Passwörter von Politikern frei im Netz

Von einem der größten Datenlecks der Geschichte sind auch 3,3 Millionen Österreicher betroffen. Auch von Politikern wurden E-Mail-Adressen und die dazugehörigen Passwörter gehackt. Die verantwortlichen Behörden haben das Ausmaß offenbar unterschätzt.

mit Video
Artikel zum Anhören

Rund 2,2 Milliarden E-Mail-Adressen – mehr als 900 Gigabyte an Daten – umfasst die sogenannte „Collection #1–#5“. Die gehackten Daten sind seit Anfang des Jahres frei im Netz für jedermann zum Download verfügbar. So weit, so bekannt. Unbekannt war bisher das Ausmaß, in dem politische Apparat Österreichs davon betroffen ist.

Knapp 7.800 E-Mail-Adressen und deren Passwörter von Mitarbeitern der öffentlichen Hand finden sich in den Dateien. Am stärksten betroffen sind Polizei, Finanzministerium und das Land Steiermark. Das ist das Ergebnis einer Recherche von Addendum in Kooperation mit SRF Data, der Datenjournalismus-Einheit des Schweizer Radios und Fernsehen.

icon-bubble

Top Kommentar

Neben dem Verwaltungs- und Sicherheitsapparat tauchen auch hunderte Mail-Adressen von Politikern bzw. Parteimitarbeitern mit ihren sensiblen Benutzerdaten auf. Namentlich finden sich sieben Minister mit aktuellen bzw. ehemaligen Mailadressen plus Passwörter im Datenleck wieder. Die Passwortstärke fällt dabei unterschiedlich aus, von eher einfachen Kombinationen bis hin zu ausgefeilteren Kennwörtern.

icon-bubble

Top Kommentar

Passwortstärke der Ministerriege

Inklusive der Regierungsriege sind rund 350 Politiker und Parteimitarbeiter in der „Collection #1–#5“ enthalten. Die Grünen und die Sozialdemokraten zählen zu den Parteien mit den meisten betroffenen Personen.

icon-bubble

Top Kommentar

Wie gefährlich sind diese Informationen?

Dass über berufliche E-Mail-Adressen auch privat Dienste wie Dropbox oder LinkedIn, über die unter anderem die Daten gehackt wurden, genutzt werden, ist als kritisch einzustufen. Gefährlich wäre es vor allem dann, wenn Betroffene das gleiche Passwort von anderen Diensten auch für ihre beruflichen Zugänge verwenden würden und diese nicht oder selten wechseln. Das sollte über die IT-Sicherheitsrichtlinien und -vorkehrungen verhindert werden. Wie streng diese ausgelegt und vor allem in die Tat umgesetzt werden, hängt von der jeweiligen Institution und Stelle ab.

