Autor: Denis Tahiri
Wie ein Virus wurden in den letzten drei Tagen persönliche Daten überall verbreitet, was die Sicherheit der Institutionen in Frage stellt, die für deren Gewährleistung verantwortlich sind. Der Skandal begann mit der Veröffentlichung der Liste vom Januar 2021. Sie betraf rund 637,138 Bürger. Veröffentlicht wurden deren eindeutiger Identifikationscode, Name, Nachname, Arbeitsort, Gehalt, Anzahl der gemeldeten Jobs (Vollzeit oder Teilzeit) sowie der Name des Unternehmens, bei dem sie arbeiten. Am zweiten Tag wiederholte sich der Skandal mit der Veröffentlichung einer weiteren Liste mit den April-Gehältern, wobei die Excel-Liste 60 Namen mehr enthielt als die erste Liste. Inmitten von Anschuldigungen und Gegenanschuldigungen war der dritte Tag ein weiterer Schlag für über 530 Bürger, deren Vor- und Nachnamen sowie die Identitätsnummern nicht nur veröffentlicht wurden, sondern auch die Nummernschilder ihrer Fahrzeuge und Autos.
Institutionen, die sich der Verantwortung entziehen
Die Nationale Informationsagentur, das Institut für soziale Sicherheit und die Generaldirektion für Steuern stehen wegen Amtsmissbrauchs unter Beobachtung der Staatsanwaltschaft, doch alle drei entziehen sich der Verantwortung. Mitarbeiter dieser Einrichtungen werden stundenlang von Kriminalpolizisten verhört, obwohl jeder von ihnen Quellen zufolge auf seinen Pflichten und Verantwortlichkeiten beharrt und Schuldzuweisungen von sich weist. Der Ausbruch des Skandals erfolgte, bevor eine andere Akte über die Schirmherrschaft der Nazis abgeschlossen wurde. Darin waren die Namen von fast einer Million Bürgern auf einer ausführlichen Liste zu finden, auf der neben dem Personalausweis auch die politische Zugehörigkeit des überwachten Bürgers von einer Aufsichtsperson angegeben wurde. Damals gab die Sonderstaatsanwaltschaft für Korruption und organisierte Kriminalität bekannt, dass sie umgehend Ermittlungen eingeleitet habe, da der Verdacht auf Korruption bei den Wahlen aufkam. Doch abgesehen von der Befragung von Medienvertretern vermied SPAK es, die Parteivertreter zu kontaktieren, die von jedem Journalisten als Quelle der in der Liste der „Patronageisten“ veröffentlichten Daten genannt wurden. Für SPAK war die Verwaltungsuntersuchung des Kommissars ausreichend.
In der Entscheidung über die Unzuständigkeit, die „SINJALIZO“ vorliegt, heißt es, dass der von Staatsanwältin Enkeleda Millonai unterzeichnete Fall der „Patronageisten“ am 30. September an die reguläre Staatsanwaltschaft weitergeleitet wurde. Das Fazit der Untersuchungen ist, dass es zu einem Datenmissbrauch durch interne Mitarbeiter gekommen ist.
Die bisherigen Beweismittel stützen den Verdacht, dass Mitarbeiter mit Zugriff auf die staatliche Datenbank die ihnen durch den gesetzlichen Rahmen zugestandenen Berechtigungen missbraucht und durch Verletzung von Sicherheitsmaßnahmen ihre Zugriffsberechtigung auf ein Computersystem oder Teile davon überschritten haben. Aus diesem Grund wird eine Änderung der rechtlichen Einstufung der Straftat, die dem Strafverfahren zugrunde liegt, insbesondere von Artikel 328 des Strafgesetzbuches, für erforderlich gehalten. Dies steht im Entnahmebescheid der Sonderstaatsanwaltschaft.
Alle machten die Institutionen für verantwortlich, aber es gab keine Reaktion.
Parallel zur SPAK-Untersuchung führte auch der Beauftragte für das Recht auf Information und den Schutz personenbezogener Daten eine Verwaltungsuntersuchung durch, ohne jedoch feststellen zu können, woher die Daten stammen könnten. In einer am 19. August 2021 veröffentlichten Entscheidung wird hervorgehoben, welche Parteien an dieser Untersuchung beteiligt waren und welche Maßnahmen gegen sie ergriffen wurden, darunter Empfehlungen und Geldbußen. Die Suche nach einem Täter hinsichtlich der Straftat im Sinne der Gesetzesverletzung durch die KPDI dauerte jedoch noch an.
