Zum Wochenende habe ich mich gefragt, was derzeit in Frankreich abgeht. Seit einigen Tagen wird ein großen Datenleck nach dem anderen öffentlich. Alle gehen auf Hacks staatlicher Plattformen oder großer Organisationen zurück. Hier mal ein kurzer Überblick, was mir so untergekommen ist.
Der erste Sündenfall …
Ich hatte vorige Woche im Beitrag Sicherheitsvorfälle und -Warnungen der Woche: ANTS, Großbritannien, Fraport, Rituals usw. über ein großen Datenleck bei ANTS berichtet. Die für die Ausstellung von Pässen, Führerscheinen und anderen Ausweisdokumenten zuständige französische Behörde Agence nationale des titres sécurisés (ANTS) musste einen "Sicherheitsvorfall" eingestehen.
Ein Hacker war in der Lage, die persönlichen Daten von 18 – 19 Millionen Franzosen von ANTS abzuziehen. Es betrifft bei privaten Nutzern Daten wie Anrede, Nachname, Vornamen, E-Mail-Adresse, Geburtsdatum, eindeutige Kontonummer und ggf. weitere Informationen wie Postanschrift, Geburtsort, Telefonnummer.
Dem Mann, dem es nach eigener Aussage nicht um finanzielle Vorteile geht, sondern um die Offenlegung grober Sicherheitslücken, hat FrenchBreaches einige Details gesteckt. Es sei in äußerst dummer Fehler gewesen, der den Zugriff und den Datenabgriff ermöglichte, heißt es in obigem Tweet. Die Daten hätten sich über eine IDOR-Schwachstelle über einer API abziehen lassen.
Das Kürzel IDOR steht für Insecure direct object reference, eine Art von Schwachstellen in Webanwendungen. Diese ermöglichen es Zugriffskontrollen in Webapplikationen zu umgehen, indem mit Request gesendete Parameter manipuliert werden.
Im ANTS-Fall war es per API über moncompte[.]ants[.]gouv[.]fr möglich, ohne ausreichende Autorisierungsprüfung auf die Daten anderer Nutzer zuzugreifen. Es musste lediglich die Kennung innerhalb einer Abfrage geändert werden. Der Fall zeigt, wie bei solchen zentralen Plattformen immer wieder Kardinalfehler gemacht werden, die einen Datenzugriff ohne Authentifizierung ermöglichen. Hätte man als Einzelfall abtun können …
Die Einschläge häufen sich in Frankreich
Dann sind mir die Tage auf X aber weitere Meldungen über massive Datenvorfälle in Frankreich untergekommen, die staatliche oder öffentliche Einrichtungen betroffen. Nachfolgender Tweet fasst einige dieser Vorfälle "der letzten zwei Tage" (zum Zeitpunkt des Posts) zusammen.
Ende der Woche gab es eine neue Welle von Datenlecks bei mehreren öffentlichen Einrichtungen, heißt es. Innerhalb von zwei Tagen wurden folgende Vorfälle, bei dem sensible Daten offengelegt wurden, bekannt.
- Die Agence de services et de paiement (ASP), also die französische Agentur für Zahlungsdienstleistungen ist Opfer einer Cyberattacke, bei der Bankdaten abgeflossen sind. Ich hatte dies im Beitrag Sicherheitsvorfälle und -Warnungen der Woche: ANTS, Großbritannien, Fraport, Rituals usw. erwähnt. Die Agentur für Dienstleistungen und Zahlungen verarbeitet Daten im Rahmen der Vergütung von Auszubildenden in der beruflichen Ausbildung. Bei diesem Vorfall wurden hochsensible Daten (IBAN, Sozialversicherungsnummern, Identitäten) offengelegt, wobei potenziell Millionen Franzosen betroffen sind.
- Die Gendarmerie Nationale ist die nationale Polizeibehörde, die Aufgaben im ländlichen Bereich wahr nimmt (für Städte gibt es eine andere Polizeibehörde). Ein Hacker mit dem Namen Angel_Batista konnte laut diesem Tweet die Datensätze (Name, Vorname, ID-Nummer, Titel, Organisationsstrukturen, Rollen und Arbeitsgruppen innerhalb der Verwaltung, digitale Aktivitäten wie erstellte Konten, Verwendete Modelle mobiler Geräte, Authentifizierungstoken (Cerbère, OTP, FranceConnect), abgeleitete Verschlüsselungsschlüssel (*parsec_key_chiffre*) und Verbindungs-Hashes. etc.) von 59.000 Gendarmen im März 2026 abgreifen. Am 25. April 2026 hat er diese Datensätze in einem Hackerforum eingestellt.
