Nach Mega-Hack: Keine Antworten für Brasiliens Steuerzahler
Einen Monat nachdem 223 Millionen brasilianische Datensätze in kriminelle Hände gefallen sind, ist nicht einmal die Herkunft der Daten geklärt.
In Brasiliens Wirtschaftsmetropole São Paulo hat die Bonitätsbewertungsfirma Seresa Experian ihre Zentrale.
(Bild: Gustavo Gomes, CC BY 2.0)
Datensätze über 220 Millionen Brasilianer sind im Januar in Verbrecherhände gelangt. Die vermutete Quelle, Seresa Experian, streitet ab und enttäuscht bei der Aufklärung. "Das Unternehmen Seresa reagiert auf das größte Datenleck in der Geschichte Brasiliens mit Intransparenz. Es bestreitet die Quelle zu sein, aber die vorliegenden Datensätze entsprechen den typischen Daten, die von dem Unternehmen erhoben werden", sagte der ehemalige Vorsitzende des Nationalen Instituts für Informationstechnologie, Sergio Amadeu da Silveira, im Gespräch mit heise online.
"Für mich liegt es auf der Hand, dass die Daten von Seresa stamme", so IT-Experte Amadeu da Silveira, "Und wenn sie nicht Opfer eines Cracks geworden sind, dann hat jemand von innen die Daten weitergegeben."
Eine ähnliche Vermutung hegt auch die staatliche Verbraucherschutzeinrichtung Procon, die sich von den Erklärungen der Datenfirma enttäuscht zeigt: "Die Antworten Seresas waren sehr allgemein gehalten und brachten mehr Zweifel als Klarstellungen. Wir können also keine Hypothese ausschließen und halten es zum jetzigen Zeitpunkt für wahrscheinlicher, dass das Leck von innerhalb des Unternehmens und nicht von Hackern stammt", stellte Procon-Chef Fernando Capez fest.
Riesige Datenbeute
In den in Brasilien geleakten Datenbanken finden sich Namen, Geburtsdaten und Steuernummern (CPF). Die 220 Millionen geklauten Datensätze stellen eine Gefahr für alle Steuerzahler Brasiliens dar. Umfangreiche Datenbanken sind geleakt. Darin enthalten sind vollständige Namen, Geburtsdaten und Steuernummern (CPF). CPF spielen im brasilianischen Alltag Brasilien eine bedeutende Rolle. Der Fall ist vergleichbar mit dem Hacker-Jackpot in den USA, als das Credit Bureau Equifax gehackt wurde. Dort wurden 2017 Daten über 145 Millionen Menschen erbeutet.
Den Hack hatte das brasilianische Labor für Cybersicherheit PSafe aufgedeckt. Betroffen sind demnach auch Informationen über Unternehmen und Behörden. In der erbeuteten Datenmenge müssen sich auch Datensätze Verstorbener und Nicht-Brasilianer befinden, da Brasilien 212 Millionen Einwohner zählt.
Lesen Sie auch
Plante die Schufa den großen Daten-Coup?
Zusätzlich zu den personenbezogenen Daten seien noch Informationen über mehr als 104 Millionen Fahrzeuge dabei, einschließlich Fahrgestellnummer, Kennzeichen, Meldegemeinde, Farbe, Marke, Modell, Baujahr, Hubraum und Kraftstoffart. All diese Daten standen online zum Verkauf.
Seresa Experien verneint
Die Bonitätsbewertungsfirma Seresa Experian hat von Anfang an zurückgewiesen, dass es sich um eine Datenbank aus ihrem Unternehmen handeln könne. Journalisten hatten Zugang zu einem Teil der Daten bekommen, wo Seresa erwähnt wurde.
Das Unternehmen ist das brasilianische Pendant zur deutschen Schufa und den nordamerikanischen Credit Bureaus Equifax, Transunion und Experian. Seresa Experian ist eine Tochterfirma Experians. Procon hat das Unternehmen aufgefordert, zu den Ursachen des Problems Stellung zu nehmen. Außedem sollte die Firma erklären, welche Schritte sie einleitet, um den durch das Datenleck entstandenen Schaden zu beheben sowie weiteren Vorfällen vorzubeugen.
Verbraucherzentrale unzufrieden
In seiner Antwort teilt Seresa Experian mit, dass alle Transaktionen mit personenbezogenen Daten den rechtlichen Bestimmungen entsprächen und dass die Verarbeitung dieser Daten in Übereinstimmung mit den geltenden Gesetzen erfolge. Angaben zu den technischen und organisatorischen Maßnahmen seines Datenschutzes bleibt das Unternehmen schuldig. Seresa Experian beschreibt lediglich die Einhaltung allgemeiner Prinzipien, wie "Datentransparenz" und "Mitarbeiterschulung".
Zu dem Leck laufe eine Untersuchung; es gäbe aber keinen Hinweis auf einen Eindringling und auch keinen Hinweis darauf, dass Aufzeichnungen kompromittiert worden seien. Zur künftigen Risikovermeidung unterhalte die Bonitätsfirma ein "umfassendes Informationssicherheitsprogramm". Bezüglich möglicher Schadensersatzansprüche verweist das Unternehmen auf seine Geschäftsbedingungen.
Kaum Strafe zu erwarten
Technopolitik-Experte Sergio Amadeu geht in seiner Kritik über Senesa hinaus: "Aus meiner Sicht leben wir in einer absolut absurden Situation, denn das bestehende Datzenschutzgesetz schützt die Banken mehr als die Verbraucher. Es gibt den sogenannten Positiveintrag, der bedeutet, dass Banken Bonitätsinformationen über ihre Kunden untereinander ungefragt weitergeben. Man kann dem nur widersprechen, indem man persönlich zu fünf verschiedenen Stellen läuft und einen Antrag unterschreibt". Der aktuelle Fall komme einem Offenbarungseid der nationalen Datenschutzbehörde ANPD gleich, die der Bevölkerung keinen Schutz gewähre.
Procon prüfe jetzt, ob es Seresa Experian mit Strafzahlungen belegen könne. Die Grundlage dafür ist unklar. Ein Gesetz, das Strafen für Datenschutzverletzungen festlegt, ist noch nicht in Kraft getreten. Das ist für August vorgesehen. Der Bundesabgeordnete Eduardo Bismarck möchte das Inkrafttreten nun sogar in das kommende Jahr verschieben – um Unternehmen während der COVID-19-Pandemie keinen zusätzlichen ökonomischen Gefahren auszusetzen, wie er sagt.
(tol)