Obwohl die Veröffentlichung der Daten auf der Liste der „Patronageisten“ von zahlreichen Experten als Verstoß gegen die nationale Sicherheit angesehen wurde, wurde bislang niemand vor Gericht zur Verantwortung gezogen. Der Beauftragte für das Recht auf Information und den Schutz personenbezogener Daten betonte wenige Stunden nach der Veröffentlichung der Datenbank mit der Liste der Gehälter und Institutionen, bei denen sie arbeiten, sowie der von ihnen innegehabten Positionen und den persönlichen Identifikationsnummern von 637 Albanern, dass er offiziell erklärt habe, eine Verwaltungsuntersuchung eingeleitet zu haben.
"Das Büro des Datenschutzbeauftragten hat mit der Sicherung dieser Datenbank und der Ermittlung potenzieller Verstöße begonnen, um seiner gesetzlichen Verpflichtung nachzukommen und die notwendigen Schritte für eine (aus eigener Initiative) durchgeführte Verwaltungsuntersuchung dieser Angelegenheit einzuleiten.“, heißt es in der offiziellen Mitteilung des Kommissars.
Der Kommissar betonte jedoch öffentlich gegenüber der Open-Show, dass diese Ereignisse überall auf der Welt stattfinden, und fügte sogar hinzu: „„Sie haben wahrscheinlich von Cambridge Analytica gehört, einem der größten globalen Skandale, bei dem es um den Missbrauch und die illegale Verarbeitung personenbezogener Daten amerikanischer und europäischer Bürger ging.“. Trotz des vom Beamten angeführten Beispiels erinnerten ihn die Gäste daran, dass es im Fall Cambridge Analytica um die Verletzung eines privaten Vertrags (Facebook-Skandal) gehe und nicht um das Abfließen von Daten aus staatlichen Datenbanken.
Andererseits entschuldigte sich der Premierminister nur wenige Stunden später live bei den albanischen Bürgern für die Veröffentlichung ihrer Daten und erklärte Journalisten, dass es keinen Rücktritt geben werde. Eine weitere Datenbank wurde veröffentlicht, die nicht nur die Gehälter für April, sondern auch Telefonnummern, Vaterschaftsdaten und alle anderen Daten enthielt, die in der ersten Datenbank enthalten waren.
Und während sich der Skandal zu einer Meme-Kampagne entwickelt, bei der die Mehrheit der Bürger die tatsächliche Gefahr, der sie ausgesetzt sind, nicht versteht, liegt die Aufgabe weiterhin bei der Staatsanwaltschaft von Tirana, die Ermittlungen eingeleitet hat. Quellen aus dem ACQJ weisen darauf hin, dass es aufgrund fehlender Kapazitäten im Bereich der Cybersicherheit nahezu unmöglich sei, die Personen zu finden, die die Rücknahme dieser Informationen ermöglicht haben. Die große Frage, die sich Experten auf diesem Gebiet nun stellen, ist, ob es noch weitere persönliche Daten der Verdächtigen gibt, die sie nicht veröffentlicht haben.
Was riskieren wir?
Die veröffentlichte Liste umfasst Schlüsselpositionen, angefangen beim Verteidigungsministerium, dem Innenministerium, dem Innenministerium, der Armee und vielen besonders wichtigen Institutionen, in denen die Sicherheit des Landes praktisch gefährdet ist. Experten auf diesem Gebiet erklären gegenüber ACQJ, dass die nationale Sicherheit gefährdet sei.
Professor. Weder. Ervin Karamuço, Professor an der juristischen Fakultät, sagt, dass es sich um einen schwerwiegenden Verstoß handele, da bei der Veröffentlichung personenbezogener Daten auch die Daten von Privatpersonen veröffentlicht würden, und zwar nicht nur von Persönlichkeiten des öffentlichen Lebens, deren personenbezogene Daten oft aufgrund der Offenlegung von Vermögenswerten öffentlich seien. Auch hier stelle die unbefugte Veröffentlichung einen Verstoß dar.
"„Das Problem ist nicht nur die Tatsache, dass die Daten veröffentlicht wurden, sondern dass jeder, der Zugriff auf diese Daten hat, diese Daten manipulieren kann“, sagt der Professor und bringt auch ein konkretes Beispiel, bei dem sich Bürger geweigert hätten, dem Staat ihre Daten zur Verfügung zu stellen. „Aus diesem Grund weigerten sich die Bürger Großbritanniens, ihre biometrischen Daten preiszugeben. Sie sagten, dass in besonderen Fällen ein Hackerangriff unsere Spuren an bestimmten Orten hinterlassen könnte und wir dadurch eine gewisse Verantwortung tragen könnten usw.“ er addiert.
