Unbekannte haben im Internet eine Datenbank veröffentlicht, die zentrale Personendaten von knapp 50 Millionen Bürgern der Türkei enthält. Neben Namen, Geburtsdatum, Geschlecht, dem Namen der Eltern und der Adresse der Betroffenen enthält die rund sieben Gigabyte große Datei unter anderem auch die nationale Identifikationsnummer (Kimlik-Nummer).

Die Daten wurden auf einen Server mit einer finnischen IP-Adresse hochgeladen. Offenbar ist die Veröffentlichung politisch inspiriert: Auf der Webseite warnen die Unbekannten von einem "religiösen Extremismus" und "rückwärtsgewandten Ideologien" in der Türkei unter dem Präsidenten Recep Tayyip Erdoğan. Dies hätte eine "angreifbare technische Infrastruktur" zu Folge.

Ersten Untersuchungen zufolge sind die Datensätze authentisch. Das schreiben unter anderem der britischer Sicherheitsforscher Carl Gottlieb und der Datenjournalist Sebastian Mondial, der auch für die ZEIT arbeitet. Sie haben sich die Datei angesehen.

Es wird vermutet, dass die Datenbank personenbezogene Daten aus dem Zeitraum zwischen 2008 und 2009 enthält und möglicherweise aus dem Einwohnerverwaltungssystem Mernis stammt. Sie könnte im Umfeld der Kommunalwahlen im Jahr 2009 entwendet worden sein. Die Zahl von knapp 50 Millionen Personen stimmt jedenfalls in etwa mit der Anzahl der zu diesem Zeitpunkt registrierten Wähler in der Türkei überein. Der Softwareentwickler Eren Türkay schreibt auf Twitter, das Register enthalte noch die alten Adressen für türkische Bürger, die nach September 2008 umgezogen sind.

Ein älterer Hack, neu zugänglich gemacht

Türkay schreibt ebenfalls, dass die geleakten Daten bereits länger verschlüsselt im Internet kursierten und sogar zum Verkauf standen, aber bislang nicht im Klartext lesbar waren. Mitte Februar gab es bereits eine Veröffentlichung einer großen Datenbank, die angeblich von der türkischen Polizei stammen sollte. Wie Türkay schreibt, handele es sich dabei um die gleiche Datenbank, die Herkunft sei allerdings  falsch angegeben gewesen. Auch die türkische Aktivistin Isik Mater sagt, es sei die entschlüsselte Version des älteren Leaks.

Doch auch wenn der Leak nicht neu ist und die Datenbank viele Informationen enthält, die auch im öffentlichen Telefonbuch stehen, kann sie missbraucht werden. Experten gehen davon aus, dass insbesondere mit den Kimlik-Nummern Betrügereien zu Lasten der Einwohner ermöglicht werden, da sie für einen Identitätsdiebstahl missbraucht werden können. Adressdaten könnten zudem für Spammer oder Stalker interessant sein.

Der Fall zeigt zudem, dass entwendete Daten auch nach vielen Jahren plötzlich noch veröffentlicht werden können oder Sicherheitsmaßnahmen wie Passwörter oder Verschlüsselung früher oder später geknackt werden. Datenbanken, die heute mutmaßlich sicher sind, könnten das in einigen Jahren nicht mehr sein.