Dass die Digitalisierung auch ihre Schattenseiten mit sich bringt, zeigt ein aktueller Vorfall aus Argentinien, bei dem die dortige Regierung von einem Hacker erpresst wird, der damit droht die Ausweisdaten von rund 45 Millionen argentinischen Bürgern im Darknet zu veröffentlichen. Laut Angaben des Hackers, sei er über unvorsichtige Behördenmitglieder an die Daten gelangt. Die Annahme eines gehackten Passworts liegt nahe.
Der Hintergrund ist der folgende: In Argentinien werden sämtliche Ausweisdaten in einem System mit dem Namen RENAPER (Registro Nacional de las Personas) gespeichert. Das argentinische Innenministerium hat bereits zugegeben, dass es einen unbefugten Zugriff über VPN auf diese Datenbank gegeben hat, bestreitet allerdings aktuell noch die Ausmaße des Vorfalls. Laut einer Pressemitteilung des argentinischen Innenministeriums seien lediglich Datensätze von ca. 44 Personen betroffen gewesen. Zu den entwendeten Informationen gehörten u.a. Vor- und Nachname, Anschrift, Geburtstag, Geschlecht, Ausstellungs- und Ablaufdatum des Ausweises, Lichtbild sowie weitere Ausweisdaten. Zusätzlich sind weitere Daten wie z.B. die Arbeitsidentifikationsnummer oder die Bürgernummer betroffen.
Bereits am 09. Oktober 2021 wurden über einen Twitter-Account sensible Daten veröffentlicht. Betroffen waren u.a. auch der Präsident Alberto Fernández und der Fußballer Lionel Messi. Das Gesundheitsministerium hat einen Zugriff innerhalb dieses Zeitraums zugegeben, versichert aber, dass die Systeme weiterhin sicher sind und keine weiteren unbefugten Aktivitäten stattgefunden haben. Der Hacker widerspricht dieser Aussage wiederum und droht aktuell damit die Daten von 12 Millionen Menschen zu veröffentlichen. Eine Beispielanfrage eines Tech-Magazins zur Validierung der Daten hatte der Hacker bereits mit einem Datensatz beantwortet, der im Nachhinein als zu einer realen Person zugehörig verifiziert werden konnte. Die Daten scheinen nach aktuellem Kenntnisstand folglich echt zu sein, was die argentinischen Behörden in eine brenzlige Lage bringt. Die aktuelle Situation dürfte den Behörden bekannt vorkommen, da diese bereits im Jahr 2020 mit einem ähnlichen Fall zu kämpfen hatten. Damals verschlüsselten Ransomware-Hacker die Datenbestände der Einwanderungsbehörden und forderten ein Lösegeld in Höhe von vier Millionen Euro. Da die Behörden sich entschieden, nicht zu zahlen, wurden damals die Daten von hunderttausenden Menschen preisgegeben.
Da es sich bei den abgegriffenen Informationen um sehr detaillierte Angaben handelt, wäre es damit natürlich ein leichtes, Identitätsdiebstahl zu betreiben und Ausweise zu fälschen, mit denen dann z.B. Bankkonten eröffnet, Wohnungen angemietet oder Reisen angetreten werden könnten. Das Missbrauchspotenzial von gefälschten Ausweisen und Pässen ist hoch und birgt insbesondere für die betroffene Person ein erhebliches Risiko, da sämtliche Straftaten natürlich erst einmal auf sie zurückverfolgt werden. Bleibt nur zu hoffen, dass eine nicht begangene Straftat letztendlich auch auf den Missbrauch von Daten im Darknet zurückgeführt werden kann. Wenn man sich ein solches Szenario vor Augen führt, steht die Frage danach, warum eine solche Datenbank nicht ausreichend gegen Angriffe von Unbefugten geschützt ist noch größer im Raum. Doch Argentinien steht mit diesem strukturellen Problem nicht allein da. Vielmehr hatte die Nation einfach das Pech, Ziel eines Hackerangriffs geworden zu sein. Ob das einem anderen Land auch hätte passieren können? Sicherlich. Viele Datenschützer kritisieren, dass im Wahn der heutigen Zentralisierung und Digitalisierung Behörden dazu neigen, Daten erst einmal willkürlich zu sammeln und zu hamstern – und die Frage nach der Sicherheit erst danach zu stellen. Insbesondere unsere Gesundheitsbranche erlebt seit den letzten zwei Jahren eine fortschreitende Digitalisierung. Es bleibt daher aus Datenschutzsicht zu hoffen, dass in diesem Bereich ausreichend IT-Spezialisten und Berater zu Rate gezogen wurden.