TokioEin massiver Hack bei Japans Pensionskasse erschüttert das Vertrauen der Japaner in die Cybersicherheit ihrer Behörden. Wie erst am Montag bekannt wurde, konnten die Angreifer vom japanischem Pensionsdienst durch eine Cyberattacke persönliche Daten von 1,25 Millionen Bürgern erbeuten. Für noch mehr entgeisterte Gesichter als die erfolgreiche Cyberattacke selbst sorgt allerdings der Umgang der Behörde mit dem Angriff.
Bereits am 8. Mai hatte die IT-Abteilung der Behörde festgestellt, dass zwei Angestellte der Behörde infizierte Dateianhänge geöffnet hatten, in denen scheinbar zu Seminaren eingeladen wurde. Zwar wurden die Computer isoliert und die Belegschaft gewarnt, keine Anhänge zu öffnen. Doch zumindest ein Beamter konnte der Versuchung, auf einen Anhang zu klicken, nicht widerstehen.
Schlimmer noch, erst am 19. Mai informierte die Behörde die Polizei. Bis dahin soll die Firewall der Rentenkasse allerdings bereits mehrfach durchlöchert worden sein. In 30.000 Fällen erbeuteten die Hacker Versicherungsnummern und Namen, in 1,17 Millionen Fällen zusätzlich die Geburtstage und in 52.000 Fällen sogar die Adressen der Versicherten.
Sogar das Großprojekt der Regierung, die Verwaltung durch die Einführung einer Kontrollnummer für alle Bürger internettauglich zu machen, sehen Beobachter gefährdet. „Das Leck könnte die öffentliche Opposition gegen die kommende Identifikationsnummer stärken, die die Regierung mit vielen persönlichen Informationen verbinden will“, urteilt die Wirtschaftszeitung Nikkei.
Am Umfang der politischen Reaktion wird deutlich, wie ernst die Regierung den möglichen Fall-out der Cyberattacke nimmt. Erst entschuldigte sich der Chef des Pensionsamts Toichiro Mizushima für das Datenleck. Dann eilte Gesundheitsminister Yasuhisa Shiozaki vor die Presse und versicherte, dass die Pensionszahlungen nicht betroffen seien.
Selbst Ministerpräsident Shinzo Abe wandte sich mit einer kurzen Erklärung an die Öffentlichkeit: „Hier geht es um die Renten der Bürger“, sagte er in die Kameras. „Ich habe Gesundheitsminister Shiozaki angewiesen, die Belange der Versicherten zuerst zu berücksichtigen und ganz sicher zu gehen.“
Dass Abe sich so früh in den Fall einschaltet, ist seiner negativen Erfahrung mit einem anderen Megaskandal bei der Rentenkasse geschuldet. Vor acht Jahren flog auf, dass der Vorläufer der jetzigen Behörde 50 Millionen Renteneinzahlungen verschludert hatte und Beamte Einsicht in die vertraulichen Daten hatten. Der Skandal trug mit dazu bei, ihn 2007 während seiner ersten, nur einjährigen Amtszeit zu Fall zu bringen.
Doch dieses Mal steht mehr als seine Popularität auf dem Spiel. Zieht sich nun dieser Fall in der erst 2010 ins Leben gerufenen Behörde noch lange dahin, droht auch ein Jahrhundertprojekt der Regierung Schaden zu nehmen: die Durchsetzung einer zwölfstelligen persönlichen Identifikationsnummer, die jeden Japaner künftig von der Wiege bis zur Bahre begleiten soll. Denn bei den Rentenzahlungen und dem Schutz ihrer Privatsphäre hört für Japaner der Spaß auf.
„My Number“, so der einprägsame Name des Systems. Bereits im Oktober sollen die Lokalregierungen beginnen, die Bürger über ihre persönlichen Kennnummern zu informieren. Im Januar 2016 soll das System dann offiziell starten. Zu Beginn soll es für die Sozialkassen und Steuerzahlungen verwendet werden. Die Regierung will es den Behörden so erleichtern, Sozialleistungen und Steuern besser zu verwalten und weniger Datenverluste als bisher zu riskieren.
Für Anfang 2017 ist dann geplant, dass die persönlichen Daten auf der Ebene der Zentralregierung zwischen den verschiedenen Stellen geteilt werden können, ab Mitte 2017 auf lokaler Ebene. Im dritten Schritt wird die Nummer ab 2018 auch mit Bank- und Investitionskonten verbunden. Außerdem wird über die Verwendung für Autoanmeldungen, Passanträge oder gar den Altersnachweis für den Kauf von Zigaretten an Automaten nachgedacht.
Die Regierung fordert die Bürger daher in Informationsblättern auf: „Ihre Nummer wird Ihnen ein Leben lang dienen. Bitte leiten sie Schritte ein, sie zu beschützen.“ Aber der Fall der Pensionskasse zeigt, dass die Behörden die eigentliche Schwachstelle sind. Zwischen 2011 und 2013 versiebenfachten sich die Attacken auf behördliche Computersysteme – auf mehr als fünf Millionen Fälle.
Für Experten ist dies kein Wunder. Denn bisher gilt Japan als einfaches Ziel für Hacker. Das Krisenbewusstsein bei den Unternehmen ist unterentwickelt, wie in den vergangenen Jahren Megalecks von Kundendaten bei Japans größtem Internetportal Yahoo-Japan und dem Lehrmittelanbieter Benesse zeigten. Und auch die Regierung ist schlecht vorbereitet.
Erst Anfang dieses Jahres wurde eine Einheit für Cybersicherheit eingerichtet. Doch dort arbeiten bisher nur etwa 100 Experten. Japans Militär kämpft zusätzlich mit 200 Soldaten im Cyberspace. Zum Vergleich: Frankreich stockte hingegen jüngst seine nationale IT-Sicherheitsagentur auf 500 Cyberkämpen auf. Die USA wollen die Zahl ihrer Cyberkrieger bis Ende 2016 sogar auf 6200 verdreifachen.
Darüber hinaus dienen Datenlecks in anderen Ländern als warnendes Beispiel für die Risiken von persönlichen Codes für die Privatsphäre der Bürger. In den USA wurde seit 2006 die Sicherheit von Sozialversicherungsnummern in rund zwölf Millionen Fällen verletzt. Doch alles verblasst bisher im Vergleich zu Japans Nachbarn Südkorea. Dort kopierte und verkaufte voriges Jahr ein Angestellter die persönlichen Daten von 20 Millionen Kreditkartenkunden, darunter auch ihre Identifikationsnummern. Dies entspricht 40 Prozent der Bevölkerung. Die dortige Regierung steht daher unter Druck, das System neu aufzubauen und neue Nummern auszugeben. In Japan ist das Potenzial für Lecks noch größer, schließlich hat das Land 126 Millionen Einwohner.