icon-bubble

Top Kommentar

Betroffene nach Addendum-Anfrage informiert

  • Das Bundeskanzleramt ging auf Fragen, ob die betroffenen Minister informiert wurden, nicht ein. Es betonte, dass aus Sicherheitsgründen keine Details zu den Sicherheitsmaßnahmen genannt werden können, aber „organisatorisch wie auch technisch international anerkannte Sicherheitsstandards“ verwendet werden. Das sogenannte Government Computer Emergency Response Team für die öffentliche Verwaltung“ (GovCERT) gab an, dass die Sammlung „länger bekannt und nichts Neues dabei“ sei. Deshalb habe die im Bundeskanzleramt eingerichtete Stelle die betroffenen Behörden nicht informiert. In akuten Fällen träte das GovCERT direkt an die Behörden heran. Die Verantwortung der E-Mail-Systeme und der Systemsicherheit liegt aber bei den einzelnen Betreibern.
  • Das Innenministerium, das mit Adressen auf @polizei.gv.at und @bmi.gv.at am häufigsten von allen Stellen betroffen war, hat seine Mitarbeiter über die aktuelle Sammlung nicht informiert. Der letzte Fall, bei dem eine Benachrichtigung stattgefunden hatte, war im Vorjahr: 55 E-Mail-Adressen des Innenministeriums waren betroffen, elf davon waren noch aktiv. Die Benutzer wurden durch das Cybercrime-Competence-Center des Bundeskanzleramtes zur Änderung des Kennworts aufgefordert. Generell ist die Nutzung der beruflichen E-Mail-Adresse auf die dienstliche Verwendung eingeschränkt. Genaue Sicherheitsvorkehrungen können mit der Öffentlichkeit nicht geteilt werden, aber eine Zwei-Faktor-Authentifizierung findet für externe Zugriffe auf das interne BMI-IT-System ausnahmslos statt. Die Nutzung von privaten Plattformen wie Dropbox, Google-Drive oder anderen ist im IT-System des BMI technisch verhindert und eigentlich untersagt.
  • Im Parlament selbst war das potenzielle Sicherheitsleck nicht bekannt. Eine Information der Betroffenen hat nach einer Anfrage von Addendum stattgefunden. Dass Abgeordnete und Parlamentsmitarbeiter in der Collection 1–5 auftauchen, hätte theoretisch nicht passieren dürfen. Die IT-Sicherheitsrichtlinie des Parlaments sieht vor, dass die Parlaments-Adresse nur für dienstliche Zwecke verwendet wird, sonst sei die private heranzuziehen. Weil die Hauptquellen für die „Collection 1–5“ vorwiegend private Dienste wie Yahoo, Dropbox, LinkedIn, Imgur oder Tumblr sind, liegt die Vermutung nahe, dass an dieser Richtlinie nicht gänzlich festgehalten wurde.
  • Bei den Grünen gab es nach eigener Auskunft eine Information der Mitarbeiter. Ein unerlaubter Zugriff auf die Systeme der Partei habe nicht stattgefunden.
  • Das Land Steiermark hatte Betroffene vor Kontaktaufnahme durch Addendum nicht über das Datenleck in Kenntnis gesetzt. Dafür sei das Land Steiermark auch nicht verantwortlich, das müsse die Plattform übernehmen, bei der der Datendiebstahl stattgefunden hat. Grundsätzlich sei die private Nutzung der dienstlichen E-Mail-Adresse erlaubt, aber möglichst gering zu halten. „Wir gehen nicht davon aus, dass die Personen, die mit ihrer dienstlichen E-Mail-Adresse auf den genannten Internetseiten aktiv waren, das gleiche Passwort wie im Dienst verwendet haben“, schrieb IT-Abteilungsleiterin Elisabeth Freiberger in einer Stellungnahme.
icon-bubble

Top Kommentar

Die geleakten Mailadressen öffnen freilich auch Tür und Tor für Erpressungen: Wenn etwa Opfer des Datenlecks per Mail kontaktiert werden, weil man kompromittierendes Material über sie gesammelt habe, und zur Untermauerung der Behauptung das Passwort angeführt wird. „Bei diesen Fällen wird mittlerweile mit psychologischen Tricks vorgegangen, sie sind wesentlich ausgefeilter als in vergangenen Jahren“, sagte Vinzenz Kriegs-Au, Sprecher des Bundeskriminalamts. Die Zahl der Anzeigen im Bereich der Internetkriminalität im Allgemeinen steigt seit Jahren. Der Bereich der Erpressung im Speziellen hat im Vorjahr so stark zugelegt (+72 Prozent), dass das Bundeskriminalamt eine Arbeitsgruppe zur Bekämpfung des Phänomens eingerichtet hat.

Sind auch Sie betroffen?

Neben den Accountdetails von Mitarbeiten des öffentlichen Dienstes sind 3,3 Millionen weitere Österreicher in der Sammlung enthalten. Ob Sie selbst betroffen sind, können Sie über eine Abfrage beim Hasso-Plattner-Institut erfahren. Angeraten ist das vor allem dann, wenn Sie die Dienste Dropbox, Adobe, LinkedIn oder Yahoo verwenden oder verwendet haben – alle vier Plattformen hatten Sicherheitslücken, die ausgenutzt wurden.

Was ist ein sicheres Passwort?

Schützen können Sie sich, indem Sie für jeden verwendeten Dienst ein eigenes, zufällig generiertes Passwort verwenden. Dann wird bei einem Datenleck zwar Ihr Passwort veröffentlicht, aber Angreifer können damit nicht auch noch auf andere Dienste zugreifen. Üblicherweise versuchen Kriminelle die erbeuteten Kontoinformationen automatisiert zu nutzen. Sie nutzen also ein Programm, um sich gleichzeitig mit Millionen Accounts auf Plattformen einzuloggen. Bei den wenigen, die erfolgreich waren, erfolgt eine Kontoübernahme – private Informationen wie Kreditkarteninformationen, Dateien oder Textnachrichten könnten gestohlen werden.  

icon-bubble

Top Kommentar

Weil das Merken von potenziell dutzenden, zufällig generierten Passwörtern wenig praktikabel ist, empfiehlt sich das Verwenden eines Passwortmanagers (etwa Lastpass oder 1Passwort).

