Die vermeintliche Sammlerin Jennifer Lamb überzeugte Galerien mit professionellen Anfragen in branchentypischem Jargon.

Auf dem Kunstmarkt hat Internetkriminalität derzeit offenbar Hochkonjunktur. Sieht man vom Cyberangriff auf Christie's ab, zu dem sich Anfang der Woche die Gruppe Ransom Hub bekannte und der das Auktionshaus sowie seine Kunden noch länger beschäftigen wird, sind davon aktuell auch eine Reihe von Galerien in Wien und Deutschland betroffen.

Bei Letzteren geht es um eine kanadische Sammlerin auf vermeintlicher Shoppingtour: eine gewisse Jennifer Lamb, die in den letzten Wochen via Mail Interesse an spezifischen Werken oder Künstlerportfolios bekundete, die auf den Websites der Galerien präsentiert werden. In weiterer Folge wurden Angebote verschickt, fallweise Zustandsberichte nachgereicht, der Kaufpreis verhandelt, Transportkonditionen vereinbart und nach Zusage schließlich die Rechnung verschickt.

Die danach an Galerien übermittelte Überweisungsbestätigung oder Ausweiskopie dürfte jedoch eine Schadsoftware enthalten, die teils von Firewalls erkannt wurde, wie der Verband österreichischer Galerien seine Mitglieder Mitte Mai aufgrund von Erfahrungswerten eines ähnlichen Falls im Oktober 2023 warnte.

Ziel noch unklar

Der entsprechende STANDARD-Bericht machte vergangenes Wochenende auch in Deutschland die Runde. Einerseits über einen aufmerksamen Kunstspediteur, bei dem die Kosten für einen Transport an Jennifer Lamb nach Vancouver angefragt worden waren, andererseits über den Bundesverband Deutscher Galerien und Kunsthändler, der seine Mitglieder alarmierte. Ergebnis: Mehrere Galerien in Berlin, Frankfurt, München oder auch Bonn und Hamburg standen aktuell in Verhandlungen mit Jennifer Lamb.

Ob es am Ende um Erpressung im Hinblick auf Kundendaten oder um das Kapern des Mailaccounts gegangen wäre, ist derzeit unklar und Gegenstand technischer Analysen. 2021 hatten sich Hacker etwa Zugriff auf die Mailkonten einiger renommierter Galerien verschafft, Rechnungen manipuliert und Zahlungen auf ihre Konten umgeleitet.

Schwerwiegender Zugriff

Als weit schwerwiegender entpuppt sich der von Christie's als "technisches Sicherheitsproblem" verharmloste Hackerangriff. Auf einen Erpressungsversuch hatte das Auktionshaus im Vorfeld wichtiger Auktionen in New York und Genf mit einer vorübergehenden Offlinenahme seiner Website reagiert. Wie die Hacker am Montag im Darknet bekanntgaben, seien sensible Daten von mehr als 500.000 Kunden erbeutet worden. Ransom Hub droht nun an, diese zu versteigern.

Am Donnerstag benachrichtigte Christie's seine Klienten via Mail. Demnach hätten Dritte Daten "aus dem internen Kundenverifikationssystem heruntergeladen". Konkret handle es sich um Daten aus Reisepässen oder anderen Ausweispapieren, die den vollständigen Namen, das Geburtsdatum oder auch die Dokumentennummer inkludieren: Also "echtheitsverifizierte Identitätsdaten einer kaufkräftigen Klientel", und das steigere "den Wert für Kriminelle" ebenso wie "die Wahrscheinlichkeit eines Identitätsdiebstahls", erklärt Martin Tschirsich, Berater für Informationssicherheit, auf STANDARD-Anfrage.

Viele Missbrauchsszenarien

In weiterer Folge können "Betrüger im Namen der Betroffenen an Online-Auktionen teilnehmen, Bankkonten eröffnen, Geldwäsche betreiben, personenbezogene Daten beauskunften lassen". Die Liste der Missbrauchsszenarien, "die durch Offenbarung der von Christie's unsicher gespeicherten Identitätsattribute eröffnet wurden", sei sehr lang, wie der deutsche Experte betont.

Der Haken: "Betroffene haben nur wenige Möglichkeiten, das Risiko eines Missbrauchs einzugrenzen." Martin Tschirsich empfiehlt deshalb, "die Zugriffe auf Konten und Accounts sowie Online-Aktiviäten in eigenem Namen genau zu monitoren". Ratsam sei weiters, "die Bank und Kreditgeber über den Sachverhalt in Kenntnis zu setzen". (Olga Kronsteiner, 31.5.2024)