Heartbleed: Datendiebstahl beim kanadischen Finanzamt
Die kanadische Finanzbehörde hat ihre Server für die Online-Steuererklärung kurz nach Bekanntwerden des Bugs in der OpenSSL-Bibliothek vom Netz genommen. Doch da hatten Datendiebe schon zugeschlagen.
Unbekannte haben offenbar Sozialversicherungsnummern von Servern der kanadischen Finanzbehörde entwendet und dabei die Heartbleed-Lücke ausgenutzt. "Basierend auf unserer bisherigen Analyse wurden Sozialversicherungsnummern (SIN) von 900 Steuerzahlern von (unseren) Systemen entfernt", teilte das kanadische Finanzamt (CRA) am Montag mit.
Die Behörde hatte zwar ihre angreifbaren Server am Tag nach Bekanntwerden der Heartbleed-Lücke in OpenSSL vom Netz genommen, musste aber feststellen, das die Lücke offenbar bereits ausgenutzt worden war. In Kanada, wo gerade Steuersaison ist, müssen alle Kanadier ihre Steuererklärung abgeben, die meisten machen das online.
Derzeit analysiert die Behörde "andere Datenfragmente", die ebenfalls "entfernt" wurden. Einige davon könnten sich auf Unternehmen beziehen. Die Zahl der Opfer könnte also noch über 900 steigen. Der Einbruch war von "führenden Sicherheitsdiensten" der Regierung entdeckt wurden. Sie informierten dann das Finanzamt.
SIN gilt ein Leben lang
Wohnsitzmeldungen wie sie in Deutschland und Österreich üblich sind gibt es in Kanada nicht. In dem flächenmäßig zweitgrößten Land der Welt spielt, ähnlich wie in den USA, die Sozialversicherungsnummer eine zentrale Rolle. Die neunstellige SIN bleibt für jeden Einwohner ein Leben lang gleich. Sie dient der persönlichen Identifikation, insbesondere wenn es um Finanzgeschäfte geht.
Kennt man den Namen zu einer SIN und hat ein bisschen kriminelle Energie, kann man auf fremde Kosten Konten eröffnen und Kreditkarten oder Darlehen bekommen. Das ist nicht nur für die Bank teuer, sondern kann auch dem eigentlichen Träger der SIN schaden. Denn seine Einträge bei den Schufa-Pendants (Credit Bureaus) könnten leiden. Das kann auf Dauer zu teureren Versicherungsprämien, geringeren Aussichten am Arbeitsmarkt, Problemen bei der Wohnungssuche und höheren Kreditzinsen führen.
Warnung vor Phishing
Und der Vorfall an sich ist eine Einladung an Phisher. Daher betont die Steuerbehörde, dass sie die Betroffenen ausschließlich per Einschreiben informieren wird. E-Mail und Telefonanrufe in der Sache seien jedenfalls betrügerischer Natur.
Die CRA bietet den Betroffenen außerdem an, in ihren jeweiligen Akten bei den kanadischen Credit Bureaus einen speziellen Vermerk zu setzen. Dieser Schritt ist durchaus empfehlenswert. Doch erschwert er den Opfern alltägliche Geschäfte, insbesondere Onlinebestelllungen. Für geraume Zeit werden sie zusätzliche Schritte setzen müssen, um ihre Identität nachzuweisen. (ds)