Als die Hacker-Gruppe ByteToBreach Quellcode und Zugangsdaten aus Testsystemen von CGI Sverige AB veröffentlichte, reagierten Behörden routiniert: kein Produktionssystem betroffen, BankID nicht direkt kompromittiert, Schaden begrenzt. Was diese Beruhigungsformel verdeckt, ist strukturell erheblich. Der Vorfall macht sichtbar, was in der schwedischen Identitätsarchitektur – und weit darüber hinaus – seit Jahren systematisch ausgeblendet wird: Wer das Siegel besitzt, muss nicht die Druckmaschine kontrollieren.

Schweden gilt als Musterland digitaler Staatlichkeit. BankID, das privatwirtschaftliche Authentifizierungssystem eines Bankenkonsortiums, hat sich über zwei Jahrzehnte zur universellen digitalen Identität des Landes entwickelt: 8,7 Millionen Nutzer, eine Penetrationsrate von 99,7 Prozent, tief eingebettet in Behördenkommunikation, Gesundheitsversorgung und Finanztransaktionen. Was als pragmatische Lösung begann, ist zur Infrastruktur geworden – und Infrastruktur hat die unangenehme Eigenschaft, ihre eigenen Schwachstellen zu verbergen, bis ein externer Schock sie freilegt.

Der CGI-Hack ist ein solcher Schock^[1]Sweden’s BankID breached by hacker group as gov’t prepares e-ID launch. Nicht weil er spektakulär wäre – Einbrüche in Testumgebungen sind keine Seltenheit –, sondern weil er die strukturelle Logik dieser Infrastruktur transparent macht. CGI Sverige AB ist kein Randdienstleister: Das Unternehmen implementiert BankID-Logins für staatliche Behörden, darunter das schwedische Finanzamt. Die Zugangsdaten und der Quellcode, die auf den kompromittierten Servern lagerten, stammten aus dieser Implementierungsschicht. Dass es sich um eine ältere Code-Version handelte und Produktionssysteme unberührt blieben, mag aus operativer Sicht beruhigend sein. Aus governance-analytischer Sicht ist es das nicht – denn es zeigt, wie dünn die Trennlinie zwischen Dienstleister-Testumgebung und staatlicher Identitätsinfrastruktur im Ernstfall ist.

Das Kategorienproblem: Wer authentifiziert den Bürger?

BankID ist kein staatliches System, das privatisiert wurde. Es ist ein Produkt des Wirtschaftssystems, das über Jahrzehnte eine Funktion übernommen hat, die dem politisch-rechtlichen System zugehört: die Authentifizierung des Bürgers gegenüber dem Staat. Diese Verschiebung geschah nicht durch Entscheidung, sondern durch Duldung – ein klassischer Fall struktureller Drift, in dem Pragmatismus die Systemlogik überlagert, bis die Unterscheidung kaum noch auffällt.

Die Folge ist eine institutionelle Asymmetrie: Der Staat trägt die Legitimationsverantwortung für staatliche Dienste, delegiert aber die operative Authentifizierungsinfrastruktur an ein privatwirtschaftliches Konsortium, das seinerseits auf globale IT-Dienstle…