Hotwire
Hotwire has over 20 years of igniting possibilities for tech businesses. Hear our expert views and insights from our team on the latest developments in the industry.
Was haben ein portugiesischer Geldfälscher aus den 20er Jahren und digitale Identitäten miteinander zu tun? Online-Kriminelle, die es auf die Integrität digitaler Identitäten abgesehen haben, könnten nach demselben Prinzip vorgehen wie Alves dos Reis. Dessen Falschgeld war so erfolgreich, weil er es mit echten Druckplatten herstellen ließ. Droht uns heute Vergleichbares mit digitalen Identitäten und Nachweisen im Internet?
Die Geschichte der Reihe nach: Die Betrugskarriere von Alves dos Reis begann bereits 1916 in der damaligen portugiesischen Kolonie Angola. Dort verschaffte er sich eine lukrative Stelle mithilfe eines gefälschten Diploms der Polytechnic School of Engineering in Oxford – eine Einrichtung, die gar nicht existierte. Auch wenn es um seine Ingenieurskünste vermutlich nicht zum Besten stand, entwickelte sich dos Reis zu einem Meister des Social Engineering. So konnte er den Betrug planen und vorbereiten, der ihn schließlich berühmt machen sollte. Mitte der 1920er Jahre gelang ihm der bis dahin größte Fall von Falschgeldbetrug. Er flutete Portugal mit illegal hergestellten 500-Escudo-Noten, die er in England hatte produzieren lassen. Insgesamt soll sich das produzierte Falschgeld auf etwa ein Prozent des damaligen portugiesischen Bruttoinlandsprodukts belaufen haben.
Betray smart, not hard
Neben dem schieren Ausmaß macht die Herangehensweise von dos Reis seinen Betrug besonders. Er versuchte gar nicht erst, die Sicherheitsmerkmale des Scheins zu fälschen. Stattdessen verschaffte er sich über Beziehungen, Betrügereien und kleinere Fälschungen Zugang zu den originalen Druckplatten in England. Das britische Unternehmen Waterlow and Sons stellte im Auftrag der portugiesischen Regierung deren legales Geld her und verfügte dadurch auch über Druckplatten für den 500-Escudo-Schein. Dos Reis behauptete gegenüber dem Unternehmen, es sollen nun spezielle Banknoten ausschließlich für den Umlauf in Angola hergestellt werden. Da das Geld ausschließlich in der Kolonie eingesetzt werde, könne man die Druckplatten einer früheren Notenserie wiederverwenden, alle Scheine würde man anschließend mit dem zusätzlichen Aufdruck „Angola“ versehen. Das ist freilich nie passiert und die Betrüger um dos Reis schafften die Blüten nach Portugal.
Bei Waterlow and Sons schöpfte man wegen dieses ungewöhnlichen Auftrags zunächst durchaus Verdacht – man wollte sich bei der portugiesischen Zentralbank rückversichern. Dieses Schreiben konnte dos Reis allerdings abfangen und fälschte kurzerhand ein Antwortschreiben. Somit fing die Produktion des „echten“ Falschgeldes an. Die Experten der Zentralbank bemerkten bald, dass zu viele 500er in Umlauf waren. Fälschungen konnten sie allerdings keine ausfindig machen – wie auch? Das Geld war schließlich identisch mit dem echten. Genaugenommen war es sogar zu identisch: Durch die Wiederverwendung der Druckplatten hatte jeder illegale Schein die gleiche Nummer wie sein legales Pendant. Dadurch fiel der Betrug schlussendlich auf. Wäre dos Reis etwas bescheidener vorgegangen, wären seine Machenschaften vielleicht nie ans Licht gekommen.
Die „Druckplatten“ der Identität nicht aus der Hand geben
Die Geschichte von Alves dos Reis verdeutlich eines: Es gibt mehrere Wege, an illegale Dokumente zu kommen. Man kann diese fälschen oder das echte System korrumpieren und dieses für sich arbeiten lassen. Wenn wir heute über die Sicherheit digitaler Identitäten reden, passiert das oft auf technischer Ebene. Es geht um die Sicherheit von Algorithmen und die Frage, ob sie Angriffen durch Quantencomputer standhalten können. Sicher, diese Fragen sind richtig und wichtig, allerdings darf man nicht vergessen, dass auch hier mehrere Wege zum Ziel der Kriminellen führen könnten.
Dass Hacker in nächster Zeit über Quantencomputer verfügen, scheint eher unwahrscheinlich – findige Betrüger wie dos Reis gibt es dagegen auch in der digitalen Welt. Diese werden auch Systeme der digitalen Identität nach Hintertüren absuchen und diese nutzen, sobald sich ihnen die Möglichkeit bietet. Dass diese existieren zeigten unlängst Recherchen des Chaos Computer Clubs anlässlich der Einführung des digitalen Führerscheins.
Um in der Analogie des Geldes zu bleiben: Es reicht nicht aus, nur die Sicherheitsmerkmale der Geldscheine zu stärken (was den Algorithmen hinter der digitalen Identität entspricht). Es ist ebenso wichtig, die „Druckplatten“ der Identität gegen unbefugte oder missbräuchliche Nutzung abzusichern.
Diese Problematik ist leider kein Hirngespinst, wie sich aktuell zeigt: Wer wird sich die Mühe machen, sich mit der Kryptografie hinter dem digitalen Corona-Impfzertifikat zu befassen, wenn er nur den gelben Impfpass benötigt, um ein echtes zu erhalten? Entweder wird dieser vergleichsweise einfach gefälscht oder ein Arzt ist in den Betrug involviert und stellt Nachweise aus, ohne tatsächlich zu impfen. So oder so kommen wie im Portugal der 20er Jahre „echte falsche“ oder „falsche echte“ Dokumente in Umlauf. Die eigentliche Technologie hinter dem System war nicht das Problem, in beiden Fällen war es der Zugang zum System. Hier an der Schnittstelle zwischen analog und digital, zwischen der echten Welt und dem Netz brauchen wir in Zukunft wirksame Mechanismen, die verhindern, dass ein integres digitales System mit falschen Informationen aus der analogen Welt gefüttert wird.