Argentinien: Ausweisdaten im Netz – droht das auch uns?

Der Digitalisierung sei Dank fühlen wir Menschen uns fortschrittlich sowie unangreifbar. Wir erfassen so viele Daten wie noch nie, füllen Register und Datenbanken, doch dem nicht genug, wir fordern immer mehr. Mehr Sicherheit, mehr Überwachung, mehr Zentralisierung. Argentinien fliegt das gerade um die Ohren: Im Darknet werden Ausweisdaten der gesamten argentinischen Bevölkerung angeboten – sie stammen aus einer zentralen Ausweis-Datenbank. Hier hat das Hacker-Damoklesschwert zugeschlagen. So etwas passiert auch uns. Die Frage ist nicht ob, sondern wann. Ein Kommentar.

Bis zu 45 Millionen Betroffene

Großer Daten-Coup oder bloß Täuschung? Im Darknet bietet ein Unbekannter die Ausweisdaten von 45 Millionen argentinischen Bürgerinnen und Bürgern an. Das argentinische Innenministerium gibt den unbefugten Zugriff zu, leugnet aber dessen Umfang.

Doch zunächst zum Hintergrund: In Argentinien werden alle Ausweisdaten im RENAPER (Registro Nacional de las Personas) gespeichert. Zugriff darauf haben die verschiedensten Behörden. So weit, so blöd. Nun behauptet jemand, das Register gehackt zu haben. Abgeflossen seien folgende Datenkategorien:

• Vor- und Nachname
• Wohnanschrift
• Geburtstag
• Geschlecht
• Ausstellungs- und Ablaufdatum
• Foto
• Arbeitsidentifikationsnummer
• Trámite-Nummer (Verfahrensnummer)
• Bürgernummer
• sowie sonstige Ausweisdaten (Barcode, Ausweisart).

Das argentinische Innenministerium betont in seiner Pressemitteilung vom 13. Oktober 2021, betroffen seien weniger als mehrere Dutzend Datensätze (44 Personen). Der unerlaubte Zugriff hätte über VPN stattgefunden. Der Hacker erklärt, durch unvorsichtige Behördenmitarbeiter an die Daten gelangt zu sein. Ursache? Vermutlich ein in die falschen Hände gelangtes Passwort. Stupidity as usual.

Tätig wurden die offiziellen Stellen, weil am 09. Oktober 2021 ein inzwischen gesperrter Twitteraccount (AnibalLeaks) sensible Daten veröffentlicht hatte, unter anderem von Prominenten wie dem Präsidenten Alberto Fernández und Fußballer Lionel Messi. Ein unbefugter Zugriff zu dieser Zeit auf RENAPER durch das Gesundheitsministerium ist bestätigt. Ein weiteres Eindringen habe es aber nicht gegeben. Sicher.

Der Unbekannte widerspricht und droht mit der Veröffentlichung der Daten von ein oder zwei Millionen Menschen. Eine Beispielsabfrage durch das Tech-Magazin The Record zu einer realen argentinischen Person zeigt: Der Datenabgreifer konnte die richtigen Daten liefern. Er lügt also nicht.

Ob der Unbekannte die Daten tatsächlich online stellt oder verkauft, ist unklar. Die argentinischen Behörden lassen sich aber nicht erpressen: Als Ransomware-Erpresser 2020 die Daten der argentinischen Einwanderungsbehörde verschlüsselten und vier Millionen Dollar Lösegeld forderten, zahlte man nicht. Daraufhin landeten die Ausweisdaten Hunderttausender im Netz, auch von 12.000 Deutschen. Das dürfte also nun heiter werden.

Identitätsdiebstahl voraus!

Ich habe es ja mit Metaphern, also: Die Daten-Titanic schrammt gerade am Eisberg entlang und wird mitsamt der Betroffenen unweigerlich im Darknet-Meer versinken. Wenn es stimmt, was der Datenabgreifer sagt, dann gehen die personenbezogenen Daten von 45 Millionen Menschen demnächst online oder an diverse Käufer. Vor Katastrophen wie diesen wird schon lange gewarnt, doch hat man darauf nicht gehört: Die Daten-Titanic gilt in den Köpfen vieler einfach als unsinkbar.

Den Betroffenen droht Identitätsdiebstahl. Mit Hilfe der geleakten Daten können Fachkundige falsche Ausweise erstellen. Und ist der erst vorhanden, besteht allerlei Raum für Schabernack und Geldwäsche. Ruckzuck lassen sich Bankkonten auf den Namen des Betroffenen eröffnen, Kreditverträge schließen, SIM-Karten kaufen, Wohnungen anmieten. Natürlich nicht aus Spaß, sondern um Vorteile zu erhalten und als Basis für weitere kriminelle Aktivitäten wie Betrug. Spätestens wenn die Polizei dann vor der eigenen Tür steht, gibt es Ärger. Immerhin glaubt die, man selbst hätte diese Geschäfte getätigt.

