Warum es Leaks von Kreditkartendaten und Ausweisscans eigentlich nicht mehr geben sollte

Jeden Tag stehlen Hacker Kreditkartendaten, Ausweisscans und andere private Daten von Webseiten, um sie im Darknet zu verkaufen. Die schlimmsten Folgen könnten längst verhindert werden. Denn mit Kryptowährungen und Identitäts-Token sind die Werkzeuge bereits da. Aber es fehlt der Wille von Verbraucherschützern und Regierungen.

Manche Dinge sind eine dämliche Idee, und dennoch machen die meisten Leute es. Beispielsweise im Internet mit Kreditkarte zu bezahlen, obwohl auch virtuelle Währungen möglich wären.

Wie gefährlich es ist, einer Internetseite seine Kreditkarteninformation zu geben, zeigt ein Post der Sicherheitsanalysten von Cyble. Das Team hat in den Märkten des Darknets gestöbert und ist darauf gestoßen, dass ein Hacker die Kreditkartendaten von 80.000 Personen zum Verkauf anbietet. Die Karten sind aus Frankreich, den USA, Australien, Großbritannien, Kanada, Singapur und Indien. Laut Ciscomag werden die Kartendaten für 5 Dollar je Karte verkauft, zu bezahlen sind sie in Kryptowährungen.

Es ist an der Tagesordnung, dass Webseiten gehackt und Daten entwendet werden. Mal liegt es daran, dass es einen Zero-Day-Exploit gibt, für WordPress, Shopify oder irgendein anderes Content-Management-System; mal haben die Webseitenbetreiber vergessen, ein notwendiges Update einzuspielen. Daten im Internet sind nur selten wirklich sicher, vor allem nicht bei kleinen Online-Shops. Nicht jeder ist Amazon oder Ebay.

Kreditkartendaten sind mehr oder weniger das Worst-Case-Szenario eines Datenleaks. Unter Umständen kann jemand mit ihnen Online oder vor Ort einkaufen gehen, während die Betroffenen erst in der Kreditkartenabrechnung davon erfahren. Zwar buchen die meisten Kreditkartenanbieter die Zahlungen wieder zurück, doch als Kunde hat man den Aufwand, und die Kosten werden im Endeffekt über Bargeldabhebungen, unbezahlte Rechnungen eines Ladens oder die Gebühren für Kreditkartenzahlungen so sozialisiert, dass der Kunde am indirekten Ende ebenfalls leidet.

Einen Diebstahl von Kreditkartendaten kann man ganz einfach verhindern: Man sollte im Internet nicht mit Kreditkarte bezahlen. Dasselbe gilt vermutlich auch für seine Kontonummer, die man etwa mit einer Lastschrift und vermutlich auch einer Sofortüberweisung an eine Webseite einreicht. PayPal dürfte hier relativ ungefährlich sein, geht aber damit einher, dass ein US-Konzern eure privaten Daten an Zig Drittanbieter verkauft.

Wenn es Verbraucherschützer und Regierung ernst mit dem Datenschutz nehmen würden, sollte es zum Standard werden, dass JEDER Onlineshop auch Kryptowährungen akzeptiert. Denn Kryptowährungen sind eine von sehr wenigen Zahlungsmitteln, bei denen weder gefährliche Daten wie Kreditkarten- oder IBAN-Nummern entstehen noch private Daten im Spiel sind, die gespeichert und verkauft werden. Der Verbraucherschutz sollte aktiv vor Online-Shops warnen, bei denen man nicht mit Krypto bezahlen kann.

Postanschriften und Ausweiskopien

Aber es sind nicht nur Kreditkartendaten, die regelmäßig geleakt werden. Das Blog von Cyble ist eine Kammer des Schreckens, nach deren Besuch man am liebsten den Internetstecker rausziehen möchte.

So haben die Vertreiber der REvil Ransomware vor kurzem begonnen, immer öfter mit dem Leak von erbeuteten Daten zu drohen. So haben sie beim Online-Modehaus Plaza Collection zahlreiche Daten über Mitarbeiter, Kunden und Zulieferer erhalten, darunter auch Ausweise. Ferner hat Cyble in einem Darkentmarket 100.000 Ausweise von Indern vorgefunden, die dort zum Verkauf stehen, und konnte deren Echtheit durch Stichproben von geleakten Beispielen bestätigen. Und erst wenige Tage zuvor kam es zu einem Leak bei einer Regierungsseite von Taiwan, bei der die Daten von 20 Millionen Bürgern entwendet wurden. Und all das sind lediglich Fälle aus wenigen Wochen.

