Frankreich steht vor einer der schwerwiegendsten staatlichen Datenschutzverletzungen seiner Geschichte. Die Agence nationale des titres sécurisés (ANTS), auch bekannt als France Titres, ist Opfer eines massiven Cyberangriffs geworden, der die persönlichen Daten von bis zu 19 Millionen Bürgern offengelegt haben dürfte. Das französische Innenministerium bestätigte den Vorfall am 20. April und gab bekannt, dass der Angriff bereits am 15. April entdeckt worden war. Die ANTS ist die Behörde, die für die Verwaltung von Personalausweisen, Reisepässen, Führerscheinen und Fahrzeugzulassungen der gesamten französischen Bevölkerung zuständig ist.
Nach offiziellen Angaben des Innenministeriums sind rund 11,7 Millionen Konten nachweislich von der Sicherheitslücke betroffen. Die Hacker hinter dem Angriff behaupten jedoch, zwischen 18 und 19 Millionen Nutzerprofile erbeutet zu haben, eine Zahl, die deutlich über der Schätzung der Regierung liegt. Die gestohlenen Daten sollen bereits auf illegalen Online-Marktplätzen zum Verkauf angeboten werden, was dringende Bedenken hinsichtlich Identitätsdiebstahl und Betrug in großem Ausmaß aufkommen lässt.
Die Art der offengelegten Daten ist äußerst heikel. Zu den kompromittierten Informationen gehören vollständige Namen, Geburtsdaten, E-Mail-Adressen, Anmeldekennungen und eindeutige ANTS-Kontokennungen. In einigen Fällen erlangten die Angreifer zudem Zugang zu Postanschriften, Geburtsorten und Telefonnummern. Diese Zusammenstellung persönlicher Angaben ergibt ein umfassendes Profil, das für Phishing-Kampagnen, Identitätsbetrug und andere kriminelle Aktivitäten missbraucht werden kann.
Besonders alarmierend ist die Art der ausgenutzten Schwachstelle. Die Angreifer verschafften sich Zugang über eine sogenannte IDOR-Lücke (Insecure Direct Object Reference), eine der grundlegendsten und bekanntesten Kategorien von Sicherheitslücken im Internet. Bei dieser Art von Schwachstelle kann ein Angreifer auf die Daten anderer Nutzer zugreifen, indem er lediglich eine Nummer oder Kennung in einer URL oder API-Anfrage abändert. Die ANTS-Server führten keinerlei angemessene Autorisierungsprüfungen durch, sodass jeder authentifizierte Nutzer ungehindert auf die privaten Daten von Millionen anderer Personen zugreifen vermochte. Für eine Regierungsbehörde, die derart kritische Identitätsdokumente verwaltet, stellt dies ein beschämendes und unverzeihliches Versagen der Sicherheitsmaßnahmen dar.
Die französische Datenschutzbehörde CNIL ist gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO) offiziell über den Vorfall informiert worden. Die Pariser Staatsanwaltschaft hat ebenfalls Ermittlungen eingeleitet. Nach den Bestimmungen der DSGVO drohen Organisationen, die personenbezogene Daten nicht angemessen schützen, erhebliche Geldstrafen. Die französische Regierung steht nun vor ernsthaften Fragen zu den Sicherheitsstandards ihrer sensibelsten digitalen Infrastruktur.
Sicherheitsexperten weisen darauf hin, dass IDOR-Schwachstellen regelmäßig in grundlegenden Schulungen zur Webentwicklung behandelt werden und zu den ersten Bedrohungen in den OWASP Top 10 zählen. Die Tatsache, dass ein derart elementarer Fehler in einem System existierte, das die Identitätsdokumente von Dutzenden Millionen französischer Bürger verwaltet, hat Forderungen nach einer umfassenden Überprüfung aller staatlichen IT-Systeme laut werden lassen. Kritiker argumentieren, dass dieser Vorfall eine systematische Unterfinanzierung der Cybersicherheit im französischen öffentlichen Dienst offenlegt.
Während die Ermittlungen andauern, werden betroffene Bürger aufgefordert, gegenüber Phishing-Versuchen und verdächtigen Mitteilungen wachsam zu bleiben. Das volle Ausmaß des Schadens ist noch unklar, und es dürften Wochen oder Monate vergehen, bevor die Behörden die Auswirkungen vollständig bewerten können. Dieser Vorfall ist eine eindringliche Mahnung, dass selbst Regierungsbehörden, denen die sensibelsten persönlichen Daten anvertraut sind, nicht vor Cyberangriffen gefeit sind, insbesondere wenn grundlegende Sicherheitsprinzipien vernachlässigt werden.
Kommentare