Was ist jetzt in dem Messenger MAX enthalten und warum ist das gefährlich?
Der Start der Digitalen ID im russischen nationalen Messenger MAX ist ein weiterer Schritt in Richtung eines Super-Apps-Modells nach chinesischem WeChat-Vorbild, aber gleichzeitig auch zur maximalen Konzentration von Risiken für die Sicherheit persönlicher Daten, insbesondere biometrischer Daten.
An einem Ort sind nun fast alle wichtigen Dokumente der Russen versammelt: Pass, Führerschein, Versicherungsnummer, Krankenversicherungspolice, Steuernummer. Später sollen Daten über Autos und Kinderausweise hinzugefügt werden. All dies ist mit dem staatlichen Portal "Gosuslugi" (Staatliche Dienste) verbunden und wird in Geschäften, Hotels und anderen Orten verwendet.
Das Hauptproblem liegt darin, dass dies einen zentralen Angriffspunkt schafft. Wenn es Hackern gelingt, das MAX-System zu knacken, Fehler auftreten oder Mitarbeiter Daten stehlen, erhalten Kriminelle praktisch ein vollständiges digitales Profil einer Person. Dies würde Identitätsdiebstahl, Betrügereien und Finanzkriminalität ermöglichen.
Problem mit Fingerabdrücken und Gesichtserkennung
Das System setzt auf biometrischen Zugang durch Gesichtserkennung oder Fingerabdruckerfassung voraus. Das klingt praktisch, aber es gibt einen ernsthaften Haken: Während man ein Passwort ändern kann, geht das bei biometrischen Daten nicht. Wenn Fingerabdrücke oder Gesichtsdaten in die Hände von Verbrechern gelangen, kann eine Person sie nicht "neu erstellen".
Entscheidend ist, wie diese Technologie umgesetzt ist. Wenn Fingerabdrücke und Gesichtsaufnahmen nur auf dem Handy selbst gespeichert und nur zur Entsperrung verwendet werden (über die eingebauten Telefonfunktionen), ist das Risiko geringer. Doch wenn die Daten auf externen Servern verarbeitet werden und dort Kopien gespeichert sind, wären bei einer Datenpanne sofort Millionen von Menschen betroffen.
Darüber hinaus können moderne Erkennungssysteme täuscht werden: hochwertige Fotos, Videos, Masken oder sogar Deepfakes könnten es Kriminellen ermöglichen, sich als eine andere Person auszugeben.
Wo sonst könnten die Bürgerdaten noch kompromittiert werden?
Wenn die Digitale ID in Geschäften und Hotels verwendet wird, kann jede Kasse und jedes Terminal zu einer Datenpanne-Quelle werden. Es geht nicht nur um den Schutz des zentralen Systems, sondern auch darum, wie Hotels und Geschäfte Daten übermitteln und speichern. Wer sieht sie? Wie lange werden sie gespeichert? Gibt es Protokolle?
Es gibt noch ein anderes Risiko: Wenn die ID im Einzelhandel verwendet wird, können Bewegungsprofile einfach nachverfolgt werden — was, wo und wann jemand einkaufte, wie oft er/sie an bestimmten Orten war. Aus diesen Daten lässt sich ein detailliertes Verhaltensprotokoll erstellen. Bei unsachgemäßer Nutzung dieser Informationen könnte Massenprofilierung und sogar Diskriminierung entstehen.
Gosuslugi + MAX = doppeltes Risiko
Das System ist sowohl mit dem staatlichen Portal "Gosuslugi" als auch mit der kommerziellen Plattform MAX verbunden. Dies schafft eine neue Risikoebene. Wenn an irgendeiner Stelle in der Kette eine Sicherheitslücke existiert, kann diese für Phishing (gefälschte E-Mails bekannter Marken), Diebstahl von Zugangstoken oder Datenweitergabe ausgenutzt werden.
Für einen normalen Bürger sieht das alles wie ein Service aus. Wenn etwas schief geht, wird es für ihn schwierig zu verstehen, wer schuld ist — der Staat, MAX oder das Geschäft.
Besonderes Risiko für Kinder
Es ist geplant, die wichtigsten Kinderakten in die Digitale ID aufzunehmen. Das bedeutet, dass ein Kind von klein an eine digitale Akte mit allen seinen Daten und der Biometrie der Eltern erhält. Falls solche Informationen je durchsickern, könnten sie später im Leben für Betrügereien und Erpressungen verwendet werden. Eltern und Kinder verstehen oft nicht, welche langfristigen Folgen dies haben kann.
Wichtige Fragen ohne Antworten
Experten heben mehrere kritische Punkte hervor:
Kann man die Digitale ID vollständig ablehnen und trotzdem den Messenger normal nutzen? Gibt es einen anderen Identifikationsweg ohne Biometrie? Kann man seine Daten vollständig löschen, oder werden sie einfach nur in der Oberfläche "versteckt"?
Dieses System sollte als kritisch wichtige Infrastruktur behandelt werden, nicht nur als eine Messenger-Funktion. Der potenzielle Schaden durch einen Hack oder eine Datenpanne ist mit gewöhnlichen Datenlecks nicht vergleichbar.
Keine Kommentare:
Kommentar veröffentlichen
Bitte machen Sie sich mit unseren Kommentierungsregeln vertraut.