{"id":7157,"date":"2019-09-24T17:31:02","date_gmt":"2019-09-24T15:31:02","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7157"},"modified":"2026-02-16T08:53:29","modified_gmt":"2026-02-16T07:53:29","slug":"cybersicherheit-hackerangriff-in-bulgarien","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/cybersicherheit-hackerangriff-in-bulgarien\/","title":{"rendered":"Cybersicherheit: Hackerangriff in Bulgarien"},"content":{"rendered":"

Die Cybersicherheit in Bulgariens Steuerbeh\u00f6rde NAP war gest\u00f6rt: Hackern gelang es, pers\u00f6nliche Daten von Millionen Menschen zu erbeuten. Die NAP verwaltet s\u00e4mtliche Steuern und Rentenabgaben Bulgariens. Es wird gemutma\u00dft, dass der Hack politisch motiviert war: Kurze Zeit vor dem Cyberangriff hatte das Land wichtige R\u00fcstungsinvestitionen beschlossen. Man m\u00f6chte die bisher genutzten sowjetischen MiG-Kampfjets durch die US-amerikanischen F-16-Falcons ersetzen.<\/p>\n

Bulgariens erste gro\u00dfe Cyberattacke<\/h2>\n

Bulgariens Innenminister Mladen Marinov best\u00e4tigte den Hackerangriff im TV-Sender bTV: „Es gibt tats\u00e4chlich einen nicht erlaubten Zugriff auf einen Server der NAP“. Die gestohlenen Daten sollen anschlie\u00dfend \u00fcber eine russische E-Mail-Adresse weiter verbreitet worden sein.<\/p>\n

Die russischen Beh\u00f6rden schweigen sich zu dem Vorfall in dem Land, das einst Verb\u00fcndeter Moskaus war, aus. Mittlerweile ist Bulgarien EU- sowie NATO-Mitglied. Ministerpr\u00e4sident Bojko Borissow, Finanzminister Wladislaw Goranow sowie die zentrale Steuerbeh\u00f6rde NAP best\u00e4tigen den Hackerangriff. Goranow: „Es ist beunruhigend, dass es dabei neben pers\u00f6nlichen Daten auch um Steuer- und (Pensions-)Versicherungsinformation geht.“ Betroffen seien laut Goranow drei Prozent der NAP-Datenbank.<\/p>\n

Nachdem der Hackerangriff im Juli 2019 stattfand, ging ein Bekennerschreiben bei drei bulgarischen Medien ein. Der angebliche NAP-Hacker gibt sich als Staatsb\u00fcrger Russlands aus. Er drohte, weitere Daten online zu stellen, wenn die Sicherheitsbeh\u00f6rden in Sofia weiterhin zum Datenleck schweigen w\u00fcrden.<\/p>\n

Bulgarische Medien erkl\u00e4rten, die Nachricht des oder der Hacker wurden \u00fcber russische Server an die bulgarischen Medien geschickt worden. Darin forderte man die Freilassung von Julian Assange. Als m\u00f6gliches Einfallstor gilt eine elektronische Dienstleistung der NAP, die B\u00fcrger zur R\u00fcckerstattung der Mehrwertsteuer nutzen k\u00f6nnen. Jassen Tanew, seines Zeichens Experte f\u00fcr Cybersicherheit, beschreibt den ersten Hackerangriff auf das Land als „IT-Tschernobyl“.<\/p>\n

Daten von 70 % der Bulgaren betroffen<\/h3>\n

Aus verschiedenen E-Mails der Hacker geht hervor, dass sie von \u00fcber f\u00fcnf Millionen der etwa sieben Millionen registrierten Bulgaren, Ausl\u00e4nder sowie Unternehmen Angaben zu den Steuern und Sozialversicherungsabgaben erbeutet h\u00e4tten. Bulgariens Wirtschaftskammer zeigt sich entr\u00fcstet: „Es gibt heute kaum einen B\u00fcrger oder Unternehmer, der sich durch das Informationsleck nicht bedroht f\u00fchlt“, erkl\u00e4rt der Vizechef der Kammer, Stanislaw Popdontschew.<\/p>\n

Die bulgarische Zeitung Monitor berichtet<\/a>, dass die oder der Hacker Zugriff auf 110 Datenbanken der NAP h\u00e4tte. Daten im Umfang von 21 GByte seien kopiert worden. Der oder die T\u00e4ter packten einen Link in die E-Mail \u2013 die Medien k\u00f6nnten so einen Teil der Datenbeute herunterladen. Rund 11 GByte und damit der Inhalt von 57 der Datenbanken seien zum Download bereit. Monitor erkl\u00e4rte, dass die Datens\u00e4tze auf den ersten Blick authentisch wirkten, die Echtheit durch Sicherheitsbeh\u00f6rden jedoch noch zu \u00fcberpr\u00fcfen sei.<\/p>\n

Hackerangriff mit politischen Motiven<\/h3>\n

Der Zusammenhang zu den neuen R\u00fcstungsinvestitionen wird von Innenminister Marinov deshalb vermutet, weil es sich beim Kauf der acht US-Kampfjets im Wert von etwa 1,3 Milliarden US-Dollar um den gr\u00f6\u00dften R\u00fcstungskauf seit Ende des Kommunismus handelt. Die US-Jets sollen die bisher genutzten russischen Jets abl\u00f6sen.<\/p>\n

