1. Warum sind Apps wie AliExpress plötzlich für Beamte verboten?
Dieses Verbot ist nicht neu, sondern wurde bereits im März von Staatssekretär Van Huffelen (Digitalisierung) angekündigt. Damals wurde nur TikTok erwähnt, jetzt laut NOS Auch die Marktplatz-App AliExpress, der Messaging-Dienst WeChat und die soziale Plattform VKontakte stehen auf der Liste. Apps aus Ländern – insbesondere China und Russland, aber auch Nordkorea und Iran –, die in den Niederlanden häufig Spionage betreiben. Die Motivation für ihr Verbot ergibt sich aus einer Risikoanalyse des AIVD-Sicherheitsdienstes. Die Begründung für diesen Dienst lautet wie folgt: Die genannten Apps speichern alle Arten privater Daten, genau wie westliche Apps. Die Regierungen Chinas und Russlands können legal darauf zugreifen und da diese Daten auch zum Spionieren nützlich sein können – sie verraten, wer wo in den Niederlanden arbeitet – ist das Risiko zu groß, um die Apps zuzulassen.
2. Gibt es stichhaltige Beweise für diese Argumentation?
Die kurze Antwort: Nein. Der Staatssekretär selbst spricht daher von einer „begrenzten Wirkung“. Vielmehr handelt es sich um eine Summe von Risiken. „Ein Signal für die Bühne“, sagt Liesbeth Holterman, strategische Beraterin von Cyberveilig Nederland. „Die Chance, dass China Daten von AliExpress nutzt, um die niederländische Regierung auszuspionieren, erscheint mir ziemlich unwahrscheinlich.“
3. Was macht die Apps zu einem so attraktiven Ziel für Geheimdienste?
Es sind nicht so sehr die Apps selbst wie TikTok, die eine direkte Spionagegefahr darstellen, sondern die darin gespeicherten Daten. Geheimdienste sind ständig auf der Suche nach großen Datenströmen. Dabei interessieren sie vor allem die Metadaten: Wer ruft wen an, von wo und wie oft. Diese Daten können sie dann nutzen, um gezielt jemanden zu hacken oder Zugriff zu erzwingen. Holterman: „In dieser Hinsicht sind Facebook und Instagram, die in den Niederlanden sehr beliebt sind, viel logischere Ziele für Geheimdienste.“ Darüber hinaus gibt es bessere Möglichkeiten für Geheimdienste, an Daten zu gelangen.
4. Wie gelangen Geheimdienste an personenbezogene Daten?
Aufgrund des zunehmenden Einsatzes von Technologie, des Austauschs und der Übertragung von Daten sowie der Allgegenwärtigkeit sozialer Medien ist es für Geheimdienste ein Kinderspiel, an personenbezogene Daten zu gelangen. Große Social-Media-Unternehmen wie Twitter und LinkedIn mussten sich mit Datenschutzverletzungen auseinandersetzen. Im Dark Web werden riesige Dateien mit privaten Daten angeboten, die auch dem niederländischen AIVD in die Hände fallen. Kriminelle Hacker, die Unternehmen erpressen, veröffentlichen zudem fortlaufend interne Daten, um den Druck auf diese Unternehmen weiter zu erhöhen. Dort finden sich auch allerlei sensible personenbezogene Daten. Derzeit wurde der weit verbreitete Softwareanbieter MOVEit Transfer von einer russischen Ransomware-Gruppe gehackt. Die Kriminellen haben Daten gestohlen, darunter Daten des Softwareanbieters Wolters Kluwer, des Reiseunternehmens BCD Travel, des Ferienparks Landal, des Ölkonzerns Shell und des Netzbetreibers Tennet. „Jeder in den Niederlanden muss davon ausgehen, dass seine Daten geleakt wurden oder dass dies passieren wird“, warnte die niederländische Datenschutzbehörde im vergangenen Juni.
5. Wenn alle Geheimdienste Zugang zu personenbezogenen Daten suchen, warum verweisen die Niederlande dann hauptsächlich auf China und Russland?
Auch das ist eine Risikobewertung. Es ist bekannt, dass insbesondere China gigantische Mittel zur Spionage im Westen einsetzt. Schätzungsweise 300.000 Hacker der chinesischen Regierung suchen im Ausland nach geistigem Eigentum. China schreckt davor nicht zurück. Der AIVD und der MIVD warnten 2022, dass China in den Niederlanden mit der „groß angelegten Erhebung personenbezogener Daten“ beschäftigt sei. Der chinesische Staat bezieht diese Daten aus Social-Media-Profilen, Hacker aus dem Land dringen aber auch in Hotelketten, Telekommunikationsunternehmen und sogar medizinische Einrichtungen ein.
6. Warum also ein Verbot für AliExpress?
Das Verbot lässt sich leicht durchsetzen: Beamte benötigen die Apps für ihre Arbeit nicht. Sein Einsatz wird sehr begrenzt sein. Holterman: „Es ist klüger, ein leeres Telefon nach China zu bringen, als die AliExpress-App in den Niederlanden zu verbieten.“ Es liegt wahrscheinlich am Signal: Seien Sie vorsichtig mit privaten Daten und dem Telefon. Holterman: „Es ist ein hervorragendes Mittel, um Beamte zu sensibilisieren: Andere Staaten interessieren sich für die Absichten der niederländischen Regierung.“
7. Wie einfach ist das Verbot durchzusetzen?
Letztlich will die nationale Regierung zu sogenannten „Managed Devices“ übergehen, was bedeutet, dass Arbeitstelefone verwaltet werden. Beamte dürfen dann nur noch Apps installieren, die erlaubt sind. Dies ist vergleichbar mit dem Umgang der Zentralregierung mit Business-Laptops.