Digitale Irritation: 750.000 Ausweise in Estland hackbar
»Digitale Nation« im Nordosten Europas mit Problemen beim E-Government / EU und Weltbank Musterschüler denkt über eine digitale Währung nach
»Uns wurde immer gesagt, das System sei nicht hackbar«, erzählt Liisa*. So beschreibt die Politik-Studentin, die in einem Hostel in Tallin arbeitet, ihre Verunsicherung über die Probleme mit dem elektronischen Personalausweis im Land. In dem kleinen 1,3 Millionen-Einwohner-Staat, das sich rühmt, das weltweit fortschrittlichste System für die elektronische Identifizierung zu haben, sind 750.000 Personalausweise von einer möglicherweise schweren Sicherheitslücke betroffen.
Ende August hatte ein internationales Team von Sicherheitsforschern die estländische Regierung auf das Problem aufmerksam gemacht. Die Forscher konnten offenbar mit einfachen Mitteln, also ohne den Einsatz von Supercomputern oder größere Rechenkapazitäten die Verschlüsselung der Personalausweise knacken. Damit könnte ein Angreifer in diesem Fall Identitätsdiebstahl in großem Umfang betreiben, zumindest potenziell. Anfällig sind Chips aller Ausweise, die nach dem Oktober 2014 hergestellt wurden, ältere Ausweise
weisen die Sicherheitslücke offenbar nicht auf.
Man habe keine Hinweise, dass das System tatsächlich bereits gehackt wurde, erklärt die Regierung in Tallinn, nehme die Hinweise aber ernst und prüfe diese nun. Man demonstriert Gelassenheit: »Das Problem ist schwerwiegend und man sollte es ernst nehmen, aber es ist nicht schwerwiegend genug um deswegen die Karten einzuziehen«, erklärte der zuständige Minister für Wirtschaft und Informationstechnologie Urve Palo von der sozialdemokratischen SDE. Obwohl es laut Regierungsangaben Monate dauern wird, um das Problem zu beheben, sollen die Karten weiter benutzt werden. Mitte letzter Woche brach der estländische Premier Jüri Ratas seine Polenreise ab, um sich dem Problem höchstpersönlich zu widmen.
Mit dem E-Government System, das mit dem Personalausweis verbunden ist, können die Esten online die Hausaufgaben und Noten ihrer Kinder überprüfen, die Karte ist Führerschein und Gesundheitskarte zugleich. Nach Angaben der niederländischen Betreiberfirma Gemalto nutzen mittlerweile 30 Prozent der Esten das e-School System, 95 Prozent aller Rezepte im Land werden online ausgestellt. Außerdem kann die ID-Karte zum Sammeln von Treuepunkten im Supermarkt und zur Identifizierung beim Online-Banking genutzt werden. Seit 2010 benutzt Estland das Java-basierte System des weltweit größten Herstellers für Chipkarten in Sim- und Kreditkarten.
Auch die Wahlen hat Estland digitalisiert. Seit 2007 wird per Internetabstimmung votiert. Im Oktober sind Lokalwahlen, sie werden trotz der Schwachstellen im Personalausweis stattfinden. Das teilte die Wahlkommission des Landes Ende vergangener Woche mit. »Estland als digitale Gesellschaft nutze cutting-edge Technologie, die für die Öffentlichkeit von großem Nutzen seien, aber auch Risiken mit sich bringe«, sagt Taimar Peterkop Chef der Estonian Information Security Agency.
Auch die Betreiberfirma Gemalto hatte in der Geschichte bereits mit »Risiken« zu kämpfen. 2010 funktionierten nach dem Jahreswechsel die Gemalto-Chips von rund 30 Millionen deutschen EC- und Kreditkarten zeitweise nicht mehr. 2015 wurde durch eine von US-Whistleblower Edward Snowden veröffentlichte NSA-Präsentation bekannt, das der amerikanische Geheimdienst zusammen mit den Kollegen des britischen GCHQ die Verschlüsselung von Gemalto gehackt habe, um die Kommunikation von Millionen Nutzern weltweit überwachen zu können: »Wir denken, wir haben ihr gesamtes Netzwerk übernommen«, prahlten die Geheimdienstanalysten. Das Unternehmen – das wie andere Chiphersteller auch in den letzten Jahren die Verschlüsselung von Sim-Karten verbessert hat – erklärte, der Angriff der NSA habe nur das Office-Netzwerk des Unternehmens betroffen.
Im Hostel vor den Mauern der historischen Altstadt in Tallinn ist Liisa* ein wenig ratlos, wie man mit der Sicherheitslücke umgehen soll. »Alles ist hackbar, ich denke, die junge Generation weiß das«, sagt die Studentin. Trotz Problembewusstsein: Wie viele andere zieht es sie in die Digitalwirtschaft des Landes. Im Oktober wird Liisa* ihren ersten Job bei einem Startup beginnen, zunächst im Verkauf. Sie will sich hocharbeiten, so wie Estland. Für Liisa und Estland sind die Probleme mit den Personalausweisen nur eine Irritation auf dem Weg in die digitale Zukunft. Premierminister Ratas hat bereits klargemacht, dass die Sicherheitslücke nicht den Digitalisierungskurs des Landes stoppen werde.
