IT-Sicherheit:EU-Datenbank für gefälschte Ausweispapiere offenbar gehackt

IT-Sicherheit: Echt oder falsch? Ein Schleierfahnder der Bundespolizei überprüft verdächtige Ausweispapiere.

Echt oder falsch? Ein Schleierfahnder der Bundespolizei überprüft verdächtige Ausweispapiere.

(Foto: Claus Schunk)

Im Darknet sind Nutzernamen und Passwörter eines Datenarchivs für europäische Sicherheitsbehörden aufgetaucht. Sollten Hacker sich Zugang verschafft haben, könnte das Kriminellen die Arbeit erleichtern.

Von Max Muth

Unbekannte Hacker haben sich offenbar Zugang zu der europäischen Datenbank iFado (Intranet False and Authentic Documents Online) verschafft, auf die sich die Sicherheitsbehörden aller EU-Mitgliedsstaaten, Norwegens, Islands und der Schweiz bei der Bekämpfung von irregulärer Migration und organisierter Kriminalität stützen. Das geht aus einem Dokument des Generalsekretariats des Europäischen Rates an die Mitgliedstaaten hervor, das am 4. Juli verschickt wurde. Das als vertraulich eingestufte Dokument, das der Süddeutschen Zeitung vorliegt, ist ein Nachtrag zu einer am 29. Juni verschickten früheren Warnung. Eine ursprünglich bis August laufende Frist zum Zurücksetzen aller Passwörter der Nutzer wird in dem Dokument drastisch verkürzt. Bis 15. Juli sollten nun alle Benutzer ihre Passwörter zurücksetzen, ansonsten würden sie automatisch ausgesperrt.

Die Datenbank Fado nutzen Sicherheitsbehörden der beteiligten Staaten, um Informationen über aktuelle Sicherheitsmerkmale, aber auch Fälschungstechniken für Reisepapiere, also etwa Ausweise und Reisepässe, aber auch Führerscheine und Aufenthaltstitel zu teilen. iFado enthält die wichtigsten Informationen aus dem Fado-Datenarchiv, die bei der Kontrolle von Papieren etwa durch Polizei oder Zoll hilfreich sind.

Besonders praktisch ist das etwa für die europäische Grenzschutzagentur Frontex. "Es sind Tausende von Dokumententypen im Umlauf", schreibt ein Frontex-Sprecher. "Diese alle zu kennen ist unmöglich." Wenn ein Mitarbeiter Zweifel an der Gültigkeit eines Dokuments habe, könne er diese mit iFado erhärten. Die Datensammlung erleichtere insbesondere die Arbeit an EU-Grenzposten deutlich. In Deutschland haben neben den Polizeibehörden etwa auch der Zoll und Einwohnermeldeämter Zugriff auf das System, insgesamt sind es dem Bundesinnenministerium zufolge hierzulande rund 1200 Nutzer.

Der Hack könnte besonders hochwertige Fälschungen möglich machen

Personenbezogene Daten sind in der Datenbank laut der vom EU-Parlament beschlossenen Verordnung zufolge nur in Ausnahmefällen zu finden. Dennoch handelt es sich um höchst sensible Informationen. Sollten Unbefugte Zugriff auf das System gehabt haben, seien sie möglicherweise in der Lage, besonders hochwertige Fälschungen zu erstellen, so ein Sprecher des Bundesinnenministeriums. Umso mehr verwundert, dass es bislang offenbar keine Möglichkeit für teilnehmende Behörden gab, Nutzerkonten mit Multi-Faktor-Authentifizierung abzusichern. Ein solches Verfahren verlangt von den Nutzern zusätzlich zum Passwort beispielsweise einen mit einer App generierten Einmalschlüssel.

In seiner Warnung verweist das zuständige Generalsekretariat des Rates auf eine laufende Ermittlung der Cybersicherheitsbehörden der EU. Das Cyber Emergency Response Team der EU hatte die Zugangsdaten für die Plattform am 22. Juni als Teil eines größeren Zugangsdatenpakets gefunden, das in kriminellen Foren im Darknet zum Verkauf angeboten wurde. Woher die Hacker die Daten hatten, sei bislang unklar. Auch, ob die Zugänge von den Cyberkriminellen aktiv ausgenutzt wurden, sei bislang nicht ermittelt worden, so heißt es in der Warnung an die Mitgliedstaaten. Das Risiko scheint aber deutlich höher zu sein, als zunächst angenommen, darauf weist jedenfalls die drastisch vorgezogene Frist hin.

Dass die Zugangsdaten in einem Paket angeboten wurden, könnte darauf hindeuten, dass die Hacker die Zugänge für nicht sonderlich wertvoll hielten. Es könnte aber ebenso sein, dass die Hacker die Zugänge bereits jahrelang genutzt hatten und nun auch noch zu Geld machen wollten. Wie die EU-Behörden den Fall tatsächlich einschätzen, ist unklar. Weder das eigentlich zuständige Generalsekretariat des Rates noch die EU-Kommission wollten Fragen der SZ zu dem Sicherheitsvorfall beantworten.

Ende März 2020 hatte das EU-Parlament beschlossen, dass das Fado-System künftig von Frontex verwaltet werden soll. Damit soll die Plattform bald effizienter und sicherer betrieben werden können. So soll das System künftig verschiedene Zugriffsstufen für unterschiedliche Personengruppen zulassen. Ursprünglich sollte der Umzug auf eine neue Plattform 2023 stattfinden, aktuell scheint die EU mit 2024 zu planen.

Zur SZ-Startseite

SZ PlusMeinungPrantls Blick
:Die Verspottung der europäischen Idee

Ganz Europa ist Inland? Die Kontrollpraxis an den Binnengrenzen lehrt anderes. Der Europäische Gerichtshof protestiert gegen die Parzellierung Europas.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: