Heartbleed: Datendiebstahl beim kanadischen Finanzamt

Unbekannte haben offenbar Sozialversicherungsnummern von Servern der kanadischen Finanzbehörde entwendet und dabei die Heartbleed-Lücke ausgenutzt. "Basierend auf unserer bisherigen Analyse wurden Sozialversicherungsnummern (SIN) von 900 Steuerzahlern von (unseren) Systemen entfernt", teilte das kanadische Finanzamt (CRA) am Montag mit.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit
• SSL-Gau: So testen Sie Programme und Online-Dienste
• Passwörter in Gefahr - was nun?
• Heartbleed-Betroffene stecken Kopf in den Sand
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen
• Infos und Hintergrund zum Heartbleed-Bug

Die Behörde hatte zwar ihre angreifbaren Server am Tag nach Bekanntwerden der Heartbleed-Lücke in OpenSSL vom Netz genommen, musste aber feststellen, das die Lücke offenbar bereits ausgenutzt worden war. In Kanada, wo gerade Steuersaison ist, müssen alle Kanadier ihre Steuererklärung abgeben, die meisten machen das online.

Derzeit analysiert die Behörde "andere Datenfragmente", die ebenfalls "entfernt" wurden. Einige davon könnten sich auf Unternehmen beziehen. Die Zahl der Opfer könnte also noch über 900 steigen. Der Einbruch war von "führenden Sicherheitsdiensten" der Regierung entdeckt wurden. Sie informierten dann das Finanzamt.

SIN gilt ein Leben lang

Wohnsitzmeldungen wie sie in Deutschland und Österreich üblich sind gibt es in Kanada nicht. In dem flächenmäßig zweitgrößten Land der Welt spielt, ähnlich wie in den USA, die Sozialversicherungsnummer eine zentrale Rolle. Die neunstellige SIN bleibt für jeden Einwohner ein Leben lang gleich. Sie dient der persönlichen Identifikation, insbesondere wenn es um Finanzgeschäfte geht.

Kennt man den Namen zu einer SIN und hat ein bisschen kriminelle Energie, kann man auf fremde Kosten Konten eröffnen und Kreditkarten oder Darlehen bekommen. Das ist nicht nur für die Bank teuer, sondern kann auch dem eigentlichen Träger der SIN schaden. Denn seine Einträge bei den Schufa-Pendants (Credit Bureaus) könnten leiden. Das kann auf Dauer zu teureren Versicherungsprämien, geringeren Aussichten am Arbeitsmarkt, Problemen bei der Wohnungssuche und höheren Kreditzinsen führen.

Warnung vor Phishing

Und der Vorfall an sich ist eine Einladung an Phisher. Daher betont die Steuerbehörde, dass sie die Betroffenen ausschließlich per Einschreiben informieren wird. E-Mail und Telefonanrufe in der Sache seien jedenfalls betrügerischer Natur.

Die CRA bietet den Betroffenen außerdem an, in ihren jeweiligen Akten bei den kanadischen Credit Bureaus einen speziellen Vermerk zu setzen. Dieser Schritt ist durchaus empfehlenswert. Doch erschwert er den Opfern alltägliche Geschäfte, insbesondere Onlinebestelllungen. Für geraume Zeit werden sie zusätzliche Schritte setzen müssen, um ihre Identität nachzuweisen. (ds)