Schwedisches Identitätssystem BankID gehackt: Ein Warnschuss für alle digitalen Ausweisprojekte

Was passiert, wenn ein ganzes Land seine Identität in die digitale Wolke verlagert – und Hacker diese Wolke durchlöchern? Schweden liefert gerade die Antwort. Eine Hackergruppe namens ByteToBreach hat nach eigenen Angaben einen massiven Datensatz von der schwedischen Niederlassung des IT-Dienstleisters CGI erbeutet. Darunter befinden sich offenbar Quellcode, Passwörter und Verschlüsselungsschlüssel, die in direktem Zusammenhang mit dem digitalen Identitätssystem BankID stehen – jenem System, das für über 8,6 Millionen Schweden das Tor zu Behördenportalen, Bankkonten und digitalen Signaturen darstellt.

BankID: Das digitale Rückgrat einer ganzen Nation

Man muss sich die Dimension dieses Vorfalls vor Augen führen. Schweden hat etwas mehr als zehn Millionen Einwohner. BankID ist dort kein optionales Gadget für Technikbegeisterte, sondern die zentrale Infrastruktur des täglichen Lebens. Steuererklärung, Bankgeschäfte, Behördengänge – ohne BankID geht in Schweden praktisch nichts mehr. Und genau dieses System wurde nun kompromittiert. Die gestohlenen Daten tauchten im berüchtigten Cybercrime-Forum „Breached" auf, bevor dieses am Wochenende durch eine Cybersicherheitsinitiative vom Netz genommen wurde.

Journalisten der renommierten schwedischen Tageszeitungen Aftonbladet und Dagens Nyheter konnten Teile des Materials sichten und bestätigten, dass es sich um Quellcode, Zugangsdaten und kryptographische Schlüssel handele. CGI selbst räumte den Vorfall schließlich ein, versuchte jedoch, die Tragweite herunterzuspielen: Es seien lediglich eine „begrenzte Anzahl" interner Testserver betroffen gewesen, und die Angreifer hätten nur eine ältere Version des Quellcodes erlangt. Produktionsumgebungen seien nicht kompromittiert worden.

Beschwichtigungen, die niemanden beruhigen

Kennt man diese Rhetorik nicht? „Wir nehmen alle Vorfälle ernst, sehen aber derzeit nichts, was uns betrifft", ließ Peder Sjölander, IT-Direktor der schwedischen Steuerbehörde, verlauten. Ein Satz, der in seiner bürokratischen Gelassenheit fast schon komisch wirkt – wäre die Sache nicht so ernst. Denn selbst wenn die Produktionssysteme tatsächlich nicht direkt betroffen sein sollten: Quellcode und Verschlüsselungsschlüssel in den Händen von Kriminellen sind wie ein Generalschlüssel, der zwar nicht sofort jede Tür öffnet, aber dem Einbrecher eine sehr genaue Vorstellung davon gibt, wo die Schlösser sitzen und wie sie funktionieren.

Es ist auch keineswegs das erste Mal, dass Schwedens digitale Infrastruktur unter Beschuss gerät. Erst im vergangenen Jahr legte ein massiver DDoS-Angriff BankID für Stunden lahm. Millionen Schweden konnten sich nicht bei ihren Banken anmelden, kein Geld senden oder empfangen. Darüber hinaus wurden bei einer separaten Datenpanne über 100 Millionen private Datensätze schwedischer Bürger offengelegt. Der IT-Anbieter Miljödata fiel einem Ransomware-Angriff zum Opfer, der rund 200 Gemeinden betraf und personenbezogene Daten von 1,5 Millionen Menschen preisgab. Und der nationale Stromnetzbetreiber Svenska kraftnät bestätigte einen Datenverstoß, nachdem die mit Russland in Verbindung gebrachte Ransomware-Gruppe „Everest" behauptete, Hunderte Gigabyte an Daten abgezogen zu haben.

Die Blaupause für Europa – und ein Warnsignal für Deutschland

Warum sollte uns das in Deutschland interessieren? Weil Schweden exakt jenen Weg vorgezeichnet hat, den auch die Europäische Union und die Bundesregierung einschlagen wollen. Die europäische digitale Identität (eID), Altersverifikationssysteme im Internet, digitale Impfpässe – all diese Projekte basieren auf derselben Grundannahme: dass zentrale digitale Identitätssysteme sicher, zuverlässig und vertrauenswürdig seien. Schweden beweist gerade das Gegenteil.

Unter dem Vorwand des Kinderschutzes und der Bekämpfung von Online-Kriminalität wird weltweit der Zwang zur digitalen Identifizierung im Internet vorangetrieben. Die EU arbeitet an Rahmenwerken für verpflichtende Alterskontrollen, Großbritannien hat bereits entsprechende Gesetze auf den Weg gebracht. Was dabei geflissentlich verschwiegen wird: Je mehr persönliche Daten in zentralen Systemen gebündelt werden, desto attraktiver werden diese Systeme für Angreifer – und desto verheerender sind die Folgen eines erfolgreichen Hacks.

Wer glaubt, dass ein solcher Vorfall in Deutschland nicht passieren könne, der sei an die chronische Unterfinanzierung der IT-Infrastruktur deutscher Behörden erinnert, an die desaströse Digitalisierung der Verwaltung und an die zahllosen Datenpannen, die bereits jetzt regelmäßig für Schlagzeilen sorgen. Die neue Bundesregierung unter Friedrich Merz plant ein 500 Milliarden Euro schweres Sondervermögen für Infrastruktur – doch wie viel davon tatsächlich in Cybersicherheit fließen wird, steht in den Sternen.

Totale Digitalisierung als Kontrollmechanismus

Man muss kein Verschwörungstheoretiker sein, um die Frage zu stellen: Cui bono? Wem nützt ein System, in dem jeder Bürger für jeden Behördengang, jeden Einkauf, jede Transaktion eine digitale Identität vorweisen muss? Die Antwort liegt auf der Hand. Es sind nicht die Bürger, die davon profitieren – es ist der Staat, der damit eine lückenlose Überwachungsinfrastruktur erhält. Und es sind die großen IT-Konzerne, die an der Implementierung und Wartung dieser Systeme Milliarden verdienen.

Der schwedische Vorfall sollte jeden nachdenklich stimmen, der noch an die Unfehlbarkeit digitaler Systeme glaubt. In einer Welt, in der selbst hochentwickelte Nationen wie Schweden ihre kritische Infrastruktur nicht vor Hackern schützen können, ist die Forderung nach noch mehr Digitalisierung, noch mehr zentralen Datenbanken und noch mehr digitaler Identifikation nicht nur naiv – sie ist gefährlich.

Vielleicht wäre es an der Zeit, sich wieder auf bewährte, analoge Strukturen zu besinnen. Auf Bargeld statt digitale Zahlungssysteme. Auf physische Dokumente statt digitale Ausweise. Auf eine Gesellschaft, in der nicht jeder Schritt eines Bürgers digital erfasst, gespeichert und potenziell von Kriminellen gestohlen werden kann. Doch solche Gedanken gelten in den Berliner Amtsstuben und Brüsseler Hinterzimmern vermutlich als hoffnungslos rückständig. Bis zum nächsten Hack.