.

Hackere kræver enorme pengebeløb

Cyber-kommissær Alexander Hahn har i den seneste tid lagt mærke til, at lovovertrædelser med såkaldt ransomware bliver stadig hyppigere. Det er afpresningssoftware, som hackere benytter til at kryptere computerfiler.

De ramte privatpersoner og virksomheder kan derefter ikke åbne filer på deres egen computer uden at købe en afkodningskode af hackerne, som de kræver betaling i kryptovaluta for.

– Men efterhånden er metoderne blevet endnu mere forfinede, fortæller Alexander Hahn. Den skadelige software krypterer ikke kun filer, gennem den kan hackerne også finde frem til den angrebne virksomheds kreditværdighed, om der findes sammenhængende systemer, som hackerne ligeledes kan trænge ind i, og om de har adgang til backup, som de så også krypterer.

På den måde kan man lamme en virksomhed fuldstændig, siger Alexander Hahn. Og så bliver det dyrt.

– Der bliver forlangt enorme summer. I enkelte tilfælde har det i Slesvig-Holsten drejet sig om flere hundredtusinde euro.

Betalingerne er svære at efterspore. De fleste beløb kræves betalt i digital kryptovaluta. På den måde forbliver modtagerne anonyme – i hvert fald i de fleste tilfælde.

– Men også i sådanne tilfælde har vi haft held med efterforskningen, siger Alexander Hahn. Mere kan han ikke røbe. Men hans afdeling har mange dygtige folk, og man skal heller ikke føle sig sikker i det mørke net.

Cyberkriminalitet: – Utroligt at der ikke sker mere

It-ekspert fra Skovby scanner internettet for sikkerhedshuller og datalæk.

– Som at klø sig i nakken, siger Matthias Nehls og læner sig tilbage i sin stol. It-eksperten fra Skovby lægger ikke skjul på, at det ikke kræver ret stor hacker-viden at finde frem til dataskatte på internettet.

– Lige meget, hvor man kigger, finder man ubeskyttede informationer og sikkerhedshuller, fortæller han. Han har selv fundet en hel del, blandt andet undersøgelsesresultater og patientdata fra den patologiske afdeling på en universitetsklinik, oplysninger om utallige studerende på Hochschule Flensburg og oplysninger om børn, der havde søgt om et sponseret fritidstilbud.

Han finder også jævnligt huller og datalæk hos private firmaer. Senest kunne han gøre en virksomhed i milliardklassen i Dortmund opmærksom på, at direktionsbilag og mange andre data lå frit tilgængeligt på internettet.

Huller og læk overalt

Fordi it-eksperten konstant er på jagt på nettet med sin software Cyberscan, finder han ofte det ene læk efter det anden. Ifølge ham selv gennemfører hans software cirka 200.000 forskellige tests, som hører til hackeres normale repertoire.

– Vi kan jo prøve at scanne Flensborg Avis’ hjemmeside, siger han og finder domænet frem. Resultatet er positivt for avisen. Systemet er sikkert. Men nogle af medarbejderne har fået hacket deres Dropbox- og LinkedIn-konti.

Matthias Nehls giver os de tilhørende passwords, som er helt almindelige og kan findes overalt, fortæller han.

To millioner åbne data i Danmark

Når man sidder ved siden af it-eksperten i dennes lille kontor i industrikvarteret i Skovby, forstår man pludselig rækkevidden af de advarsler, som vi så ofte får: Lad være med at bruge de samme eller for nemme passwords, lav regelmæssige opdateringer, lad være med at efterlade oplysninger om dig selv overalt, og beskyt dine filer på internettet.

Nogle nøgletal viser, hvor få mennesker der virkelig passer på:

– I Danmark findes der cirka to millioner åbne datafiler. I betragtning af, man kun har fem millioner danske IP-adresser, er det ret mange.

Sammenligner vi med Tyskland, finder vi ti millioner åbne datafiler, men her findes der cirka 180 millioner IP-adresser. De åbne filer kan indeholde hvadsomhelst, fra hamløse dokumenter til kontoudtog, skatte- og helbredsoplysninger.

Store virksomheder – store huller

Men ubeskyttede data er oftest det mindste problem. Hackere med ondt i sinde udnytter især sikkerhedshuller, som opstår på grund af forkert konfigurerede systemer eller manglende opdateringer. Sådanne indgangsporte gør det nemt for dem at afpresse eller bedrage både privatpersoner og især virksomheder.

– Før vi begyndte at benytte softwaren Cyberscan, troede jeg faktisk, at der især var de små virksomheder, som havde problemer med sikkerhedshuller, siger Matthias Nehls. Men hullerne finder han oftest hos de meget store virksomheder med komplicerede it-strukturer og flere ansvarlige medarbejdere.

Hackere kan afbryde strømmen

Han har også fundet betydelige mangler hos forskellige forsyningsværker i Tyskland, fortæller Matthias Nehls.

– Et sted var der en firewall i hovedsystemet, hvis password aldrig var blevet ændret siden konfigurationen. Både brugernavn og password var »admin«. Man kunne nemt trænge ind i sådan et system og både koble strømmen fra og til.

Men kræver det ikke en specielt dreven hacker, eller kunne en af de mange computernørder, som der findes tusinder af, også gøre det?

– Det er så let som at klø sig i nakken, lyder svaret.

– Det kan mange gøre. Og når man bliver klar over det, undrer det egentlig, at der ikke sker flere ting, end der gør.

kommentar
deling del

Skriv et svar