Die Metropolitan Police kannte die Jugendlichen, die Transport for London (TfL) angriffen, bereits Jahre vor dem Cyberangriff, wie aus internen Berichten hervorgeht. Trotz dieser Vorinformationen gelang es den Tätern, sensible Daten zu entwenden. Der Vorfall wirft Fragen zur Koordination zwischen Sicherheitsbehörden und der kritischen Infrastruktur in London auf.
Warum warnte die Metropolitan Police TfL nicht vor den Hackern?
Die Metropolitan Police verfügte bereits Jahre vor dem Angriff auf Transport for London (TfL) über Informationen zu den beteiligten Jugendlichen. Laut Berichten der BBC und internen Dokumenten waren die Täter im Rahmen anderer Ermittlungen bekannt. Die Behörden hatten die Aktivitäten der Gruppe beobachtet, leiteten diese Erkenntnisse jedoch nicht an den Betreiber des Londoner Verkehrsnetzes weiter.
Dieser Informationsfluss stockte an der Schnittstelle zwischen der Kriminalpolizei und den Sicherheitsabteilungen der städtischen Infrastruktur. Während die Polizei die Jugendlichen als Risiko einstufte, fehlte eine systematische Warnkette, die spezifische Bedrohungen an betroffene Organisationen wie TfL meldet. Transport for London gilt als Teil der kritischen nationalen Infrastruktur (Critical National Infrastructure, CNI), da die Stadt London für den Betrieb von U-Bahnen, Bussen und dem Overground auf diese Systeme angewiesen ist. Ein Ausfall oder eine Kompromittierung dieser Netze kann weitreichende wirtschaftliche und soziale Folgen für die Metropole haben.
Die Täter nutzten bekannte Schwachstellen in den Systemen aus, die durch eine frühzeitige Warnung hätten geschlossen werden können. In der polizeilichen Praxis besteht oft ein Spannungsfeld zwischen der laufenden Überwachung von Verdächtigen, um ein gesamtes Netzwerk zu identifizieren, und der sofortigen Warnung von potenziellen Opfern, was die Ermittlungen gefährden könnte. Im Fall von TfL führte dieses Zögern dazu, dass die präventive Absicherung der Systeme nicht erfolgte.
Welche Daten wurden beim TfL-Cyberangriff gestohlen?
Bei dem Angriff gelangten die Hacker in interne Systeme von Transport for London. Nach Angaben von TfL wurden dabei sensible Informationen entwendet, darunter Kundendaten und interne Kommunikationsprotokolle. Die Organisation bestätigte, dass die Angreifer Zugriff auf Systeme hatten, die für den täglichen Betrieb des Verkehrsnetzes entscheidend sind.
Die Jugendlichen nutzten Techniken des Social Engineering und die Ausnutzung von Software-Lücken, um Administratorrechte zu erlangen. Social Engineering umfasst dabei Methoden wie Phishing oder die gezielte Manipulation von Mitarbeitern, um Passwörter oder Zugangstoken zu erhalten. Sobald die Angreifer Administratorrechte besitzen, können sie sich lateral im Netzwerk bewegen, Sicherheitsbeschränkungen aufheben und tief in die Datenbanken eindringen, ohne durch herkömmliche Benutzerfilter gestoppt zu werden.
In einer Stellungnahme zu den Sicherheitslücken hieß es:
Die Integrität unserer Systeme wurde verletzt, was zu einem unbefugten Zugriff auf interne Daten führte. Wir arbeiten eng mit den Behörden zusammen, um die betroffenen Nutzer zu informieren.
Sprecher von Transport for London
Wie bewerten Experten das Versagen der Sicherheitsbehörden?
Cybersicherheitsexperten kritisieren, dass die Metropolitan Police eine Chance zur Prävention versäumt hat. In der Branche ist es üblich, dass Informationen über bekannte Bedrohungsakteure über Plattformen wie das National Cyber Security Centre (NCSC) geteilt werden. Das NCSC, eine Abteilung des Geheimdienstes GCHQ, fungiert als zentrale technische Autorität für Cybersicherheit im Vereinigten Königreich und bietet staatlichen Stellen sowie privaten Unternehmen Unterstützung bei der Abwehr von Angriffen.
Im Fall der TfL-Hacker blieb diese Kommunikation jedoch lückenhaft. Das Problem liegt laut Analysten in der Kategorisierung der Täter. Da es sich um Jugendliche handelte, wurden die Vorfälle möglicherweise als weniger gefährlich eingestuft als Angriffe staatlicher Akteure oder professioneller Ransomware-Banden. Diese Unterscheidung führte dazu, dass die Warnschwelle nicht erreicht wurde, obwohl moderne Jugend-Hackergruppen oft hochspezialisierte Tools und Methoden nutzen, die denen professioneller Gruppen ähneln.
Was passiert nun mit den verantwortlichen Jugendlichen?
Die Ermittlungen gegen die Gruppe dauern an. Die rechtliche Grundlage für die Verfolgung solcher Taten im Vereinigten Königreich ist primär der Computer Misuse Act 1990. Dieses Gesetz stellt den unbefugten Zugriff auf Computersysteme sowie die vorsätzliche Beeinträchtigung von Systemen unter Strafe. Da die Täter zum Zeitpunkt der Taten minderjährig waren, unterliegen viele Details des Verfahrens dem Jugendschutzrecht, was die öffentliche Bekanntgabe von Namen und spezifischen Urteilen einschränkt.
Dennoch stehen Vorwürfe des unbefugten Zugriffs auf Computersysteme im Raum. Die Metropolitan Police hat nach dem Vorfall angekündigt, die Zusammenarbeit mit Betreibern kritischer Infrastruktur zu intensivieren. Es wird geprüft, ob ein automatisierter Melde meccanismus eingeführt werden kann, der es ermöglicht, Warnungen über potenzielle Angreifer in Echtzeit an betroffene Institutionen zu übermitteln, ohne den Datenschutz der Verdächtigen zu verletzen.
Die aktuelle Situation zeigt eine Diskrepanz zwischen der Fähigkeit der Polizei, Täter zu identifizieren, und der Fähigkeit, diese Informationen präventiv zu nutzen. Während die technische Aufklärung der Täter gelang, scheiterte die operative Umsetzung des Schutzes für TfL.
Find more reporting in our Technik und Wissenschaft section.
