![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Zum Wochenende habe ich mich gefragt, was derzeit in Frankreich abgeht. Seit einigen Tagen wird ein gro\u00dfen Datenleck nach dem anderen \u00f6ffentlich. Alle gehen auf Hacks staatlicher Plattformen oder gro\u00dfer Organisationen zur\u00fcck. Hier mal ein kurzer \u00dcberblick, was mir so untergekommen ist.<\/p>\n
<\/p>\n
Ein Hacker war in der Lage, die pers\u00f6nlichen Daten von 18 \u2013 19 Millionen Franzosen von ANTS abzuziehen. Es betrifft bei privaten Nutzern Daten wie Anrede, Nachname, Vornamen, E-Mail-Adresse, Geburtsdatum, eindeutige Kontonummer und ggf. weitere Informationen wie Postanschrift, Geburtsort, Telefonnummer.<\/p>\n Dem Mann, dem es nach eigener Aussage nicht um finanzielle Vorteile geht, sondern um die Offenlegung grober Sicherheitsl\u00fccken, hat FrenchBreaches einige Details gesteckt. Es sei in \u00e4u\u00dferst dummer Fehler gewesen, der den Zugriff und den Datenabgriff erm\u00f6glichte, hei\u00dft es in obigem Tweet<\/a>. Die Daten h\u00e4tten sich \u00fcber eine IDOR-Schwachstelle \u00fcber einer API abziehen lassen.<\/p>\n Das K\u00fcrzel IDOR steht f\u00fcr Insecure direct object reference<\/a>, eine Art von Schwachstellen in Webanwendungen. Diese erm\u00f6glichen es Zugriffskontrollen in Webapplikationen zu umgehen, indem mit Request gesendete Parameter manipuliert werden.<\/p><\/blockquote>\n Im ANTS-Fall war es per API \u00fcber moncompte[.]ants[.]gouv[.]fr<\/em> m\u00f6glich, ohne ausreichende Autorisierungspr\u00fcfung auf die Daten anderer Nutzer zuzugreifen. Es musste lediglich die Kennung innerhalb einer Abfrage ge\u00e4ndert werden. Der Fall zeigt, wie bei solchen zentralen Plattformen immer wieder Kardinalfehler gemacht werden, die einen Datenzugriff ohne Authentifizierung erm\u00f6glichen. H\u00e4tte man als Einzelfall abtun k\u00f6nnen …<\/p>\n Dann sind mir die Tage auf X aber weitere Meldungen \u00fcber massive Datenvorf\u00e4lle in Frankreich untergekommen, die staatliche oder \u00f6ffentliche Einrichtungen betroffen. Nachfolgender Tweet<\/a> fasst einige dieser Vorf\u00e4lle \"der letzten zwei Tage\" (zum Zeitpunkt des Posts) zusammen.<\/p>\n Ende der Woche gab es eine neue Welle von Datenlecks bei mehreren \u00f6ffentlichen Einrichtungen, hei\u00dft es. Innerhalb von zwei Tagen wurden folgende Vorf\u00e4lle, bei dem sensible Daten offengelegt wurden, bekannt.<\/p>\n Das Ganze d\u00fcrfte nur die Spitze eines Eisbergs sein und die Ver\u00f6ffentlichung in der letzten Woche ist m\u00f6glicherweise auf den oben erw\u00e4hnten ANTS-Fall zur\u00fcckzuf\u00fchren. Aber es stellt sich schon die Frage, wie sicher die staatlichen und \u00f6ffentlichen Einrichtungen in Frankreich von ihrer IT aufgestellt sind?<\/p>\n Parallel dazu ist mir die Tage obiger Tweet<\/a> untergekommen, der auch Freude macht. Die DGFiP hat Millionen von Unternehmen in Frankreich jetzt wohl per E-Mail im Hinblick auf die elektronische Rechnung informiert.<\/p>\n Ab dem 1. September 2026 m\u00fcssen ALLE Rechnungen ausschlie\u00dflich in elektronischer Form vorliegen (in Deutschland gibt es etwas abweichende Fristen, siehe ZUGFeRD und XRechnung: Bestandsaufnahme und \u00dcberblick<\/a> \u2013 Teil 1). Der Tweet weist darauf hin, dass Unternehmen in Frankreich sich\u00a0ab sofort f\u00fcr eine staatlich zugelassene Plattform entscheiden m\u00fcssen, um alle Rechnungen zu erhalten. Die er zentrale Versand der eRechnung kommt in Deutschland sp\u00e4ter (die Digital Reporting Requirements\u00a0f\u00fcr\u00a0grenz\u00fcberschreitende B2B-Ums\u00e4tze innerhalb der EU greifen erst zum 1. Juli 2030). Obiger Tweet spielt darauf an, dass dann zwar gef\u00e4lschte Papierrechnungen verschwinden, die Hacker aber direkt auf die staatlichen Portale, wo diese Daten gespeichert sind, zugreifen und die Daten abziehen oder manipulieren k\u00f6nnen. D\u00fcrfte auch in Deutschland so kommen.<\/p>\n","protected":false},"excerpt":{"rendered":" Zum Wochenende habe ich mich gefragt, was derzeit in Frankreich abgeht. Seit einigen Tagen wird ein gro\u00dfen Datenleck nach dem anderen \u00f6ffentlich. Alle gehen auf Hacks staatlicher Plattformen oder gro\u00dfer Organisationen zur\u00fcck. Hier mal ein kurzer \u00dcberblick, was mir so … Weiterlesen Ich hatte vorige Woche im Beitrag\u00a0Sicherheitsvorf\u00e4lle und -Warnungen der Woche: ANTS, Gro\u00dfbritannien, Fraport, Rituals usw.<\/a> \u00fcber ein gro\u00dfen Datenleck bei ANTS berichtet. Die f\u00fcr die Ausstellung von P\u00e4ssen, F\u00fchrerscheinen und anderen Ausweisdokumenten zust\u00e4ndige franz\u00f6sische Beh\u00f6rde Agence nationale des titres s\u00e9curis\u00e9s (ANTS) musste einen \"Sicherheitsvorfall\" eingestehen.<\/p>\n
![\"ANTS-Hack\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/ANTS.jpg\")
<\/a><\/p>\nDie Einschl\u00e4ge h\u00e4ufen sich in Frankreich<\/h2>\n
![\"Datenvorf\u00e4lle](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/Frankreich01.jpg\")
<\/a><\/p>\n\n
E-Rechnungspflicht in Frankreich<\/h2>\n
![\"eRechnung-Frankreich\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/eRechnung-Frankreich.jpg\")
<\/a><\/p>\n