Zum Inhalt springen

Cyber-Kriminalität Hunderte Schweizer Armeeangehörige tauchen in neuem Datenleck auf

Millionen Schweizer E-Mail-Adressen und Passwörter kursieren im Netz – auch von Behörden. Besonders betroffen: die Armee.

Seit Anfang Jahr kursiert eine neue Sammlung von gehackten Plattformen und Nutzerprofilen im Internet, die « Collection #1-5 ». SRF Data konnte sie erstmals komplett auswerten. Die Recherche zeigt: In der Datensammlung befinden sich über drei Millionen E-Mail-Adressen mit Schweizer Endung, inklusive Passwörtern.

Besonders betroffen: rund 20'000 unterschiedliche Nutzerprofile von Angestellten von Schweizer Behörden und Betreiberinnen kritischer Infrastrukturen. Darunter mehr als 6000 E-Mail-Adressen von Angestellten der Kantone und 2500 von solchen des Bundes.

Warum tauchen so viele Adressen auf?

Box aufklappen Box zuklappen

Grund für das Auftauchen von Geschäftsadressen in solchen Lecks ist oft, dass Angestellte diese auch für private Nutzerprofile verwenden. Wenn solche Webseiten, zum Beispiel das soziale Netzwerk Linkedin oder der Cloud-Anbieter Dropbox, gehackt werden, tauchen die erbeuteten Nutzerprofile zuerst auf dem Schwarzmarkt im Darknet auf – und irgendwann auf einschlägigen Foren, wo sie jedermann gratis herunterladen kann.

Rund ein Fünftel der 2500 betroffenen Bundes-Adressen gehören der Schweizer Armee. Im Vergleich zu anderen Bundesstellen taucht sie im Leck besonders oft auf. Auch der amtierende Chef der Armee, Philippe Rebord, findet sich in den Daten.

Dass sensible Informationen wie Passwörter zu Drittanbietern im Netz kursieren, ist problematisch. Angreifer können die Daten beispielsweise zur Erpressung verwenden. Dabei werden Opfer mit alten Passwörtern aus solchen Lecks konfrontiert. Dies kann traumatisch sein, auch wenn die Passwörter selber gar nicht mehr funktionieren. Anfang Jahr haben diese sogenannten «Fake-Sextortion»-Fälle erneut zugenommen. Ob es einen Zusammenhang mit der Datensammlung «Collection #1-5» gibt, ist unklar.

Schweizer Armee besonders stark betroffen

Armeesprecher Daniel Reist schreibt auf Anfrage, die Armee habe Kenntnis vom Sachverhalt. Die betroffenen Mitarbeiter seien bereits im Januar persönlich informiert worden: «Zur Risikominimierung und zur Erhöhung der privaten Sicherheit haben wir empfohlen, möglichst alle Passwörter zu wechseln.»

Da die Nutzerprofile für private Zwecke verwendet worden seien, sei das Risiko für die Armee jedoch tief einzuordnen. Weil die Armee mehrere Faktoren für die Anmeldung in ihre Systeme verwende, seien Passwörter alleine für Angreifer wenig wertvoll.

Über die Sammlung «Collection #1-5»

Box aufklappen Box zuklappen

Ein Suchbegriff, ein Treffer: Das Forum, in dem man die sogenannte «Collection #1-5» herunterladen kann, erscheint weit oben bei Google. Das riesige Datenleck, das im Januar ans Licht kam , kann von jedermann kostenlos beschafft werden.

Die «Collection #1-5» ist mit über 2.2 Milliarden unterschiedlichen E-Mail-Adressen (inklusive Passwörtern) und rund 900 Gigabyte Datenvolumen die bisher grösste zusammenhängende Ansammlung von gehackten Nutzerprofilen.

Die Sammlung enthält viele Duplikate und sonstige unverwertbare Daten. Trotzdem ist ihr Auftauchen laut Sicherheitsexperten des deutschen Hasso-Plattner-Instituts alarmierend. Rund 35 Prozent der gehackten Nutzerprofile (rund 750 Millionen Profile) seien noch nicht in den Leck-Datenbanken des Instituts gespeichert gewesen – ein beträchtlicher Anteil, der mutmasslich von erst kürzlich gehackten Webseiten stammt.

Problematisch ist insbesondere auch die einfache Verfügbarkeit der Daten. Sicherheitsexperten zufolge scheint es heute je länger je weniger attraktiv, gehackte Nutzerprofile im Darknet zu verkaufen. Stattdessen scheint es immer mehr Leute zu geben, die solche Daten zu grossen Sammlungen kombinieren und in den einfach zugänglichen Teilen des Internets kostenlos verbreiten.

Trotzdem: «Die Mitarbeitenden sollen gemäss geltenden Weisungen keine geschäftlichen Mail-Adressen im privaten Umfeld verwenden.» Ob Anpassungen oder weitere Verschärfungen nötig sind, werde nun geprüft.

«Dafür zahlen wir immer mehr den Preis»

Im letzten August bereits berichtete die Sonntagszeitung über das Problem der Behördenadressen . Seither sind noch einige tausende Nutzerprofile von Angestellten sicherheitskritischer Institutionen dazugekommen. Und die sensiblen Daten sind nun viel einfacher verfügbar – im offenen Internet.

Ueli Maurer, Professor für Kryptographie und Informationssicherheit an der ETH, sagt zu den SRF-Recherchen: «Die globale IT-Infrastruktur, inklusive das Internet, ist komplex – und wurde nicht mit dem Fokus auf Sicherheit gebaut. Dafür zahlen wir als Gesellschaft immer mehr den Preis.» Er kenne die Details der «Collection #1-5» nicht, aber es sei schon problematisch, wenn Abermillionen von Passwörtern – ob heute noch im Gebrauch oder nicht – im Internet frei verfügbar seien.

Die Gesellschaft müsse Wege finden, mit dem Problem umzugehen und eine sicherere IT-Infrastruktur aufzubauen. Gefragt seien Forschung, Bildung und klare Haftungsregeln bei Sicherheitspannen. «Bis wir soweit sind, kann es aber noch viele Jahre dauern, unter anderem auch weil es staatliche Stellen gibt, zum Beispiel gewisse Geheimdienste, die gar nicht daran interessiert sind, dass die Systeme maximal sicher sind.»

Meistgelesene Artikel