Der französische Staat hat ein Problem. Ein ziemlich großes. Aus France Titres – dem zentralen Online-Portal, über das Bürger Personalausweise, Reisepässe, Führerscheine, Aufenthaltsgenehmigungen und Fahrzeugzulassungen beantragen – wurden zwischen 18 und 19 Millionen Datensätze gestohlen. Das ist rund ein Drittel der gesamten französischen Bevölkerung, zum Kauf angeboten auf einem Kriminellenforum, wie Reclaim The Net berichtet.
Der Angriff ereignete sich am 15. April. Einen Tag später tauchten die Täter – sie nennen sich „breach3d“ und „ExtaseHunters“ – in einschlägigen Foren auf und boten das Diebesgut feil. Das Innenministerium bestätigte den Vorfall erst eine Woche später und sprach vorsichtig von einem „Sicherheitsvorfall, der zur Offenlegung von Daten aus persönlichen und gewerblichen Konten geführt haben könnte“. Zahlen nannte Paris nicht. Namen der Täter auch nicht. Und wie die Angreifer überhaupt hereinkamen, ist offiziell ebenfalls unbekannt.
Was gestohlen wurde, liest sich wie ein Starter-Kit für Identitätsbetrug: Zugangsdaten, vollständige Namen, E-Mail-Adressen, Geburtsdaten, Kontonummern, Postadressen, Geburtsorte und Telefonnummern. Die beruhigende Pressemitteilung folgte prompt: Die abgegriffenen Daten enthielten keine Anhänge aus Antragsverfahren und ermöglichten keinen direkten Zugriff auf Portalkonten. Das stimmt vielleicht sogar – ändert aber nichts daran, dass die sensibelsten Identifikationsdaten von Millionen Menschen nun irgendwo im Darknet kursieren.
Das Pikante an der Sache: Frankreich ist gleichzeitig eines der europäischen Länder, das besonders aggressiv für digitale Pflichtausweise und Backdoor-Zugänge zu verschlüsselter Kommunikation lobbyiert. Ein Staat, der seine eigene Bürger-Datenbank nicht schützen kann, fordert also gleichzeitig Zugang zu noch mehr privaten Daten.
Und France Titres steht nicht allein. Der Angriff reiht sich in eine Serie staatlicher Datenpannen ein: Im vergangenen Jahr wurden Schülerdaten der Bildungsplattform ÉduConnect abgegriffen, nachdem ein Mitarbeiterkonto kompromittiert wurde. Im Februar traf es die nationale Kontenbank – 1,2 Millionen Bankverbindungen betroffen. Anfang des Jahres erbeuteten Cyberkriminelle 15,8 Millionen Patientendatensätze aus einem Gesundheitsministeriumsdienst. Vier staatliche Datenbanken, vier Versagen, Millionen Bürger ohne jede Handhabe.
Die Architektur ist das Problem. Was früher in Papierakten regionaler Behörden ruhte, hinter Schlössern und ohne Internetanschluss, liegt heute in zentralisierten Datenbanken – erreichbar von überall, attraktiv für jeden mit ausreichend krimineller Energie. Zentralisierung ist Effizienz. Zentralisierung ist auch ein einziges lohnendes Angriffsziel. Der Breach von France Titres ist kein Hack eines Onlineshops. Es ist ein Einbruch in die Grundinfrastruktur der französischen Rechtsidentität.
Die Antwort des Ministeriums? Man habe „zusätzliche Sicherheitsmaßnahmen“ ergriffen. Die Schlösser werden ausgetauscht, nachdem die Daten längst das Gebäude verlassen haben.
Quellen: Reclaim The Net
Schreibe einen Kommentar