- Beim Ministère de l'Écologie (Umweltministerium) wurden die Daten von 79.669 Transportunternehmen bei einem Datenleck offen gelegt.
- Bei der Agence nationale des fréquences (Nationale Behörde zur Erteilung von Funklizenzen für die Schifffahrt wurden die Daten von 330.000 Nutzern bei einem Datenleck offen gelegt.
- Weiterhin wurde Adèle, eine Organisation zur Vermittlung von Unterkünften für Studenten Opfer eines Datenschutzvorfalls. Dabei wurden die persönlichen Daten (Ausweisdokumente, IBAN, Bank- und Steuerdaten) von 159.169 Opfern offen gelegt.
- Das Netzwerk IFPROF für Lehrer musste einräumen, dass die persönlichen Daten von 86.683 Lehrern von einem Datenschutzvorfall betroffen sind.
Das Ganze dürfte nur die Spitze eines Eisbergs sein und die Veröffentlichung in der letzten Woche ist möglicherweise auf den oben erwähnten ANTS-Fall zurückzuführen. Aber es stellt sich schon die Frage, wie sicher die staatlichen und öffentlichen Einrichtungen in Frankreich von ihrer IT aufgestellt sind?
E-Rechnungspflicht in Frankreich
Parallel dazu ist mir die Tage obiger Tweet untergekommen, der auch Freude macht. Die DGFiP hat Millionen von Unternehmen in Frankreich jetzt wohl per E-Mail im Hinblick auf die elektronische Rechnung informiert.
Ab dem 1. September 2026 müssen ALLE Rechnungen ausschließlich in elektronischer Form vorliegen (in Deutschland gibt es etwas abweichende Fristen, siehe ZUGFeRD und XRechnung: Bestandsaufnahme und Überblick – Teil 1). Der Tweet weist darauf hin, dass Unternehmen in Frankreich sich ab sofort für eine staatlich zugelassene Plattform entscheiden müssen, um alle Rechnungen zu erhalten. Die er zentrale Versand der eRechnung kommt in Deutschland später (die Digital Reporting Requirements für grenzüberschreitende B2B-Umsätze innerhalb der EU greifen erst zum 1. Juli 2030). Obiger Tweet spielt darauf an, dass dann zwar gefälschte Papierrechnungen verschwinden, die Hacker aber direkt auf die staatlichen Portale, wo diese Daten gespeichert sind, zugreifen und die Daten abziehen oder manipulieren können. Dürfte auch in Deutschland so kommen.
MVP: 2013 – 2016
Es ist Krieg! Der wird eben nicht mehr nur mit Panzern und Kanonenfutter an der Front geführt und Europa ist längst mittendrin!
Danke für diesen Beitrag.
Und genau das ist es, was mich so schockiert. Denn das was da vorsich geht, ist und wird auch im gleichen Ausmaß in DE passieren.
Die Inkompetenz von Politikern, die begrenzte Vorstellungskraft über die Fähigkeiten bösartiger Subjekte und die Ratlosigkeit – was gegen solche Vorfälle zu uinternehmen ist – DAS schockiert mich. Denn es geht hier um SENSIBLE DATEN, um intime Daten von Menschen. Egal ob in Frankreich, Italien, Deutschland oder sonst wo, Digitalisierung in diesen Bereichen hat erst stattzufinden, wenn eine reale Sicherheit der Daten garantiert ist. Und kann sie nicht garantiert werden, darf man diese Daten eben nicht in dem Ausmaß digitaliseren. Es sei denn, man minimiert das Risiko insofern, in dem wenigstens diese Daten in einen eigenen Netzpool stehen, nicht angeschlossen an Internet oder sonstige weitläufige Netze.
Du wirst doch nicht behaupten wollen, dass "die Politiker" die Schwachstellen in die Software, in die Webportale, eingebaut haben, oder "die Politiker" eine Sicherheitskontrolle jener Infrastrukturen höchst persönlich durchgeführt haben und all das übersehen haben? Nein, ich glaube das nicht.
Naja, dass "die Politiker" direkt für die Fehler verantwortlich sind, stimmt sicherlich nicht – ABER: wenn "die Politiker" sich von Lobbyisten und völlig unfähigen Beratern beeinflussen lassen, dann kommt das halt dabei heraus. Der völlig überteuerte Murks bei der Corona-App sollte eigentlich allen Politikern eine Warnung sein…aber aus Fehlern lernen ist ja so eine Sache.
