Ingen kender omfanget af svindel med NemID: 'Det kan simpelthen ikke passe'

De ansvarlige myndigheder skal fremlægge tal for NemID-svindel, mener V, DF og SF.

- Uden tvivl er det et kriminalitetsområde, som har i været i stigning de seneste mange år, udtaler vicepolitiinspektør om misbrug af NemID.

Flere partier kræver nu, at de ansvarlige myndigheder får overblik over, hvor ofte NemID bliver misbrugt.

Hverken Nets, der leverer NemID, eller Digitaliseringsstyrelsen, der har ansvaret for NemID, har samlede tal for, hvor ofte løsningen misbruges.

- Det er ikke hos os, de efterspurgte tal ligger, da det drejer sig om politisager, lyder det i et skriftligt svaret fra Digitaliseringsstyrelsen

Men heller ikke politiets nye landsdækkende center for it-relateret økonomisk kriminalitet (LCIK) ligger inde med eksakte tal. Det oplyser fungerende vicepolitiinspektør Roland Klein, der dog fastslår, at misbruget er i vækst.

- Uden tvivl er det et kriminalitetsområde, som har været i stigning de seneste mange år, siger Roland Klein.

Finans Danmark, som er bankernes brancheorganisation, fører statistik på omfanget af netbanksvindel.

Tallene viser, at der sidste år blev registreret 1.452 forsøg på netbanksvindel. Størstedelen af dem involverer NemID-svindel, vurderer Finans Danmark, men den præcise andel er der ikke tal på.

Og bankerne har ingen tal på omfanget af NemID-misbrug, som ikke omhandler netbanksvindel, men som for eksempel omhandler køb af varer eller optagelse af forbrugslån eller hurtiglån hos andre kreditinstitutter.

Tal frem i lyset

Politikernes krav om et bedre overblik over misbruget med NemID kommer dels ovenpå DRs afdækning de seneste dage af et sikkerhedshul i NemID-systemet, som en førende it-ekspert kalder helt nyt. Og dels efter adskillige historier om misbrug med NemID de seneste år.

- Det kan simpelthen ikke passe. Vi må have frem i lyset, hvor meget det her sker, og det nytter ikke noget at henvise til politiet, for det er jo kun toppen af isbjerget, siger Peter Skaarup, retsordfører for Dansk Folkeparti og fortsætter:

- Vi er nødt til at vide, hvor ofte det sker. Jeg vil bede ministeren sørge for, at den ansvarlige myndighed fremlægger det.

Preben Bang Henriksen (V), formand for Folketingets Retsudvalg, er enig:

- I første omgang vil jeg stille spørgsmål til finansministeren og måske også justitsministeren for at finde ud af omfanget af det konstaterede misbrug med NemID.

- Vi skal have alt det her svindel lagt for dagen. Vi er som politikere nødt til at have et overblik, så vi kan agere på det, der sker. Det er der ikke nu, og det vil jeg bede om at få tilvejebragt, siger Preben Bang Henriksen.

Karina Lorentzen, der er retsordfører for SF, betegner det som "meget bekymrende", at der ikke findes tal for omfanget.

- En forudsætning for, at vi kan handle på det her, er, at vi ved, hvad omfanget er. Nets må som minimum kende til omfanget af de sager, de har skullet reagere på. Det er problematisk, hvis de ikke vil oplyse, hvor meget der svindles. Det er helt afgørende viden, hvis vi som borgere skal kunne have tillid til systemet, siger hun.

Hul i systemet afsløret

NemID regnes generelt for at være en meget sikker løsning. Men DR kunne i søndags fortælle, at kriminelle har fundet en helt ny og udspekuleret vej igennem sikkerheden i NemID.

Det vurderer Christian Heinel, der er teknisk chef for Nordeuropa i Cisco, som er en af verdens største virksomheder indenfor it-netværk og it-sikkerhed.

Det centrale i den nye svindelmetode med NemID er ifølge Christian Heinel, at gerningsmændene udnytter, at man kan få oplyst, hvor mange nøgler der er tilbage på et nøglekort, hvis man er i besiddelse af bruger-id og adgangskode til NemID.

Sygeplejerske udsat for svindel

Metoden er ifølge en efterforsker ved Østjyllands Politi blevet anvendt i en aktuel svindelsag fra Østjylland, hvor en 38-årige sygeplejerske er blevet forsøgt svindlet for 265.000 kroner.

I sagen er det lykkedes gerningsmændene at få fingre i både sygeplejerskens cpr-nummer, NemID-kode og nøglekort, uden at hun har skrevet oplysninger ned eller vist dem til nogen.

Både sagens politiefterforsker og Christian Heinel, som har gennemgået sagen for DR, mener, at svindlerne har brugt såkaldte keyloggere til at få fat i sygeplejerskens cpr-nummer og NemID-kode på det lokale bibliotek.

Med de oplysninger i hånden kan gerningsmænd få oplyst, hvor mange nøgler der er tilbage på et nøglekort og dermed vide, hvornår de skal ligge på lur ved postkassen for at opsnappe et nyt nøglekort, som de kan misbruge.

Her kan du se, hvordan svindlere kan få oplyst, hvor mange nøgler der er tilbage, hvis de ligger inde med bruger-id og adgangskode.

  • Sådan ser trin 1 ud, når man logger på NemID.
  • I trin 2 udfylder man bruger-id og adgangskode. Bruger-id er ofte cpr-nummer.
  • Hvis man har indtastet det korrekte bruger-id og adgangskode, kommer man automatisk videre til trin 3, hvor man skal bruge nøglekortet. Før man bruger nøglekortet, får man oplyst, hvor mange nøgler der er tilbage - og svindlere kan derigennem følge med i, hvornår et nyt NemID bliver tilsendt.
1 / 3

DR har gennem mere end to uger forsøgt at få Nets i tale om den aktuelle sag fra Østjylland, hvor id-tyvene tilsyneladende har fundet en ny vej igennem sikkerheden i NemID.

Men Nets ønsker ikke at svare og henviser i stedet til Digitaliseringsstyrelsen, som er den myndighed, der sammen med bankerne køber NemID-løsningen af Nets.

I Digitaliseringsstyrelsen vil vicedirektør Adam Lebech ikke kommentere på den konkrete sag. I stedet siger han, at der generelt er mange risici forbundet med digitale løsninger.

- Men heldigvis er det meget få, der bliver udsat for den her kriminalitet. Når man bliver det, så er det forfærdeligt for det enkelte. Der er ingen tvivl om det, siger han.

DR har spurgt Digitaliseringsstyrelsen, om styrelsen vil bede Nets ændre deres system, så antallet af nøgler ikke længere bliver oplyst og på den måde dæmme op for det sikkerhedsmæssige hul, som Christian Heinel peger på. Til det svarer Adam Lebech:

- Vi arbejder konstant på at kigge på alle de risici, der er ved NemID, og adressere dem.

På baggrund af denne sag har Digitaliseringsstyrelsen bedt Nets om en sikkerhedsvurdering af den form for misbrug af NemID, som den 38-årige sygeplejerske har været udsat for.

Artiklen er opdateret 16. juni klokken 13:36 med afsnittet om tal fra Finans Danmark.

Facebook
Twitter