Ein Datenleck epischen Ausmaßes in Vietnam – über 160 Millionen Datensätze von Bürgern gelangten in die Hände von Hackern. Mit der geplanten Schweizer E-ID ist das Risiko zwar geringer, doch völlig ausgeschlossen ist es nicht. Entscheidend wird sein, ob das Versprechen der Dezentralität hält – oder ob zentrale Schnittstellen am Ende doch zur Schwachstelle werden.

von Nguyen Ngoc Nhu Quynh

In diesem Monat wurden über 160 Millionen Kreditdatensätze, die beim National Credit Information Center (CIC) Vietnams, einer Einheit der Staatsbank von Vietnam, gespeichert waren, gestohlen und online für 175.000 US-Dollar zum Verkauf angeboten.

Der massive Einbruch, angeblich durchgeführt von der Hackergruppe ShinyHunters, legte die persönlichen Daten praktisch jedes vietnamesischen Bürgers über 18 Jahre offen.

Doch jenseits der Schlagzeilen über Cyberkriminalität wirft der Skandal eine tiefere, beunruhigendere Frage auf: Was passiert, wenn eine Regierung gleichzeitig die Kontrolle über die Daten ihrer Bürger verliert – und zugleich vorschlägt, diese Daten zu verkaufen?

Das vietnamesische Ministerium für öffentliche Sicherheit (MPS) hat kürzlich einen Gesetzentwurf vorgestellt, der die Einrichtung einer nationalen Datenhandelsplattform vorsieht.

Als Maßnahme zur „Freisetzung des Werts von Daten für die wirtschaftliche Entwicklung“ präsentiert, würde die Plattform den Handel mit sowohl personenbezogenen als auch nicht-personenbezogenen Daten unter bestimmten Bedingungen ermöglichen. Das Ministerium verspricht, dass individuelle Zustimmung erforderlich sei – der Mechanismus, wie diese Zustimmung sichergestellt werden soll, bleibt jedoch vage.

Gleichzeitig wurden vietnamesische Bürger, die vom CIC-Datenleck betroffen sind, nicht benachrichtigt – weder vom CIC selbst, noch von Banken, noch von staatlichen Institutionen.

Bis zum 13. September gaben einige Personen, deren Namen in im Darknet kursierenden Beispieldateien auftauchten, an, keinerlei Warnungen, Schutzmaßnahmen oder Erklärungen erhalten zu haben.

Laut Sicherheitsexperten umfasste das durchgesickerte Datenpaket unter anderem:

• Vollständige persönliche Identifikationsdaten (ID-Nummern, Pässe, Führerscheine)
• Biometrische Daten und medizinische Unterlagen
• Steueridentifikationsnummern, Einkommens- und Schuldendaten
• Kreditkarten- und Bankinformationen
• Beschäftigungs-, Bildungs- und Wohnhistorien
• Profile von Regierungs-, Polizei- und Militärangehörigen

Dies ist nicht nur ein Datenschutzproblem; es handelt sich um eine nationale Sicherheitslücke. Wenn ausländische Geheimdienste Profile vietnamesischer Regierungsbeamter und Militärangehöriger für weniger als den Preis eines Luxuswagens erwerben können, kann kein Gesetz oder Slogan den angerichteten Schaden ausgleichen.

In einer völlig realitätsfernen öffentlichen Mitteilung forderten die Polizeibehörden die Bürger auf, wachsam zu bleiben und sich „selbst vor Identitätsdiebstahl und Cyberkriminalität zu schützen“ – und schoben die Verantwortung damit den Opfern zu.

Die Ironie ist frappierend: Der Staat sammelt Daten ohne Zustimmung, versagt beim Schutz und gibt dann den Menschen die Schuld, weil sie nicht digital gebildet genug seien, sich selbst zu verteidigen.

Dieser Widerspruch ist besonders krass vor dem Hintergrund der jüngsten staatlichen Initiative für eine „digitale Bildungskampagne“. Am 13. September lobte Generalsekretär To Lam die Einführung von „Digitale Massenbildung – Digitales Parlament“ als Teil der nationalen Modernisierung Vietnams.

Gleichzeitig räumte er jedoch ein, dass die meisten Bürger – und sogar Regierungsbeamte – über keinerlei grundlegende Kenntnisse im Bereich Datenschutz oder digitale Transformation verfügen.

Der Verkauf unsicherer Daten

Der Gesetzentwurf des Ministeriums für öffentliche Sicherheit entwirft eine Zukunft, in der Daten zur Ware gemacht werden – und behauptet zugleich, nationale Sicherheit und Privatsphäre schützen zu wollen. Doch das CIC-Datenleck offenbart eine harte Wahrheit: Vietnam hat derzeit weder die technischen noch die institutionellen Kapazitäten, um dieses doppelte Mandat zu erfüllen.

General Vu Van Tan, Leiter der Abteilung für Cybersicherheit, erklärte kürzlich, Daten sollten nicht ungenutzt in Datenbanken liegen, sondern „geteilt und monetarisiert werden, um Wert für die Gesellschaft zu schaffen“.

Aber wenn der Wert von Daten höher eingeschätzt wird als das Engagement, sie zu schützen, sind Bürger keine Stakeholder mehr – sondern verletzliche Zuschauer.

Um Vertrauen wiederherzustellen, braucht Vietnam mehr als Gesetzentwürfe und Schlagworte. Es braucht:

• Eine öffentliche Entschuldigung und sofortige Benachrichtigung aller Betroffenen
• Unabhängige Aufsicht über jede künftige Datenhandelsplattform
• Strikte Haftung für staatliche und private Stellen bei Missbrauch von Daten
• Investitionen in echte Cybersicherheitsinfrastruktur statt Propaganda
• Klare rechtliche Möglichkeiten für Entschädigung der durch Datenlecks geschädigten Bürger

Am wichtigsten ist: Die vietnamesische Regierung muss anerkennen, dass Datenrechte Menschenrechte sind. Ohne Rechenschaftspflicht, Sicherheit und Einwilligung wird das Versprechen einer „digitalen Gesellschaft“ zu einer digitalen Falle.

Nguyen Ngoc Nhu Quynh, auch bekannt als „Mother Mushroom“, ist eine vietnamesische Schriftstellerin, Dissidentin und ehemalige politische Gefangene. Sie lebt derzeit im Exil in den Vereinigten Staaten und setzt sich über die von ihr mitbegründete NGO WEHEAR für Transparenz, Datenrechte und Bürgerfreiheiten in Südostasien ein.