"die Politiker" werden sich wohl auch nicht beinflussen lassen, dass das unsicher ist. Nein, "die Politiker" haben sicher nur keine Ahnung von den IT-Sicherheitsthemen, sondern verlassen sich da auf "ihre Spezialisten" die aber wohl geschlampt haben. Aber woher sollen "die Politiker" das wissen, wenn sie selbst keine Ahnung von der Technik haben? Aber das sind Details, die nicht in Verschwörungstheorien einfach nicht reinpassen. Man macht es sich halt einfach leicht, einfaches Feindbild, "die Politiker", wird schon passen.
Wie man seinen Text derart falsch verstehen kann, ist mir ein Rätsel. Wo hat er geschrieben, dass er denkt, dass die Politker Schwachstellen da einbauen?
Sorry, aber bei manchen Menschen fehlt mir jedes Verständnis zu diskutieren.
Es geht klar aus seinem Kommentar hervor, dass er der Digitalisierung von senisblen Daten und dem Abspeichern kritisch entgegensieht. Dass er das nicht ok findet und er sich dagegen sträubt und kein Vertrauen hat. Mehr lese ich nicht daraus.
Falls ich das nicht völig falsch verstehe, dann sollen in F ausnahmslos alle Rechnungen zentral erfasst werden? Und in D?
JEDE RECHNUNG? Also auch alle Gesundheitsdaten, Einkäufe diesdas? Also leider alles was unsere Existenz als Konsument betrifft?
Das wäre datenschutzrechtlich möglich? Warum?
Nein, nicht alle Rechnungen. Es geht um Rechnungen zwischen Firmen (Business-To-Business oder B2B). Aber auch da gibt es nochmal Ausnahmen, z.B. wenn der Rechnungsbetrag unterhalb einer gewissen Grenze liegt (war glaube ich 200 €) oder wenn Fahrkarten gekauft wurden. Diese Ausnahmen gelten zumindest für Deutschland.
Die zentrale Erfassung der Rechnungen wird europaweit kommen und wird in manchen Ländern schon seit längerem praktiziert. In Deutschland wird es wohl noch bis 2030 dauern. Übernehmen soll das z.B. die DATEV, es werden aber wohl noch andere Firmen eine Zulassung dafür erhalten. In anderen Ländern wurde eine staatliche Behörde dafür eingerichtet.
Sinn des ganzen ist die Bekämpfung von Umsatzsteuerbetrug, Korruption und Terrorismusfinanzierung, so die offizielle Darstellung. Nebenbei werden neue Tröge installiert (die Firmen, die die Rechnungen annehmen und an staatliche Stellen und den eigentlichen Rechnungsempfänger weiterleiten, nehmen natürlich Geld für diesen "Service").
Das ganz soll bis 2035 oder so auf eine europäische Ebene gehoben werden – die nationalen Einzellösungen sollen dann durch ein europäisches System ersetzt werden. Firmen bekommen dafür auch eine europäische Steuernummer.
Auf jeden Fall entsteht bei so einem System ein riesiger Datenschatz, mit dem man alles mögliche anstellen kann. KI und Big Data Algorithmen helfen dabei, den Schatz zu heben.
Die meisten Firmen innerhalb der EU haben doch schon eine europäische Steuernummer, nämlich die UStID.
Was die Hacks angeht:
Das Hauptproblem ist, das man diese Systeme aus dem Internet erreichbar macht anstatt dafür sichere Kanäle (z.B. VPN) zu nutzen.
Zugriffe von außerhalb der sicheren Kanäle gehören dann automatisch blockiert.
Die UStID ist eine UMSATZSTEUER-Nummer, die gilt nur für die Umsatzsteuer. Aber es gibt auch noch andere Steuerarten, z.B. Einkommensteuer, Lohnsteuer, Vermögenssteuer, etc., dafür gibt es andere Steuernummern.
Also jeder der eine UStID hat sollte auch noch Steuernummern für alle anderen Steuerarten haben. Das ist aber nicht EU-weit einheitlich geregelt.
Wäre nicht verwundert, wenn das erst richtig los ginge, sobald Frankreich, wie es vorhat, soweit wie möglich auf Linux und Open Source-Software umgestellt hat.
Weil?
Um Frankreich von seinen Plänen wieder abzubringen z.B.?
Weil?
Würde mich auch interessieren, daher schließe ich mich der Frage an.