Seit Anfang Jahr kursiert eine neue Sammlung von gehackten Plattformen und Nutzerprofilen im Internet, die « Collection #1-5 ». SRF Data konnte sie erstmals komplett auswerten. Die Recherche zeigt: In der Datensammlung befinden sich über drei Millionen E-Mail-Adressen mit Schweizer Endung, inklusive Passwörtern.
Besonders betroffen: rund 20'000 unterschiedliche Nutzerprofile von Angestellten von Schweizer Behörden und Betreiberinnen kritischer Infrastrukturen. Darunter mehr als 6000 E-Mail-Adressen von Angestellten der Kantone und 2500 von solchen des Bundes.
Rund ein Fünftel der 2500 betroffenen Bundes-Adressen gehören der Schweizer Armee. Im Vergleich zu anderen Bundesstellen taucht sie im Leck besonders oft auf. Auch der amtierende Chef der Armee, Philippe Rebord, findet sich in den Daten.
Dass sensible Informationen wie Passwörter zu Drittanbietern im Netz kursieren, ist problematisch. Angreifer können die Daten beispielsweise zur Erpressung verwenden. Dabei werden Opfer mit alten Passwörtern aus solchen Lecks konfrontiert. Dies kann traumatisch sein, auch wenn die Passwörter selber gar nicht mehr funktionieren. Anfang Jahr haben diese sogenannten «Fake-Sextortion»-Fälle erneut zugenommen. Ob es einen Zusammenhang mit der Datensammlung «Collection #1-5» gibt, ist unklar.
Schweizer Armee besonders stark betroffen
Armeesprecher Daniel Reist schreibt auf Anfrage, die Armee habe Kenntnis vom Sachverhalt. Die betroffenen Mitarbeiter seien bereits im Januar persönlich informiert worden: «Zur Risikominimierung und zur Erhöhung der privaten Sicherheit haben wir empfohlen, möglichst alle Passwörter zu wechseln.»
Da die Nutzerprofile für private Zwecke verwendet worden seien, sei das Risiko für die Armee jedoch tief einzuordnen. Weil die Armee mehrere Faktoren für die Anmeldung in ihre Systeme verwende, seien Passwörter alleine für Angreifer wenig wertvoll.
Trotzdem: «Die Mitarbeitenden sollen gemäss geltenden Weisungen keine geschäftlichen Mail-Adressen im privaten Umfeld verwenden.» Ob Anpassungen oder weitere Verschärfungen nötig sind, werde nun geprüft.
«Dafür zahlen wir immer mehr den Preis»
Im letzten August bereits berichtete die Sonntagszeitung über das Problem der Behördenadressen . Seither sind noch einige tausende Nutzerprofile von Angestellten sicherheitskritischer Institutionen dazugekommen. Und die sensiblen Daten sind nun viel einfacher verfügbar – im offenen Internet.
Ueli Maurer, Professor für Kryptographie und Informationssicherheit an der ETH, sagt zu den SRF-Recherchen: «Die globale IT-Infrastruktur, inklusive das Internet, ist komplex – und wurde nicht mit dem Fokus auf Sicherheit gebaut. Dafür zahlen wir als Gesellschaft immer mehr den Preis.» Er kenne die Details der «Collection #1-5» nicht, aber es sei schon problematisch, wenn Abermillionen von Passwörtern – ob heute noch im Gebrauch oder nicht – im Internet frei verfügbar seien.
Die Gesellschaft müsse Wege finden, mit dem Problem umzugehen und eine sicherere IT-Infrastruktur aufzubauen. Gefragt seien Forschung, Bildung und klare Haftungsregeln bei Sicherheitspannen. «Bis wir soweit sind, kann es aber noch viele Jahre dauern, unter anderem auch weil es staatliche Stellen gibt, zum Beispiel gewisse Geheimdienste, die gar nicht daran interessiert sind, dass die Systeme maximal sicher sind.»