1/4 Den Whatsapp-Kontakt von Aussenminister Cassis (Nummer anonymisiert) findet man ebenso im Netz wie denjenigen von ... Foto: reert

Ein paar Klicks, ein bisschen Scrollen – und da steht sie: die private Handynummer von Bundesrätin Elisabeth Baume-Schneider. Offen, frei zugänglich für jeden, irgendwo im Internet. Wer dachte, es sei ein Ding der Unmöglichkeit, ein Mitglied der Schweizer Regierung privat zu erreichen, hat die Macht der Suchmaschinen unterschätzt.

Dass Politikerinnen und Politiker ihre Kontaktdaten veröffentlichen, ist nicht ungewöhnlich. Viele tun es. Sie hinterlegen ihre Nummern in Medienmitteilungen, um für Journalisten erreichbar zu sein. Dass aber selbst persönliche Handynummern von Bundesräten frei im Netz herumliegen? Das ist erstaunlich. Mehr noch: Auch hochrangige Sicherheitsbeamte sind auf dieselbe Weise auffindbar.

Teils reicht eine einfache Google-Suche

Anlass dieser Recherche war ein Vorfall in den USA, eine beispiellose Panne im Umfeld von US-Präsident Donald Trump. Seine wichtigsten Sicherheitsberater planten via Messengerdienst Signal einen Militärschlag – und übersahen dabei, dass sie versehentlich einen Journalisten in den Chat eingeladen hatten. Es war ein sicherheitspolitischer Super-GAU – und es war nicht der einzige. Der «Spiegel» fand heraus, dass private Handynummern und Mailadressen mehrerer US-Sicherheitsberater im Netz standen. Offen für jeden, der sie finden wollte.

SonntagsBlick stellte sich die Frage: Ist das auch in der Schweiz der Fall? Wie leicht lassen sich Nummern und E-Mail-Adressen von Führungspersonen des Bundes finden – etwa vom Chef der Armee oder der Direktorin des Bundesamts für Polizei (Fedpol)? Die Antwort lautet: Erschreckend leicht. Teils reichte eine einfache Google-Suche, teils wenige Klicks mit einer kommerziellen Personen-Suchmaschine – und schon lagen die privaten Daten folgender Personen vor:

Elisabeth Baume-Schneider – Innenministerin

Ignazio Cassis – Aussenminister

Thomas Süssli – Chef der Armee

Eva Wildi-Cortés – Direktorin Fedpol

Marc Siegenthaler – stellvertretender Generalsekretär im VBS

Simon Müller – Cyberchef der Armee

Florian Schütz – Direktor Bundesamt für Cybersicherheit

Urs Loher – Chef Rüstungsamt Armasuisse

Die Handynummern und einige der Mailadressen sind mit den jeweiligen Linkedin-Profilen der Personen verknüpft. Und die Nummern funktionieren, Whatsapp-Nachrichten kamen durch. Drei der Spitzenbeamte haben direkt auf eine Nachricht reagiert, darunter Armeechef Süssli, Rüstungschef Loher sowie Siegenthaler, der vom Verteidigungsdepartement dem Nachrichtendienstchef Christian Dussey zur Seite gestellt wurde. Sie alle haben freundlich an ihre Medienstellen verwiesen. Nur die mutmassliche Nummer von Cyberchef Schütz war mit keinem Messengerdienst verknüpft.

Auf Fragen von SonntagsBlick an die verschiedenen Departemente antwortete das Bundesamt für Cybersicherheit (Bacs). Dass Telefonnummern dieser Personen in Verzeichnissen auftauchen, sei «nicht heikel». Man tausche Kontaktdaten ohnehin bei Netzwerkanlässen aus. Für «sensible und klassifizierte Gespräche» gebe es «sichere und verschlüsselte Kommunikationskanäle». Und alle öffentlich exponierten Personen seien sich der Risiken bewusst – intern fänden regelmässig «Sensibilisierungskampagnen» statt.

Also alles kein Problem? Einer, der das kritischer sieht, ist Sven Fassbender, Experte für Informationssicherheit und Geschäftsführer der Cybersecurityfirma Zentrust Partners. «Es fragt sich, wie gut die Sensibilisierung ist, wenn private Handynummern von hochrangigen Sicherheitsleuten problemlos im Internet zu finden sind», sagt er. Und: Wenn Sensibilisierungskampagnen ausreichen würden, gäbe es weltweit keine erfolgreichen Cyberangriffe mehr.

Armeechef lernt Sprachen und spielt Schach

Exponierte Personen seien in der Regel «sehr zurückhaltend» damit, persönliche Daten auf öffentlichen Plattformen preiszugeben, schreibt das Bacs. Im Fall von Armeechef Süssli zum Beispiel liessen sich jedoch diverse Dienste ausfindig machen, die mit seinen Kontaktdaten verknüpft sind – die Sprachplattform Duolingo zum Beispiel oder das Schachportal chess.com und Sporttracking-Apps. Fedpol-Chefin Wildi-Cortés registrierte sich mit ihrer geschäftlichen E-Mail-Adresse beim Bezahldienst Paypal.

Feindliche Geheimdienste könnten über die öffentlich verfügbaren Daten die Kommunikation der Betroffenen hacken, indem sie deren Endgeräte mit Spähsoftware infizieren. Auch Cyberkriminelle versuchen, per Phishing-Angriffe Zugang zu Geräten und Diensten wie Mailanbieter oder Paypal zu erhalten. «Jede Info, die ein Krimineller findet, erhöht die Erfolgschance eines Angriffs», erklärt Fassbender. Ein Beispiel: Wenn ein Angreifer weiss, dass Süssli Duolingo nutzt, kann er ein täuschend echtes Mail im Namen von Duolingo an den Armeechef senden – und ihn dazu verleiten, auf einen kompromittierten Link zu klicken.

Schaden kann enorm sein

Sollte ein Angreifer Erfolg haben, stellt sich die Frage, ob er Zugriff auf sicherheitsrelevante Daten erhält. Laut Fassbender hängt dies auch davon ab, ob sich Betroffene an ihre Sicherheitsprotokolle halten. Zentral sei, dass sie über ihre privaten Handys und Mailadressen keine sensiblen Informationen austauschen.

Recherche-Hinweise Haben Sie Hinweise zu brisanten Geschichten? Schreiben Sie uns: recherche@ringier.ch Haben Sie Hinweise zu brisanten Geschichten? Schreiben Sie uns: recherche@ringier.ch

Jede Führungsperson in Bundesbern muss laut dem Experten davon ausgehen, dass ihre privaten Geräte von ausländischen Geheimdiensten geortet oder abgehört werden könnten. Das bedeutet: «Bei sensiblen Gesprächen müssen sie ihre Handys weglegen.» Machen sie einen Fehler, kann der Schaden enorm sein. Angesichts der Risiken findet Fassbender: «Am sichersten wäre es, wenn die privaten Nummern und Mails dieser Personen gar nicht im Internet zu finden sind.»

Der Sprecher von Baume-Schneider teilt mit, bisher habe die Bundesrätin «keine negativen Erfahrungen» gemacht, obwohl ihre Privatnummer – die sie nur für private Zwecke verwende – auffindbar sei. Man werde nun aber «Vorkehrungen treffen», um die Nummer auf Plattformen und Websites zu löschen.