Marinov erkl\u00e4rte weiter, dass die Daten \u00fcber eine russische E-Mail-Adresse an die bulgarischen Medien gesendet worden seien. Angeblich wurden sie von Servern des russischen E-Mail-Anbieters Yandex abgesendet. Das k\u00f6nnte jedoch auch ein Versuch sein, eine Spur in Richtung Russland zu legen.<\/p>\n

Noch hat das Land nicht reagiert: Bulgarien hat keine weiteren Informationen zum Hack oder dar\u00fcber, wie er erfolgte, bekanntgegeben.<\/p>\n

Mutma\u00dflicher Hacker wurde gefasst<\/h2>\n

Wenige Tage nach Bekanntwerden dieser Hackerattacke wurde ein 20-j\u00e4hriger Verd\u00e4chtiger festgenommen. Kristian Boikov, ein Bulgare, war bei einer Firma f\u00fcr Cybersicherheit besch\u00e4ftigt. Diesen Verd\u00e4chtigen brachte Jawor Kolew an die \u00d6ffentlichkeit, er ist im Innenministerium f\u00fcrs Bek\u00e4mpfen von Cyberkriminalit\u00e4t zust\u00e4ndig.<\/p>\n

Dem 20-J\u00e4hrigen aus Plowdiw warf die Staatsanwaltschaft in Sofia ein Verbrechen gegen ein Informationssystem vor, welches Teil einer kritischen Infrastruktur sei. An seinem Arbeitsplatz und in der Wohnung des Verd\u00e4chtigen konnten Computertechnik sowie Datentr\u00e4ger sichergestellt werden, die auf den Hackerangriff hinweisen w\u00fcrden. Zwischen 5 bis 8 Jahren Haft drohten dem jungen IT-Spezialisten. Kurz nach seiner Festnahme ist Boikov jedoch wieder freigelassen worden. Die Staatsanwaltschaft begr\u00fcndete: Das Informationssystem, gegen das die Straftat ausgef\u00fchrt wurde, sei „kein Teil der kritischen Infrastruktur“.<\/p>\n

Interessant ist, dass Boikov kein Unbekannter ist: Im Jahre 2017 hackte er die Website des bulgarischen Bildungsministeriums, um auf Sicherheitsl\u00fccken hinzuweisen. Auf seiner eigenen Website bestreitet Boikov, etwas mit den aktuellen Vorf\u00e4llen zu tun zu haben.<\/p>\n

Ivan Geschev, Bulgariens stellvertretender Generalstaatsanwalt, sprach zun\u00e4chst von Boikov als Einzelt\u00e4ter, korrigierte sich jedoch sp\u00e4ter, wie die Rheinische Post berichtete: Boikov sei durch die Vorgesetzten der Cybersicherheitsfirma TAD Group angestiftet worden. Auch den Chef der TAD Group hatte man vor\u00fcbergehend festgenommen und angeklagt. Beweismittel wurden schon zwei Wochen nach der Verhaftung Boikovs und vor dem Prozess pr\u00e4sentiert. Ganz nebenher leakte der Staatsanwalt durch die Pr\u00e4sentation dieser Beweise \u00fcber 2.000 Privatadressen, die Teil des Beweismaterials waren. Dieses Vorgehen kritisierten Menschenrechtler, da dies einer Vorverurteilung gleichkomme.<\/p>\n

Cybersicherheit in Bulgarien: Umgang mit der Cyberattacke<\/h2>\n

Ministerpr\u00e4sident Bojko Borissow war zweifellos ver\u00e4rgert \u00fcber die Cyberattacke, lobte aber dennoch die IT-Kompetenz Boikovs. Als „Zauberer“ bezeichnete er ihn und erkl\u00e4rte, wie wichtig es sei, es zu erm\u00f6glichen, solche Spezialisten in T\u00e4tigkeiten zugunsten des Staates einzusetzen.<\/p>\n

Und das Datenleck, um das es ging? Die bulgarische Regierung hat diesbez\u00fcglich bislang wenig getan, wie IT-Spezialist Bozhanov wei\u00df. Immerhin: Den B\u00fcrgerinnen und B\u00fcrgern Bulgariens steht nun eine App zu Verf\u00fcgung, mit der man pr\u00fcfen k\u00f6nne, ob die eigenen Daten betroffen seien. Dass man sich per eID f\u00fcr die App anmelden muss und diese weder fortgeschritten noch weit verbreitet ist, ist dabei eher als ung\u00fcnstig einzustufen. Hinzu kommt: Finden B\u00fcrger heraus, dass auch ihre Daten vom Hack betroffen waren, werden sie damit alleingelassen.<\/p>\n

Experten denken, dass das Bekennerschreiben des russischen Hackers nicht im Zusammenhang mit diesem Gro\u00df-Hack steht. Es ist au\u00dferdem wahrscheinlich, dass Bulgarien durch seine EU-Mitgliedschaft eine Millionenstrafe wegen des Hacks droht. Die DSGVO macht auch vor L\u00e4ndern und Regierungen nicht halt.<\/p>\n