Schwedens BankID gehackt – zeigt Sicherheitsrisiken nationaler digitaler Ausweissysteme
Hacker haben behauptet, hinter einem Angriff auf das schwedische digitale Identitätssystem zu stehen, bei dem Code und Zugangsdaten offengelegt wurden, die Aufschluss darüber geben könnten, wie sich Bürger bei Behördendiensten authentifizieren. Weltweit wird unter dem Vorwand des Schutzes von Kindern der Zwang zur Identifizierung im Internet vorbereitet.
Die Hackergruppe nennt sich ByteToBreach und behauptet, einen großen Datensatz von der schwedischen Niederlassung von CGI gestohlen zu haben, darunter Quellcode, der Berichten zufolge von Behörden genutzt wird. Andere Datenbanken mit personenbezogenen Daten und Dokumenten für elektronische Signaturen werden angeblich separat verkauft. Ein betroffenes System soll BankID-Anmeldungen für die schwedische Steuerbehörde unterstützen.
Als Beispiel für die Bedrohungen, denen die nationale digitale öffentliche Infrastruktur ausgesetzt ist, wirft der Vorfall ein Schlaglicht auf das digitale Identitätssystem Schwedens. BankID ist Schwedens wichtigste elektronische ID, die täglich von Millionen Menschen genutzt wird, um auf Behördenportale, Banken, Zahlungsdienste und digitale Signaturen zuzugreifen.
Berichten zufolge umfasst das durchgesickerte Material Quellcode, Passwörter und Verschlüsselungsschlüssel, die mit Systemen in Verbindung stehen, welche die BankID-Anmeldung für die schwedische Steuerbehörde unterstützen.
BankID ist kein Nischenprodukt, da es das Rückgrat der digitalen Infrastruktur Schwedens bildet.
Der Daten-Dump der Hacker tauchte im Cybercrime-Forum „Breached“ auf und wurde zuerst von den großen schwedischen Zeitungen Aftonbladet und Dagens Nyheter gemeldet, berichtet Cybernews. Journalisten von Dagens Nyheter prüften Teile des durchgesickerten Materials, das ihrer Aussage nach Quellcode, Passwörter und Verschlüsselungsschlüssel enthält. Cybernews konnte die Dateien nicht unabhängig überprüfen, da das „Breached“-Forum am Wochenende durch eine Cybersicherheitsinitiative offline genommen wurde.
Die schwedische Steuerbehörde versuchte, Befürchtungen zu zerstreuen, und erklärte, es gebe keine Anzeichen für direkte Auswirkungen. „Wir nehmen alle Vorfälle ernst, sehen aber derzeit nichts, was uns betrifft“, sagte Peder Sjölander, IT-Direktor der Behörde.
CGI bestätigte den Vorfall später. Das Unternehmen erklärte, Angreifer hätten auf eine „begrenzte Anzahl“ interner Testserver in Schweden zugegriffen. Diese Server seien mit einem Dienst verbunden gewesen, der von einer „begrenzten Anzahl“ von Kunden genutzt wurde. CGI fügte hinzu, dass die Eindringlinge eine ältere Version des Quellcodes der Anwendung erlangt hätten, und behauptet, dass Produktionsumgebungen oder Betriebsdaten nicht betroffen seien.
Der Vorfall unterstreicht dennoch den wachsenden Druck auf digitale Identitätssysteme. BankID selbst war bereits zuvor Ziel von Angriffen. Im vergangenen Jahr legte ein massiver DDoS-Angriff den Dienst für Stunden lahm, sodass mehr als 8,6 Millionen Nutzer sich nicht bei ihren Banken anmelden oder Geld senden oder empfangen konnten. Schweden hat etwas mehr als 10 Millionen Einwohner.
Das Land war zudem mit einer Reihe von hochkarätigen Cybervorfällen konfrontiert. Eine Untersuchung von Cybernews deckte eine massive Datenpanne auf, bei der über 100 Millionen private Datensätze schwedischer Bürger offengelegt wurden. Der IT-Anbieter Miljödata wurde Opfer eines Ransomware-Angriffs, von dem rund 200 Gemeinden und Regionen betroffen waren; dabei wurden Berichten zufolge personenbezogene Daten von 1,5 Millionen Menschen gestohlen. Und Svenska kraftnät, der nationale Stromnetzbetreiber, bestätigte einen Datenverstoß, nachdem die mit Russland in Verbindung stehende Ransomware-Bande „Everest“ behauptete, Hunderte von Gigabyte an Daten abgezogen zu haben.
Unsere Arbeit ist spendenfinanziert – wir bitten um Unterstützung.
Folge TKP auf Telegram oder GETTR und abonniere unseren Newsletter.
UK enthüllt eigentlichen Grund hinter der Internet-Alterskontrolle
EU-Rahmen für Alterskontrollen: Bald Pflicht-App für Nutzer?
Sie werden erst aufgeben, wenn niemand mehr etwas besitzt, und alles in ihren Händen ist.