Wir begehen denselben Fehler wie die Erbauer der Titanic: Wir fühlen uns dank unserer fortschrittlichen Technik überlegen. Die Natur (sei es in Form von Eisbergen oder der Kriminalität) holt uns auf den Boden der Tatsachen zurück. Leider muss es dazu erst zu einem Unglück kommen.

Wenn Zentralisierungsnaivität auf Inkompetenz trifft

Argentinien mag weit weg sein, das Risiko betrifft allerdings auch uns. Zwar wird hierzulande keine zentrale Personalausweis- bzw. Reisepassdatenbank geführt (zumindest hoffe ich, dass das nicht der Fall ist), aber der Zentralisierungswahn greift um sich. Egal für welchen Zweck, man kann sich sicher sein, irgendein Politiker fordert die Datenerfassung. Ob gegen Corona, Kindesmissbrauch, Terrorismus, Hassrede, für mehr Sicherheit in unseren Städten, die Entbürokratisierung des steinzeitlichen Verwaltungsapparats oder die Digitalisierung der Gesundheitsbranche: Die Daten sind die Kekse. Und das Krümelmonster verschlingt jeden Keks, den es finden kann.

Und so lautet die Frage, ob man die Steuer-ID zur Bürgernummer macht, nicht: Braucht es das wirklich? Sondern: Warum nicht? Die Risiken werden dabei einfach ausgeblendet, kleingeredet oder beiseitegeschoben wie Rosinenplätzchen (ernsthaft, wer isst die?). Fingerabdrücke im Personalausweis macht man zur Pflicht, damit man eventuell – also ganz ganz vielleicht – Fälschungen verhindern kann. Um jeden Brösel zu erwischen, würden Videoüberwachungskameras vor den Fenstern eines jeden Hauses platziert, wenn man denn dürfte – es könnte ja ein Terrorist, Pädophiler, Regierungskritiker etc. dahinter lauern.

Ich möchte nicht wissen, wie viele Behörden personenbezogene Daten in Excel-Tabellen oder IT-sicherheitstechnisch unterirdischen Datenbanken speichern. Bisher hat das nur keinen Hacker interessiert, weil sich zu wenig interessante Daten darin befanden oder Hintertupfing am Hintern der Welt liegt und nie einer davon gehört hat. Aber wenn immer mehr Daten erfasst und ggf. zentral abgelegt werden, wird die Datenbank zum Honig, der lauter durchgedrehte Winnie Puuhs anzieht. Von den Behörden ist dann sicher keine Hilfe zu erwarten – die liegen noch im Fresskoma.

Unter den Blinden ist der Einäugige König

Wenn Sie meine Beiträge kennen, dann wissen Sie, dass ich Politikern in der Regel nicht über den Weg traue. Das hat nichts damit zu tun, dass ich diesen böse Absichten unterstellen würde – ich glaube vielmehr, ein großer Teil davon ist genauso ahnungslos wie die Mehrheit der Bevölkerung. Fehlende Kompetenz ist aber nicht besser als das Schmieden finsterer Pläne: Während dubiose Machenschaften nicht unbedingt offenbart werden (und wenn schon, dann hat das hierzulande kaum bis überhaupt keine Konsequenzen), fällt es in der Masse des abstrusen Gelabers gar nicht mehr auf, wenn jemand keine Ahnung hat.

Nur so ist es zu erklären, dass sich das Zombie-Thema Vorratsdatenspeicherung ständig wieder aus seinem Grab erhebt, zunehmend Freiheit für Sicherheit aufgegeben wird, der Staat nach weiteren Daten giert und viele Bürgerinnen und Bürger das als nicht problematisch empfinden.

Des Rätsels Lösung? Mehr fachliche Kompetenz bei den Entscheidern. Berater, die nicht nur kosten, sondern auch was bringen. Für das Geld, das unsere Mandatsträger verdienen, ist es sicherlich nicht zu viel verlangt, sich in die (Datenschutz-)Sachverhalte einzulesen, über die sie abstimmen, das Für und Wider abzuwägen. Zumindest ein Einäugiger unter den Blinden, das wäre ein Anfang. Es kann nicht sein, dass wir uns darauf verlassen müssen, dass im Bundestags-Hühnerstall auch ein blindes Huhn mal ein Korn findet.

—
Dieser Beitrag ist ein Kommentar und spiegelt daher die persönliche Meinung der Autorin / des Autors wider. Diese muss nicht mit der Meinung des Herausgebers oder seiner Mitarbeitenden übereinstimmen.