Leak bei CGI Sverige trifft Schwedens BankID-Umfeld

Ein Leak beim IT-Dienstleister CGI Sverige trifft Schwedens BankID-Umfeld. Das ist brisant, wenige Monate vor der Einführung der Sverige-ID.

Inhalt

• Der Hack des IT-Dienstleisters greift um sich
• Sverige-ID für Dezember geplant
• In Schweden ist die BankID fester Bestandteil des Alltags
• Der Blick nach Deutschland
• CGI Sverige & Co.: Es kommt nicht nur auf die App an

Die BankID gilt nach bisherigem Stand nicht als kompromittiertes Kernsystem. Der Vorfall bei CGI Sverige reicht trotzdem aus, um den Blick auf eine Stelle zu richten, die bei einer digitalen Identität meist erst auffällt, wenn etwas schiefläuft. Die BankID ist in Schweden und auch in Norwegen die zentrale digitale Identitätslösung. Es ist im Prinzip eine Kombination aus Online-Ausweis und elektronischer Unterschrift. Damit kann man den Login beim Online-Banking und diverse Behördengänge durchführen, Rezepte einlösen, Verträge unterschreiben, Pakete abholen und vieles mehr. Doch wo Licht scheint, da fällt auch Schatten…

Der Hack des IT-Dienstleisters greift um sich

Die Aktion der Hacker von ByteToBreach, die im März diesen Jahres bekannt wurde, bleibt nicht ohne Folgen. Nach bisherigem Stand gilt BankID selbst nicht als kompromittiertes Kernsystem. Der Vorfall betrifft CGI Sverige. Das ist ein Tochterunternehmens der kanadischen CGI Inc. mit weltweit über 90.000 Mitarbeitern.

Das Unternehmen erklärte, das eigene Sicherheitsteam habe den Angriff am 12. März auf wenigen internen Testservern in Schweden entdeckt. Die Server seien nicht produktiv genutzt worden. Zugänglich gewesen sei außerdem der Quellcode einer Anwendung, die ohnehin aus dem Betrieb genommen werden sollte. CGI erklärte zugleich, die Untersuchung habe keine Auswirkungen auf Produktionssysteme, Produktionsdaten oder operative Dienste der Kunden gezeigt.

Die ganze Sache wird dadurch trotzdem nicht besser. Laut dem Fachmedium Biometric Update sollen Journalisten Teile des illegal verbreiteten Materials geprüft haben. Darin soll sich der Quellcode, Passwörter und Verschlüsselungsschlüssel befinden. Im Raum steht außerdem ein System, das BankID-Anmeldungen für die schwedische Steuerbehörde unterstützt. Das alles belegt allerdings noch keinen direkten Einbruch bei BankID selbst. Es zeigt jedoch, dass der Vorfall einen Bereich betrifft, über den sich Bürger bei staatlichen Stellen anmelden. Wenn Code, Zugangsdaten und Schlüssel aus einem solchen Umfeld nach außen gelangen, bleibt es nicht bei einem internen Testproblem. Es wirkt vielmehr so, als wenn das Unternehmen versucht den Vorfall elegant herunterzuspielen.

Sverige-ID für Dezember geplant

Das Datenleck ereignete sich recht kurz vor dem Start der Sverige-ID. Am 1. Dezember 2026 soll die neue staatliche E-Legitimation starten. Die schwedische Polizei beschreibt sie als Lösung auf höchster Sicherheitsstufe, die auch innerhalb der EU nutzbar sein soll. Bestehende E-Legitimationen soll sie ergänzen und nicht ersetzen. Schweden baut seine Identitätsinfrastruktur also weiter aus, während der Leak parallel zeigt, wie viel Technik neben der sichtbaren App dahintersteckt. Und auch, wie angreifbar das digitale Umfeld sein kann.

In Schweden ist die BankID fester Bestandteil des Alltags

Der Anbieter selbst nennt für das Jahr 2025 rund 8,7 Millionen einzigartige Nutzer. Wer in dieser Größenordnung mit Banken, Behörden und anderen Diensten kooperiert, der kann und darf einen Vorfall im eigenen Umfeld nicht einfach kleinreden. Der Verweis auf den Hack, der sich nur auf reine „Testserver” beschränkt haben soll, erscheint dann eher wie eine optisch wirkungsvolle Schadensbegrenzung.

Der Blick nach Deutschland

Auch für Deutschland ist dieser Fall sehr wichtig und zeigt, welche Probleme auf uns zukommen können. Auch die EU-Wallet kommt nicht als einzelnes Symbol auf dem Smartphone, sondern als technischer Unterbau mit der digitalen Geldbörse (Wallet), Nachweisen, Schnittstellen, Prüfstellen und einer Anbindungen an bestehende Konten und Register daher. Eben dort wird es komplex. Der sichtbare Dienst ist am Ende nur das, was die Nutzer zu sehen bekommen. Die EU-Kommission beschreibt das Vorhaben ausdrücklich als Ökosystem aus Wallets, Ausstellern und Diensten. Datenschutz und IT-Sicherheit hin oder her, bis Ende 2026 muss jeder Mitgliedstaat mindestens eine solche Wallet bereitstellen.

Auch in Deutschland entsteht somit kein einzelner Dienst, sondern eine komplette Infrastruktur bestehend aus vielen Teilen, die man sicher miteinander verknüpfen muss. Also eine Anbindung an die EUDI-Wallet, die BundID und Pläne für Anbindungen zur Verwaltung und zu externen Technikstellen. Der Bund plant die erste Stufe der staatlichen EUDI-Wallet für Anfang 2027 und testet bereits das Zusammenspiel mit der BundID. Der Fall aus Schweden zeigt aber, dass man für einen Hack keinen Treffer auf die sichtbare App oder die Infrastruktur dahinter braucht. Es reicht schon, wenn es an der richtigen Stelle irgendwo daneben kracht.

CGI Sverige & Co.: Es kommt nicht nur auf die App an

Wer die Verwaltung einer digitalen Identität aufbaut, gestaltet auch das Umfeld mit, das später kaum jemand wahrnimmt. Dazu gehören Dienstleister, Testinstanzen, ältere Anwendungen, Register, Schnittstellen und technische Übergänge. Wenn dort etwas schiefgeht, reicht das bereits für erheblichen Ärger. Ob die BankID beim Hack selbst technisch betroffen war und man diese kompromittieren konnte, bleibt offen. Der Vorfall bei CGI Sverige lag zumindest nicht im sichtbaren Dienst, sondern dahinter.

Wie allgemein bekannt, ist das nach außen sichtbare Frontend nur so gut wie das Backend. Was die Sicherheit dahinter angeht, ist mehr Schein als Sein nicht förderlich, genauso wenig wie die üblichen Ausflüchte der betreibenden Firmen.