Methodik

Für die Analyse wurden nur Benutzerkonten, deren Passwörter in Leaks öffentlich einsehbar sind, betrachtet. Passwörter in nicht lesbarer Form wurden nicht betrachtet. Die öffentlich einsehbaren Passwörter stammen meist aus Sicherheitslecks bei Anbietern, die Passwörter unverschlüsselt oder schwach (mittels schwacher Hashfunktion) verschlüsselt speicherten. In letzterem Fall können Passwörter mittels Brute-Force-Angriff (durchprobieren) lesbar gemacht werden – kurze Passwörter sind für solche Angriffe anfälliger.

Timo Grossenbacher von SRF Data hat Addendum alle .at-Adressen zur Verfügung gestellt und vor diesem Schritt ein umfassendes Skript zur Datenverarbeitung erarbeitet. Zur verwendeten Methodik hat er einen englischsprachigen Blogpost verfasst.

Die Dateien mit den gestohlenen Nutzerdaten sind über eine einfache Google-Suche aufzufinden. Nach einem Blogbeitrag des Sicherheitsforschers Troy Hunt – er betreibt die Plattform haveibeenpwnd.com – haben Medien über die Sammlung berichtet.

Weil die E-Mail-Adressen auch an Aktivisten vergeben werden, gäbe es unterschiedliche Informationsebenen, die eine Hierarchie nachbilden. Damit wäre das System nicht über alle Accounts im gleichen Maße für Attacken anfällig.

Die Stellungnahme erreichte Addendum über das Bundesministerium für Digitalisierung und Wirtschaftsstandort. Dieses ist verantwortlich für die Verwaltung der @gv.at-Adressen.

Nutzer müssen ihre Identität zusätzlich zum Passwort mittels einer zweiten Komponente bestätigen. So muss beispielsweise beim Online-Banking bei Überweisungen zusätzlich zum Login-Passwort ein an das Mobiltelefon gesendeter PIN angegeben werden.

– wenn etwa Mitarbeiter des Innenministeriums von unterwegs mit ihren Kollegen Daten über das interne BMI-IT-System teilen möchten –

Politometer-Newsletter

Jetzt anmelden und über neue Artikel informiert werden.

Newsletter-Anmeldung abschließen

Vielen Dank! Bitte bestätigen Sie die Newsletter-Anmeldung in Ihrer Mailbox.

Das ganze Paket

Sie wollen unsere Inhalte verbreiten? Wir stellen Ihnen diesen Artikel mit seinen Elementen zur Verfügung.
Paket downloaden
download_icons

Inhaltspaket downloaden

Dieser Artikel und seine Inhalte können übernommen und verbreitet werden. Folgende Bedingungen sind dabei zu beachten:

  • Addendum als Quelle zitieren
  • Backlink zum ursprünglichen Artikel auf addendum.org setzen
  • Inhalte können nicht ohne Absprache mit Addendum verändert werden
  • Wird der gesamte Artikel veröffentlicht, muss ein Zählpixel eingebaut werden, Instruktionen dazu finden Sie in unseren Nutzungsbedingungen
  • Weitere Bilder können auf Anfrage an [email protected] beantragt werden

Bitte beachten Sie die Nutzungsbedingungen zur Verwendung unserer Inhalte, welche Sie unter folgendem Link in ihrer aktuellen Form abrufen können: http://add.at/nbd

close

Vielen Dank!

Ihr Download ist nun bereit!

Addendum_p0018_Politometer.zip
7 KB

Inhaltspaket anfordern

Das Rechercheteam

Gerald Gartner

Gerald Gartner kuratiert, analysiert und visualisiert große Datenmengen zu politischen, wirtschaftlichen und gesellschaftlichen Themen. Er lehrt an der Fachhochschule Wien. Davor war er für derStandard.at und NZZ.at in Wien tätig.

Markus „Fin“ Hametner

Markus Hametner hat Informatik studiert, baut seit 2011 Brücken zwischen Technologie und Journalismus und beschäftigt sich seit 2014 als Datenjournalist mit internationalen Datenrecherchen und interaktiven Visualisierungsformen. In seiner Freizeit betreibt er als Mitgründer des Forum Informationsfreiheit die Plattform FragDenStaat.at und trägt erfolgreich Rechtsstreite mit Behörden aus, die Auskünfte verweigern.

Luisa Fohn
Moritz Moser
x

Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Addendum ist nicht werbefinanziert und nutzt Cookies, um mehr über das Nutzerverhalten zu erfahren und so das Angebot zu verbessern.
Hier erfahren Sie mehr über Cookies und Datenschutz bei Addendum.

QVV Siegel

Zum Newsletter anmelden

Jede Woche informieren wir Sie über unser aktuelles Projekt mit tiefgründigen Recherchen.

Zum Newsletter angemeldet

Bitte bestätigen Sie die Newsletter-Anmeldung in Ihrer Mailbox.