Sogar der ehemalige Chef des staatlichen Geheimdienstes, Fatos Klosi, betrachtet die Veröffentlichung dieser Daten als eine Verletzung der nationalen Sicherheit, während er hinsichtlich der Gefahr einer Identifizierung von SHISH-Beamten sagt, dass es sich ohnehin um gefährdete Personen handele. "Für diejenigen, die mit Kriminalität und Terrorismus in Konflikt geraten, ist das nicht gut. In Kleinstädten werden sie im Voraus identifiziert, die Personen, die jeden Morgen die SHIK-Büros betreten und verlassen, sind bekannt. Jeder Interessierte kann sich informieren, die Anonymität besteht nicht, die Mitarbeiter sind anonym usw.", sagt er und fügt hinzu, dass es wichtig sei, dass "Die Informanten wurden nicht identifiziert, selbst bei SHIK sind es nur die Leute, die Verbindungen haben, sogar der Direktor von SHIK kennt sie, er kennt sie nur unter Pseudonymen.
Fabian Zhilla, Sicherheitsexperte und Dozent am Canadian Institute of Technology, sagt, dass die mit diesen Daten verbundenen Probleme auf mehreren Ebenen liegen.
„Mit diesen Daten sind zwei Probleme verbunden: Sie enthalten Bankdaten, Arbeitszeiten und Arbeitsort. Bankdaten können nicht nur für Käufe und Verkäufe verwendet werden, sondern auch, um Bankguthaben zu stehlen, Kredite für morgen zu beantragen und vieles mehr.“ sagt er und fügt hinzu, dass dieses Problem bei bestimmten Themen so weit gehen könne, dass die nationale Sicherheit gefährdet werde.
"Der andere, problematischere Aspekt ist die Erpressung, die über Bankdaten möglich ist. Es kann auch zur Erpressung verwendet werden, da es auch sehr wichtig ist, gegen wen das Subjekt erpresst wird. „Wenn wir über Beamte auf Ebenen sprechen, die mit der nationalen Sicherheit in Zusammenhang stehen, dann wirft dies weitere Probleme auf, die über die persönliche Ebene hinausgehen, aber die nationale Sicherheit betreffen.“ er kommt zu dem Schluss.
Experten zeigen mit dem Finger auf AKSHI, die Staatsanwaltschaft ermittelt Steuern
Erst wenige Stunden nach Bekanntwerden des Skandals nahm die Staatsanwaltschaft in Tirana Ermittlungen auf. Quellen aus der Staatsanwaltschaft Tirana sagten, dass die Steuerdirektion derzeit im Mittelpunkt der Ermittlungen stehe, da es sich bei den veröffentlichten Daten um Daten handele, die in direktem Zusammenhang mit dieser Institution stünden. Sollte sich herausstellen, dass diese von Steuerservern stammten, würden diese Server beschlagnahmt und einer Begutachtung unterzogen, um festzustellen, wer die Person war, die diese Daten entnommen hat. Die Staatsanwaltschaft weist jedoch den Verdacht zurück, dass es sich bei der ersten Person, die auf das System zugegriffen und die Daten von dort in Excel heruntergeladen hat, um einen Mitarbeiter der Steuerbehörde handelt, dessen Name öffentlich gemacht wurde. "Es ist sicher, dass diese verbreiteten Informationen von internen Mitarbeitern stammen und das System nicht gehackt wurde.", sagt ein Experte für Cybercrime-Ermittlungen bei der Staatspolizei gegenüber ACQJ unter der Bedingung der Anonymität.
Doch für den IT-Experten Gentian Prognin ist die Institution, von der diese Daten stammen, AKSHI. Das Hauptproblem besteht darin, dass alles in AKSHI gesammelt wird. Das bedeutet, dass die IT eines Ministeriums in AKSHI zertifiziert ist, um ihre Arbeit aufzunehmen, und gleichzeitig alle Daten in AKSHI gesammelt werden. Die erste Institution, die gescheitert ist, ist AKSHI, und ich weiß nicht, worauf all die AKSHI-Führungskräfte warten, um zurückzutreten, da diese Daten nur in AKSHI gesammelt werden. sagt er und fügt hinzu, dass es sich dabei um Informationen handele, die von innen kämen. Auf die Frage, ob diese Daten aus der Steuererklärung stammen könnten, meinte er, das sei unmöglich.
