Die wichtigsten Punkte
- Bei einer Datenschutzverletzung bei der französischen Behörde ANTS wurden jüngst die personenbezogenen Daten von fast 12 Millionen französischen Bürgern offengelegt.
- Europa ist führend bei der Cybersicherheitsgesetzgebung, bei der Anwendung der DMARC-Ablehnungsrichtlinie durch Domains des öffentlichen Sektors zeigt sich jedoch ein uneinheitliches Bild.
- Mangelnde Durchsetzung kann dazu führen, dass Regierungsdomains über die gleichen E-Mail-Kanäle nachgeahmt werden, die auch für Benachrichtigungen nach einer Sicherheitsverletzung genutzt werden.
Die Agence Nationale des Titres Sécurisés (ANTS), seit 2024 bekannt als France Titres, ist für die Ausstellung und Verwaltung wichtiger amtlicher Dokumente wie Reisepässe, Personalausweise und Führerscheine zuständig.
Am 15. April 2026 wurde ein gezielter Cyberangriff auf die ANTS entdeckt. Laut Presseberichten könnten fast 12 Millionen Bürger betroffen sein, deren personenbezogene Daten wie Namen, E-Mail-Adressen und Geburtsdaten aus privaten und geschäftlichen Konten gestohlen wurden.
Seitdem hat sich die Situation schnell entwickelt. Ein mutmaßlicher Angreifer wurde Berichten zufolge identifiziert und festgenommen. Als Vorsichtsmaßnahme wurde das ANTS-Portal kurzzeitig offline genommen und nach Sicherheitsupdates wieder geöffnet. Der französische Premierminister kündigte kürzlich einen nationalen Plan an, um die Resilienz der Cybersicherheit der öffentlichen Dienste zu stärken.
Die erste Reaktion erfolgte zügig, kontrolliert und entsprach den bewährten Methoden der Krisenkommunikation. Die öffentliche Bekanntgabe erfolgte fünf Tage nach der Feststellung des Zwischenfalls. Ironischerweise wurden die Betroffenen per nicht authentifizierter E-Mail benachrichtigt,
die no-reply[@]comm.ants.gouv.fr als Absenderadresse verwendete. Die Public-DNS-Analyse von ants.gouv.fr zum Zeitpunkt der Veröffentlichung zeigte einen DMARC-Eintrag im Überwachungsmodus: v=DMARC1; p=none; adkim=r; aspf=r; sp=none.
Mit anderen Worten: Die Benachrichtigungen wurden über denselben Kanal versendet, den ein Angreifer nutzen würde, um die kompromittierten Daten auszunutzen.
Von der Datenschutzverletzung zur Phishing-Kampagne: eine vorhersehbare Kette
In der heutigen Bedrohungslandschaft ist eine Datenschutzverletzung selten das Endziel. Vielmehr ist sie oft der Ausgangspunkt für Folgeangriffe, deren Ausmaß schnell anwachsen kann. Im Falle von ANTS warnten die Behörden die Anwender, wachsam gegenüber verdächtigen Nachrichten zu sein, vor allem bei E-Mails, die scheinbar von ANTS stammen.
Dasselbe Muster wiederholt sich immer wieder:
- Die Zielauswahl erfolgt anhand der gestohlenen Daten.
- Personenbezogene Daten machen den Köder glaubwürdiger.
- Vertraute Institutionen werden nachgeahmt.
- Der Angriff erfolgt über eine E-Mail.
Die Forschung von Proofpoint zeigt konsequent, dass E-Mail der primäre Bedrohungsvektor und ein dominanter Einstiegspunkt für Cyberangriffe bleibt.
Bei Zwischenfällen wie der ANTS-Datenschutzverletzung müssen Angreifer nicht raten. Sie haben bereits:
- verifizierte Identitäten
- kontextbezogene Relevanz
- eine vertraute Institution zur Nachahmung
Ihre Erfolgsquote hängt davon ab, wie überzeugend ihre nachfolgenden E-Mails wirken.
In weiten Teilen Europas können diese E-Mails ziemlich schwer zu erkennen sein, weil Behördenmitteilungen oft von Natur aus leicht zu fälschen sind. Während Länder wie Dänemark und Großbritannien begonnen haben, DMARC-Ablehnungsrichtlinien für Regierungsdomains durchzusetzen, verlassen sich viele europäische Staaten weiterhin auf Empfehlungen statt auf Vorschriften. Weil eine einheitliche Vorgehensweise fehlt, lässt sich Vertrauen in Institutionen technisch nicht durchsetzen.
DMARC: Die Schutzmaßnahme, die immer noch nicht durchgesetzt wird
E-Mail-Authentifizierungsstandards (SPF, DKIM und DMARC) sind nichts Neues. DMARC ermöglicht es Domaininhabern, den empfangenden Systemen mitzuteilen, dass sie jede Nachricht ablehnen sollen, die den erforderlichen Prüfungen nicht standhält.
Dennoch mangelt es nicht an der Sensibilisierung, sondern an der strikten Durchsetzung. Im öffentlichen Sektor laufen viele Domains immer noch im Überwachungsmodus, wodurch Nachahmer leichtes Spiel haben. Eine Domain ohne strikte DMARC-Durchsetzung weist die empfangenden E-Mail-Systeme nicht an, Nachrichten abzulehnen, die die DMARC-Prüfungen nicht bestehen. Dadurch wird Identitätsnachahmung erleichtert.