Dieser ist auch Flucht vor der Vergangenheit. Immer präsent im kollektiven Gewissen der Nation ist die jahrzehntealte Angst vor einem Einmarsch des mächtigen östlichen Nachbarn, die Bedrohung durch Russland. Die holte das kleine Land 2007 wieder ein. Damals wurde in Tallinn eine sowjetische Statue entfernt, in den Tagen darauf gab es massive Hackerangriffe auf das Land, die das Onlinebanking und Dutzende Webseiten lahmlegten, auch die der Regierung.
In der Folge wurde die Estonian Information Security Agency gegründet, um alle Informationen über Angriffe auf IT-Systeme des Landes zu bündeln, auch die Landesverteidigung wurde digitalisiert. Die Armee Estlands bekam ein »Cyberkommando«, auch die zusätzlichen Freiwilligenverbände zur Landesverteidigung bekamen eine Cybereinheit. In der Folge setzte sich Estland in der NATO für ein aggressiveres Vorgehen von NATO und EU gegen Hackerangriffe ein, zuletzt im Rahmen der Übung CYBRID 2017. Bis Ende des Jahres will das Land eine »Datenbotschaft« in Luxemburg eröffnen, wo die »wichtigsten« Daten des Landes gespeichert werden sollen, um im Falle eines Cyberangriffs oder einer »realen militärische Attacke« eine »digitale Kontinuität« des Landes zu gewährleisten.
Und die Flucht vor der Vergangenheit bedeutete auch eine Flucht in den Westen. Das Land gilt als Musterschüler von EU und der Welthandelsorganisation WTO. Seit der Unabhängigkeit 1991 haben die mehrheitlich jungen Premierminister, der amtierende Premier Ratas ist 39 Jahre alt, auf eine liberalisierte Marktwirtschaft gesetzt. Neben politischen Strukturreformen und der EU-Mitgliedschaft ab 2004 bedeutete das wirtschaftlich einerseits die Privatisierung von ehemaligen Staatsunternehmen, bei der auch die Treuhand beratend zur Seite stand, und andererseits einen starken Einfluss von ausländischen Direktinvestitionen, vor allem aus Finnland und Schweden.
Und Estland setzt auch stark auf Digitalisierung und Digitalwirtschaft: Nach dem Zusammenbruch der Sowjetunion mussten sich arbeitslose Wissenschaftler des Instituts für Kybernetik in Tallinn neu orientieren, seit Beginn der 2000er Jahre wurde das Schulsystem konsequent digitalisiert, in der Hauptstadt Tallinn sind die Ticketautomaten an Haltestellen und in Straßenbahnen verschwunden, bezahlt wird per Handy. Im Juli wurde ein Pilotversuch mit autonom fahrenden Bussen gestartet. Das Vorzeigeunternehmen der IT-Industrie des Landes der mittlerweile von Microsoft aufgekaufte Messengerdienst Skype, der 2003 mit schwedischem Kapital in Estland programmiert wurde.
Diesen Sommer kürte das World Economic Forum (WEF) Estland zur unternehmerischsten Nation Europas. In einem Showroom in Tallinn vermarktet sich die digitale Nation als »e-Estonia«, um Unternehmer und Kapital anzuziehen. 20.000 Ausländer sind mittlerweile virtuell als »e-Residents« in Estland registriert, sie können so im Land Unternehmen gründen. Der Leiter des Projekts hat schon eine neue Idee: Angesichts der Popularität von Cryptowährungen, die bisher nur von privaten Firmen angeboten werden, überlegt Kaspar Korjus eine staatliche Kryptowährung einzuführen, den »estcoin«. Das lehnte Mario Draghi, Chef der Europäischen Zentralbank, am vergangenen Freitag ab: In der EU sei nur der Euro als Währung erlaubt. Korjus dagegen will trotzdem schon einmal die Meinung der Bürger Estlands dazu einholen: Online natürlich.
*Name von der Redaktion geändert.
Das »nd« bleibt. Dank Ihnen.
Die nd.Genossenschaft gehört unseren Leser*innen und Autor*innen. Mit der Genossenschaft garantieren wir die Unabhängigkeit unserer Redaktion und versuchen, allen unsere Texte zugänglich zu machen – auch wenn sie kein Geld haben, unsere Arbeit mitzufinanzieren.
Wir haben aus Überzeugung keine harte Paywall auf der Website. Das heißt aber auch, dass wir alle, die einen Beitrag leisten können, immer wieder darum bitten müssen, unseren Journalismus von links mitzufinanzieren. Das kostet Nerven, und zwar nicht nur unseren Leser*innen, auch unseren Autor*innen wird das ab und zu zu viel.
Dennoch: Nur zusammen können wir linke Standpunkte verteidigen!
Mit Ihrer Unterstützung können wir weiterhin:
→ Unabhängige und kritische Berichterstattung bieten.
→ Themen abdecken, die anderswo übersehen werden.
→ Eine Plattform für vielfältige und marginalisierte Stimmen schaffen.
→ Gegen Falschinformationen und Hassrede anschreiben.
→ Gesellschaftliche Debatten von links begleiten und vertiefen.
Seien Sie ein Teil der solidarischen Finanzierung und unterstützen Sie das »nd« mit einem Beitrag Ihrer Wahl. Gemeinsam können wir eine Medienlandschaft schaffen, die unabhängig, kritisch und zugänglich für alle ist.