Darum gehts
- Daten von 44 Parlamentariern sind im Darknet aufgetaucht, warnt eine IT-Firma
- Politiker nutzten Arbeits-E-Mails für Registrierung auf verschiedenen Plattformen
- 78 Passwörter wurden geleakt, drei Viertel davon waren im Klartext gespeichert
Daten von 44 Parlamentariern sind im Darknet aufgetaucht. Das zeigt eine Untersuchung der IT-Sicherheitsfirma Constella Intelligence zusammen mit der Schweizer Tech-Firma Proton. Das Darknet ist ein Teil des Internets, das nur mit speziellen Programmen erreichbar ist und oft für anonyme Kommunikation und illegale Aktivitäten genutzt wird.
Ein Team von Tech-Spezialisten durchsuchte das Darknet nach öffentlich gelisteten E-Mail-Adressen von Mitgliedern der Landesregierung und des Parlaments – und entdeckte Angaben von 44 Politikerinnen und Politikern. Betroffen sind sowohl Personen von National-, Stände- und Bundesrat.
Konto bei Porno-Website
Die Politiker hatten laut Proton ihre offiziellen Arbeits-E-Mail-Adressen für die Registrierung auf Drittanbieter-Plattformen verwendet. 145 solcher Konten wurden im Darknet gefunden. Neben harmlosen Diensten wie LinkedIn, Dropbox, Canva, Myfitnesspal oder Adobe hatten die Politiker die Mail-Adressen auch genutzt, um Konten bei schlüpfrigeren Websites einzurichten. Darunter etwa die Dating-Plattform Badoo und die Porno-Website Myprivateangels.
Brisant: Es waren auch 78 mit den Konten verknüpfte Passwörter zu sehen, drei Viertel davon im Klartext. Neben Passwörtern fanden die IT-Forscher mit den Mail-Adressen auch weitere verknüpfte Informationen, darunter Adressen, Geburtstage, Telefonnummern und IP-Adressen. Namen von betroffenen Personen nennt Proton aus Persönlichkeitsschutzgründen nicht. Sagt aber, dass keine Partei überproportional betroffen ist.
Dass solch persönliche Daten für Cyberkriminelle zugänglich auch im Darknet landen, ist insofern nichts Aussergewöhnliches. In den letzten Jahren gab es bei den genannten Plattformen Hacks und Datenlecks, die Millionen Nutzerinnen und Nutzer weltweit trafen. Laut Proton sind die gefundenen Konten alles Daten, der letzten drei Jahre. Alle betroffenen Personen sind noch in ihren Ämtern tätig, wie ein Sprecher von Proton erklärt.
«Spitze des Eisberges»
«Die Veröffentlichung sensibler Daten von Schweizer Politikern zeigt eine gravierende Schwachstelle in der digitalen Sicherheit von Entscheidungsträgern», warnt Eamonn Maguire, Leiter Account Security bei Proton. «Schon ein kompromittiertes Passwort kann schwerwiegende Folgen für die nationale Sicherheit haben. Die Darknet-Daten sind nur die Spitze des Eisbergs. Dahinter steht ein anonymes, illegales Ökosystem, das persönliche Informationen für böswillige Zwecke missbraucht.» Die Daten könnten für Erpressung, Spionage oder Desinformationskampagnen missbraucht werden.
Andere Parlamente noch unvorsichtiger
Die Zahlen sind Teil einer weltweiten Untersuchung zu Cyberrisiken in der Politik. Im internationalen Vergleich steht die Schweiz mit 16 Prozent Betroffenen unter allen Politikern in Bundesbern noch relativ gut da: In Grossbritannien waren 68 Prozent der Parlamentarier betroffen, im EU-Parlament 44 Prozent, in Frankreich 18 und in Deutschland 13 Prozent.
Proton hat am 16. Juni das Schweizer Government Computer Emergency Response Team (GovCERT) informiert. Die Firma hat die betroffenen Politiker ebenfalls direkt kontaktiert und rät zur Nutzung separater E-Mail-Adressen. Als Lösung empfiehlt Proton E-Mail-Aliase, also alternative Adressen, die Nachrichten an das Hauptpostfach weiterleiten und die echte Adresse privat halten.
Das Bundesamt für Cybersicherheit (BACS) hat Kenntnis von der Meldung an GovCERT, wie es auf Anfrage mitteilt. «Die Liste wurde an die Parlamentsdienste weitergeleitet. Wenn die Untersuchungsergebnisse im Detail vorliegen, wird das BACS diese prüfen», sagt die Medienverantwortliche Manuela Sonderegger.
Sicherheit habe hohe Priorität für den Bund, so Sonderegger. «Der Bund nutzt für digitale Zugänge grundsätzlich möglichst nicht E-Mail-Adressen und Passwörter, sondern andere Mittel wie beispielsweise eine persönliche physische Smartcard», so Sonderegger. Mitarbeitende müssen zudem eine obligatorische Schulung zur Informatiksicherheit absolvieren und werden regelmässig auf Sicherheitsthemen sensibilisiert, unter anderem auch darin, geschäftliche E-Mails nur mit Bedacht weiterzugeben und nur für dienstliche Zwecke zu verwenden.
