Kirkel 
Nach Hackerangriff: Diese persönlichen Daten stehen im Darknet
Nachdem die IT-Struktur der Gemeindeverwaltung Kirkel im März gehackt wurde, blieb das Rathaus für Besucher vorerst geschlossen. Die Attacke geht auf die Hackergruppe Safepay zurück, eine sogenannte Ransomware-Gruppe. Ransom bedeutet Lösegeld. Ähnlich wie bei einer Entführung mit Lösegelderpressung stehlen die Hacker Daten ihrer Opfer und fordern dann eine Art Lösegeldzahlung. Ansonsten würden sie die gestohlenen Daten veröffentlichen, drohen sie. Die Gruppe Safepay agiert laut Analysen in Internetblogs erst seit Herbst 2024. Laut dem Internetmagazin Netzpalaver ist sie aber mittlerweile in Deutschland die aktivste Ransomware-Gruppe: „Unter den 74 Ransomware-Opfern, die im ersten Quartal 2025 in Deutschland gemeldet wurden, war Safepay für 24 Prozent verantwortlich – der höchste Anteil einer Gruppe hierzulande.“ Das bedeutet aber nicht, dass die Gruppe in Deutschland beheimatet ist. Angaben über die Herkunft der Hacker findet man nicht.
Wie üblich, hat Safepay die gestohlenen Daten im sogenannten Darknet veröffentlicht. Das ist ein versteckter Teil des Internets. Man kann es sich wie einen Eisberg oder eine Insel vorstellen: Der Teil über Wasser ist sichtbar, und es gibt Landkarten. Der unter Wasser ist verborgen, und man braucht eine spezielle Ausrüstung, um an manche Stellen zu gelangen. Das Darknet ist ein Teil unter Wasser. Man findet die Seiten nicht mit den üblichen Suchmaschinen wie Google, und man kann sie nur mit einer bestimmten Art von Internetbrowser aufrufen. Nur fünf Prozent des Internets liegen sozusagen über Wasser. Das Darknet, das dunkle Netz, gehört zu dem Teil unter Wasser, den man Deep Web nennt – das tiefe Netz. Dort liegen zum Beispiel Datenbanken und Internetseiten hinter Bezahlschranken. Diese 95 Prozent sind nicht von Suchmaschinen erfasst. Das anonyme Darknet, in dem auch illegale Geschäfte abgewickelt werden können, macht ebenfalls fünf Prozent des Internets aus.
Bereits 160 Unternehmen und Behörden gehackt
Auf seiner Seite listet Safepay 160 Unternehmen und Behörden weltweit auf, die die Gruppe gehackt hat und deren Daten nun im Darknet abrufbar sind. Zu den Opfern in Deutschland gehören neben Kirkel unter anderem eine Baufirma, ein Hotel, ein Steuerberater, eine Tierarztpraxis und die Stadt Heilbronn. Das deutet darauf hin, dass die Gemeinde Kirkel nicht gezielt ins Visier genommen wurde, sondern dass die Gruppe mehr oder weniger wahllos IT-Systeme attackiert und versucht, Schwachstellen zu finden. Die Hackergruppe weist auf ihrer Seite darauf hin, dass sie ihre Opfer nicht im Auftrag Dritter angreift – auch das ist ein Geschäftsmodell solcher Gruppen. Mehr als dieser Hinweis, die Liste der Opfer und ein Symbol, das an das „Auge Gottes“ erinnert – ein Auge in einem Dreieck – sind auf der Seite nicht zu finden.
Von der Gemeinde Kirkel haben die Hacker nach ihren Angaben eine Datenmenge von 75 Gigabyte gestohlen. Das entspricht in etwa der Menge, um bis zu 300 Stunden Netflix in einfacher Auflösung zu schauen, 100 Tage lang Musik auf Spotify zu hören oder drei Wochen ununterbrochen im Internet zu surfen. Die Daten auf der Safepay-Website sind in verschiedene Ordner samt Unterordner verteilt. Die Hauptordner gehören unter anderem zu den verschiedenen Ressorts, darunter Hauptamt, Kasse, Kultur, Sozialamt und Bauamt.
Zum Teil vertrauliche und höchst persönliche Angaben
Manche Daten sind öffentlich zugänglich oder zumindest frei im Internet abrufbar, darunter Satzungen, Verordnungen und Sicherheitsanweisungen, Termine, Telefonlisten und Tagesordnungen zu Sitzungen. Andere sind unverfänglich wie die „Dienstanweisung zum Verladen eines Baggers und Ablegen der Zurrkette“.
Ein Teil der Daten enthält jedoch vertrauliche und höchst persönliche Angaben. Dazu zählen die Anträge auf Soforthilfe nach dem Hochwasser 2024 inklusive Vorname, Name, Adresse, Mailadresse, Telefonnummer (Festnetz oder Handy), die vollständigen Kontodaten und eigenhändige Unterschriften. Zu finden sind Dienstausweise von Mitarbeitern, ein Foto des Personalausweises von Bürgermeister Dominik Hochlenert samt Vorder- und Rückseite, Laborbefunde für Mitarbeiter, ärztliche Bescheinigungen, die Namen von Mitarbeitern, denen Abmahnungen drohten, Beurteilungen von Praktikanten, Fahrtenbücher, die Bewilligung von Grundsicherung, Anträge auf Stundung von Steuerschulden, eine Liste der Gewerbesteuerzahler samt Steuernummer. Eine Liste von Personen, die durch den Sozialpass ermäßigt ins Schwimmbad dürfen, listet die Gründe auf – etwa das Beziehen von Bürgergeld –, dazu kommen Kopien von Personalausweisen.
Namen und Adressen von Geflüchteten und Asylbewerbern
Zu finden sind zudem Listen mit den Namen von 200 geflüchteten Ukrainern samt kompletten Namen, Geburtsdaten, ihrem Wohnort in der Gemeinde Kirkel und dem Datum ihrer Ankunft. Von etwa 100 Asylbewerbern findet man Daten verschiedener Art, darunter Mietbescheinigungen, Meldebestätigungen, Passfotos, Adressen und Geburtsdaten – mal mehr, mal weniger zu jedem Eintrag. Eine weitere Liste nennt die Namen und Adressen von 470 Asylbewerbern samt Zuweisungsdatum, Geburtsdatum und Herkunftsland.
Die Gemeindeverwaltung hatte vergangene Woche eingeräumt, dass es sich bei den gestohlenen Daten um „Dokumente mit persönlichen Daten“ aus unterschiedlichen Teilen der Verwaltung handele, die teils auch personenbezogene Daten beinhalten würden. Betrügerisch verwendet worden seien die Daten allerdings nicht. Wer vom Cyberangriff betroffen war, den habe die Gemeinde inzwischen informiert. Sie rät den Bürgern, weiterhin wachsam zu bleiben. Aus dem Darknet löschen lassen kann die Gemeinde die Daten nicht. Auch die Ermittlungsbehörden haben oft keine Handlungsmöglichkeiten, da meist nicht bekannt ist, wer hinter den Hackergruppen steckt. Zudem liegen die Daten üblicherweise auf Servern im Ausland.