Europas Cyberparadoxon: strikte Regulierung, schwache Umsetzung
Der ANTS-Datenschutzverletzung weist auf ein größeres Vertrauensproblem hin, das die digitale Kommunikation des öffentlichen Sektors betrifft: Wenn die E-Mail-Authentifizierung nicht durchgesetzt wird, wird von den Bürgern erwartet, einem Kanal zu vertrauen, den Angreifer nachahmen können.
Europa hat einige der fortschrittlichsten Gesetzgebungen der Welt geschaffen, darunter:
- DSGVO
- NIS2
- DORA
Nach Vorfällen wie der ANTS-Sicherheitsverletzung verstärken Regierungen nun ihre Maßnahmen. Frankreich hat kürzlich eine nationale Cybersicherheitsstrategie angekündigt, die darauf abzielt, die Verteidigung des öffentlichen Sektors zu stärken.
Alle diese Regularien leiden jedoch unter derselben strukturellen Einschränkung: Sie regeln die Verantwortung und lassen die technische Umsetzung außen vor. Angreifer nutzen nicht die Regelwerke aus, sondern die Lücken in deren Umsetzung.
Der ANTS-Datenschutzverletzung selbst zeigt den Widerspruch deutlich:
- Behörden benachrichtigen die Opfer per E-Mail.
- Behörden warnen vor Phishing unter Verwendung ihrer Identität.
- Aber die technischen Kontrollmaßnahmen, die Nachahmungsversuche erheblich erschweren würden, werden nicht konsequent durchgesetzt.
ANTS: Eine Paradebeispiel über strukturelle Exposition
Die offizielle Mitteilung des französischen Innenministeriums bestätigt mehrere Punkte:
- Personenbezogene Daten wurden offengelegt.
- Die Behörden begannen damit, betroffene Anwender zu benachrichtigen.
- Die Anwender wurden ausdrücklich auf Phishing-Risiken hingewiesen.
- Von den Anwendern wurden keine unmittelbaren Maßnahmen verlangt.
Das schafft ein auffälliges Paradoxon: Die gleiche Institution, die vor Phishing warnt, verlässt sich auf einen Kanal, der mittels gestohlener Daten nachgeahmt werden kann. Für die meisten Anwender gibt es keinen offensichtlichen Weg, um festzustellen, ob eine erhaltene Nachricht legitim oder gefälscht ist.
Ein globaler Blick auf eine wachsende Kluft
In anderen Regionen der Welt handeln die Behörden konsequenter. In den USA sind Bundesbehörden dazu verpflichtet, E-Mail-Authentifizierungsrichtlinien (einschließlich DMARC) nicht nur zu überwachen, sondern auch durchzusetzen. Der Unterschied zeigt sich in der Praxis:
- In den USA ist es zunehmend schwierig, eine Regierungsdomain nachzuahmen.
- In Europa bleibt es technisch oft möglich.
Es ist also keine Frage der Fähigkeit, sondern der Prioritätensetzung. Während Europa bei der Regulierung führend ist, hapert es bei der Durchsetzung in den einzelnen Ländern.
Die Proofpoint-Perspektive: Wenn Sie nachgeahmt werden können, ist Ihr Vertrauen in Gefahr
Bedrohungsakteure konzentrieren sich nicht mehr hauptsächlich auf das Eindringen in Systeme. Zunehmend ist der Mensch selbst das Ziel.
- Social Engineering ersetzt Malware
- Identität ist der neue Perimeter
- E-Mail bleibt der primäre Angriffsvektor
Die Konsequenz ist gleichsam einfach wie unangenehm: Aus Vertrauenssicht muss ein Angreifer, der Sie nachahmen kann, möglicherweise gar nicht in Ihr System eindringen.
Die nächste Phase hat bereits begonnen
Das Datenschutzrisiko bei der ANTS ist noch nicht gebannt. Selbst nach der Identifizierung und Festnahme des möglichen Angreifers, der vorübergehenden Systemabschaltung und der Wiederinbetriebnahme der Plattformen nach Sicherheitsupdates bleibt das grundlegende Problem bestehen: Die Daten sind bereits in der Welt.
Das bedeutet, die Ziele sind bekannt, und es wird sicherlich noch weitere Entwicklungen geben. Strategische Maßnahmen – seien sie operativer, juristischer oder politischer Natur – werden die durch die Nachahmung entstandene Gelegenheit für Angreifer nicht ausräumen.
Die einzige verbleibende Frage ist, ob im Namen europäischer Institutionen versendete nachgeahmte Nachrichten als solche gekennzeichnet oder zugestellt werden. In weiten Teilen Europas lässt sich darauf keine zuverlässige Antwort geben – und Ungewissheit ist genau das, worauf Angreifer setzen.
Schützen Sie das Vertrauen in jede Nachricht. Erfahren Sie, wie Proofpoint Organisationen dabei unterstützt, DMARC durchzusetzen, sich gegen Domain-Spoofing zu verteidigen und E-Mail-basierte Nachahmungen zu stoppen, bevor sie die Anwender erreichen.