Die Gruppe NN-Crew will nach eigenen Angaben in einen Server der Bundespolizei (BPOL) eingedrungen sein und zahlreiche Daten zum GPS-Tracking bei der Überwachung von Verdächtigen ausgelesen haben. Der gehackte Server wird von der BPOL offenbar als Datenpool und Server zum Download der GPS-Tracking-Software sowie der Anleitungen zur Installation und Bedienung verwendet. Für den Zugang zum Server müssen die Ermittler sich authentifizieren. Mehrere der Nutzernamen und Passwörter gehören zu den nun von NN-Crew veröffentlichten Daten. Daneben finden sich in den Überwachungsdatensätzen Telefonnummern, Kennzeichen, Orte und Koordinaten. Auf dem Server liegen auch zahlreiche interne Dokumente der Behörde.

Screenshot von der NN-Crew-Website

Die nach eigenen Angaben politisch motivierte NN-Crew richtet sich mit der Aktion gegen die "dauerhafte Überwachung" durch Behörden. "Diese dauerhafte Überwachung kann nicht länger toleriert werden. Ihr habt euch zahlreicher Verbrechen gegen die Persönlichkeitsrechte und Datenschutzbestimmungen schuldig gemacht … Jede Lücke wird ab jetzt schamlos ausgenutzt, alles was wir in die Hände bekommen, werden wir leaken, um den Feinden der Freiheit den größtmöglichen Imageschaden zuzufügen. Solange die Regierung und die großen Firmen ihre Bürger bestehlen, belügen, ausspionieren und nichts anderes zu tun haben als darüber nachzudenken, wie sie ihre Macht weiter ausbauen und ihr Geld weiter anhäufen können, werden wir weitermachen und die Rechte der Bürger dieses Landes wahren", schreibt die Gruppe auf ihrer Webseite. Mittlerweile sind die Seiten jedoch nicht mehr erreichbar.

Telefonische und schriftliche Anfragen von heise Security an die Bundespolizei mit der Bitte um eine Stellungnahme zu dem Vorfall blieben bislang unbeantwortet.

[Update]In einer Stellungnahme teilte eine Sprecherin der BPOL mit, dass "nach Analyse des Bundespolizeipräsidiums keine Einsatzdaten der Bundespolizei (oder des BKA) veröffentlicht wurden. Nach derzeitigen Feststellungen stammen die veröffentlichten Daten von einem Zoll-eigenen Server, auf den anscheinend auch Informationen der Bundespolizei zur Anwendung des Zielverfolgungssystems PATRAS für die Weiterverteilung im Zollbereich kopiert wurden." Aus Sicherheitsgründen sei der Server des Geodatensystems PATRAS vorläufig abgeschaltet und alle PATRAS-Nutzer informiert worden.

Zudem stimme man sich derzeit mit dem Zollkriminalamt ab und prüfe die Daten auf kritische Informationsinhalte. Der Vorfall soll zudem vom Nationalen Cyber-Abwehrzentrum beim BSI analysiert werden. Das ist für den mutmaßlichen Verursacher der Panne, den Zoll, besonders peinlich, weil das Zollkriminalamt selbst (assoziiertes) Mitglied des Cyber-Abwehrzentrums ist. [/Update] (dab)