Wenn ihr eurem Online-Shop eure Adressdaten gebt, werden sie über kurz oder lang geleakt werden. Das ist mehr oder weniger unvermeidbar. Dass viele Leute deswegen Packstationen nutzen, ist so verständlich wie sinnvoll.

Übel wird es allerdings, wenn ihr einer Webseite euren Ausweis anvertrauen müsst. Wer regelmäßig auf Kryptoseiten unterwegs ist, kennt das Prozedere. Es ist jedesmal aufs neue unangenehm und beunruhigend, aber eben auch unvermeidbar, wenn man eine Seite benutzen möchte. Aber immerhin weiß man von Krypto-Plattformen, dass sie digitale Festungen sein müssen. Bei einem Hack sind Ausweise zunächst das kleinste Problem, weil auf den Servern meist Schlüssel für Kryptowährungen im Wert vieler Millionen Dollar herumliegen. Es gibt keine Branche, in der die Sicherung des eigenen Servers so wichtig ist wie hier. Daher würde ich mir beinah mehr Sorgen darüber machen, wenn etablierte Finanzdienstleister, Verkaufsplattformen oder andere Seiten – etwa Glücksspiel oder Domains – ein Ausweisdokument von mir haben.

Dass man überhaupt einen Ausweis einscannen muss, um sich zu verifizieren, ist eine unendlich veraltete Technologie. Viele Börsen versuchen sich damit zu helfen, dass man einen Zettel mit einem Datum und einem Code in die Kamera halten muss, wenn man ein Selfie von sich und seinem Ausweis macht. Aber auch das ist eher Stückwerk, so, als würde man versuchen, ein Fax zu verbessern, anstatt eine E-Mail zu schreiben. Die einzige echte Lösung wäre es, auf die Scans von Ausweisen zu verzichten.

Token statt Ausweise

Man könnte anstelle von Ausweisscans Blockchains und Token benutzen. Es gibt viele Ideen für eine digitale, blockchainbasierte Identität, die oft auf einem Token beruht. Consensys gibt einen Überblick über Systeme rund um Ethereum auf dem Firmenblog, die Stadtverwaltung des Schweizer Ortes Zug experimentiert bereits mit der Lösung von uPort. Dabei wird eine Adresse auf Ethereum mit einer Identität verbunden, die auch verifiziert sein kann. So kann man sich ausweisen, ohne den Ausweis vorzuweisen. Etwas ähnliches versuchen Civic und viele andere Startups.

Das Modell ist an sich nicht weiter schwierig: Man hat ein Token – oder eine Adresse – für die man exklusiv den privaten Schlüssel hat. Eine dritte Partei, der man selbst sowie die Geschäftspartner vertrauen – das kann auch gerne eine Regierung sein – bestätigt, dass man Besitzer dieses Tokens ist. Man könnte es auch bei der Vergabe eines Ausweises verteilen. Anschließend kann man sich mit dem Token einloggen. Unter Umständen könnte die dritte Partei in den Prozess involviert sein, um etwa zu verifizieren, ob das Token tatsächlich an die entsprechende Person gebunden ist, sei es durch einen kurzen Videochat, sei es durch eine SMS. Damit wäre es unnötig, dass andere Unternehmen unsere Ausweiskopien speichern.

Unter Umständen könnte man das Verfahren auch auf Postadressen ausdehnen: Man entwickelt ein Adresstoken, und wenn man es dem Händler überweist, kann er sich einmalig bei einem Partner die Adresse abholen. So wäre es nicht notwendig, dass er sie auf seinem eigenen Server speichert.

Während das Adresstoken noch Zukunftsmusik ist – und als Problem vielleicht am wenigsten brennt – sind Lösungen zur Tokenisierung von Identitätsdokumenten bereits weit gediehen und angesichts der immer wiederkehrenden Datenleaks ein drängendes Problem. Dass Regierungen und die Interessensverbände der Finanzindustrie hier nicht energischer auf verbindliche Lösungen und Standards pochen, ist ein enormes Versäumnis, wegen dem jeder leiden muss, dessen Ausweis irgendwann im Darknet verkauft wird.

Noch armseliger ist die Lage beim Bezahlen. So gut wie überall werden Kreditkarten und Lastschriften angeboten, obwohl die Gefährlichkeit dieser Verfahren wieder und wieder bewiesen wurde. Kaum wo wird dagegen die sicherste und privateste Zahlungsform – nämlich Kryptowährungen – angenommen. Dass dem so ist kann man nur als Versagen von Verbraucherschutz und Datenschutz ansehen. Die Lösung ist schon lange da. Man sollte dafür sorgen, dass sie endlich auch genutzt wird.