"Niemand darf wissen, dass Gentian Progni mit dieser ID und diesem Nipt an dieser Einrichtung arbeitet. Dies sind Daten, die im AKSHI erhoben werden. Es besteht keine Möglichkeit, dass diese Daten aus der Steuerbehörde stammen. Sogar Steuern haben ihre eigenen AKSHI-Server. Wenn sie also vom Steuerserver stammen, gehen wir davon aus, dass in der Datenbank eine Abfrage generiert wurde, dass Massendaten generiert wurden, und wenn eine Massengenerierung erfolgt, geht eine Benachrichtigung an das AKSHI. Es ist unmöglich, dass die ANA nicht weiß, wann solche Daten erfasst werden. Die einzigen Orte, an denen diese Daten zu finden sind, sind AKSHI und e-ALBANIA", er kommt zu dem Schluss.
Ein anderer Sicherheitsexperte meint hingegen, dass diese Daten fragmentiert sein müssten und es erschreckend sei, dass bei einer solchen Datenbank der einem Mitarbeiter gewährte Zugriff so groß sei, dass er große Datenmengen abrufen könne.
Experten: Alle staatlichen Datenbanken in unbekannten Händen
Nachdem zum zweiten Mal die persönlichen Daten Tausender Bürger veröffentlicht wurden, müssen laut IT-Experten dringend die Algorithmen zur Generierung persönlicher Identifikationsnummern geändert werden, da die Wahrscheinlichkeit groß ist, dass dieser Algorithmus manipuliert werden könnte.
"Der Algorithmus, der die ID-Daten generiert, ist ein hochsicherer Algorithmus. Die Generierung dieses Algorithmus aus den durchgesickerten Daten ist kompromittiert, da jeder mit einem guten Computersystem entschlüsseln kann, wie diese Berechnung durchgeführt wird. „Es reicht also aus, dass von drei Millionen Einwohnern ein Prozent der Daten korrekt sind und der Algorithmus gefunden wurde. Wir müssen nicht mehr als ein Prozent der Daten preisgeben, weil sie fast ein Drittel unserer Daten gestohlen haben.“ sagt Gentian Progni und fügt hinzu: Cyber-Schutz und Cybersicherheit in Albanien liegen bei 0. E-Albania ist wie Facebook ohne Passwörter geworden: Man gibt seinen Namen ein und die Daten kommen heraus. Soweit ich weiß, ist die gesamte staatliche Datenbank in den Händen von irgendjemandem. Die Datenbank wurde kompromittiert, von Strafregistern über Grundbucheinträge bis hin zu Immobilien, einfach alles.
Rechtsprofessor Karamuço betrachtet die Cybersicherheit Albaniens als nationalen Notfall. „Ich habe mit Cybercrime-Spezialisten im Verteidigungs- und im Innenministerium gesprochen, und sie sagten mir, wir wollen das Gehalt des privaten Sektors, und dies wurde der Regierung nur aus diesem Grund vorgeschlagen, weil es einen nationalen Notstand gibt. Datendiebstahl und Datenangriffe sind ein nationaler Notstand, und diese Geschichte musste ans Licht kommen, damit wir verstehen, wie fragil dieses System ist.“ er kommt zu dem Schluss.
Für Gentian Prognin ist es unterdessen sehr schwierig, die Situation unter Kontrolle zu bekommen, da die Kosten sehr hoch sind. "Dies auf den richtigen Weg zu bringen, ist sehr schwierig, da die Kosten enorm sind. Der Vertrag mit der Firma ALEAT muss gekündigt werden und es müssen neue Verträge unterzeichnet werden, um den Generierungscode anders wiederherzustellen. Alle AKSHI-Server müssen zerstört und von Grund auf neu aufgebaut werden. e-Albania muss von Grund auf neu aufgebaut werden. Eine ausländische Firma muss beauftragt werden, Penetrationstests am System durchzuführen. Es gibt viel Arbeit und hohe Kosten. er kommt zu dem Schluss.
Und während die persönlichen Daten der Albaner nun in den Händen jedes Bürgers sind, besteht die größte Tragödie darin, dass nichts unternommen wurde, um die weitere Verbreitung dieser Daten und ihren Missbrauch zu stoppen.
