Was Mailadressen über Parlamentarierinnen alles verraten (viel!)

Erstellt mit Gemini 2.5 Flash

An Meldungen über geleakte Login-Daten und neue Passwort-Funde im Darknet haben wir uns unterdessen gewöhnt. Meist tut man sie mit einem Schulterzucken ab, zumindest, sofern keine Webseiten zu betroffen zu sein scheinen, auf welchen man selbst ein Login hat. Falls es dann doch mal ein eigenes Login betrifft, ändert man halt umgehend sein Passwort und aktiviert, sofern vorhanden 2FA schreibt man sich «Passwort ändern» auf die TODO-Liste und vergisst es wieder. Als zu unbedeutend sieht man seine eigene Internet-Präsenz, als dass man sich als Ziel von Hackern wähnt, und zu selten tritt effektiv ein Schaden ein, welcher einen zum Umdenken bewegen könnte. Und von Have I been Pwned (einer Webseite, auf welcher man prüfen kann, ob eine eigene E-Mail-Adresse in einem Leak aufgetaucht ist) haben wohl nur wenige gehört (und noch seltener wird es regelmässig genutzt.

Was bei dieser Nonchalance oft vergessen geht, ist, dass typische Leaks neben Login-Namen und (hoffentlich gehashtem, also nicht direkt nutzbaren) Passwort auch noch andere Details verraten. Oft sind in den Datensätzen weitere Dinge wie Adressen, Telefonnummern oder Ähnliches enthalten. Und oft verrät auch die Webseite selbst (bzw. der Umstand, dass man bei dieser Webseite ein Login angelegt hat) mehr über einen selbst als einem vielleicht lieb ist. Während man als Privatperson auch dies noch mit einem gewissen Schulterzucken abtun kann, sieht es bei in der Öffentlichkeit stehenden Personen anders aus. Wie eine Untersuchung von Proton zusammen mit einem Partner-Unternehmen gezeigt hat, finden sich auf der Parlaments-Webseite publizierte E-Mail-Adressen von 44 Schweizer Bundes-PolitikerInnen (National-, Stände- und Bundesrat) in insgesamt 145 im Darknet publizierten Leaks. Ein von uns vorgenommener Abgleich mit den bei Have I been Pwned registrierten Leaks zeigt, dass dabei auf weit mehr Quellen zurückgegriffen wurde als nur auf die Have I been Pwned zur Verfügung stehenden Daten.

Konkret gefunden wurden Accounts für «übliche» Websites wie Grafikgestaltungsseite Canva, LinkedIn, das Projektmanagementtool Trello, Dropbox und Adobe, aber auch eher unerwartete Websites wie Badoo, Dailymotion oder MyFitnessPal. Und auch wenn diese Websites an sich nicht problematisch sind, ist es allenfalls deren Nutzung durch Parlamentarier. Dazu unten mehr.

Die Problematik zieht sich durch alle Parteien und macht auch zum Beispiel vor Mitgliedern der Sicherheitskommissionen in National- und Ständerat nicht halt. Ein FDP-Mitglied hält mit 15 in den Leaks aufgetauchten Accounts den unangefochtenen Spitzenplatz.

Damit setzen sich die Parlamentarier grundsätzlich denselben Risiken aus wie jede Privatperson auch:

  • Werden neben der E-Mail-Adresse auch unverschlüsselte Passwörter preisgegeben, besteht sowohl die Gefahr, dass der betroffene Account von Hackern übernommen wird, als auch das Risiko, dass das Passwort auch bei anderen Diensten verwendet wurde und diese damit ebenfalls angreifbar werden. In den von Proton untersuchten Leaks waren rund 50 unverschlüsselte Passwörter enthalten, damit wäre zumindest der Login in den entsprechenden Webdienst jederzeit (und unbemerkt) möglich gewesen.
  • Die in den betroffenen Accounts enthaltenen Daten können entwendet werden und ihren Weg in die Öffentlichkeit finden.

Darüber hinaus bieten Politikerinnen gerade auf nationaler Stufe aber eine weit grössere Angriffsfläche:

  • Es ist nicht auszuschliessen, dass sich auf ihren Dropbox- oder Canva-Accounts auch Inhalte befinden, welche vertraulich und nicht für die Öffentlichkeit bestimmt sind. Das können z. B. Absprachen mit anderen Parteien sein oder Notizen für eine Kommissionssitzung. Und auch wenn diese Unterlagen in die (besser geschützten) Parlaments-Systeme gehören: ausschliessen lassen sich Leaks nicht, schlussendlich nutzen wir alle diese Online-Tools, weil sie nun mal bequem sind und Zusammenarbeit mit Dritten erlauben.
  • Schon rein die Verwendung von öffentlich publizierten E-Mail-Adressen für das Anlegen von Accounts erhöht das Risiko, dass diese gehackt werden (oder ein Hacking zumindest versucht wird). Parlamentarierinnen sind im Gegensatz zur breiten Bevölkerung nun mal lohnendere Ziele für Hacking-Angriffe oder gezieltes Social Engineering.
  • Generell kann man sich fragen, wie sinnvoll es ist, eine berufs- oder rollenbezogene Mailadresse (wie im Falle der Parlamentarier mit ihren @parl.ch-Adressen) als Login zu verwenden. Mit Ende des Engagements oder des Mandats ist der Zugriff auf die Mailadresse nicht mehr gegeben und spätestens beim nächsten Passwort-Reset-Mail wird man überrascht feststellen, dass man sich nicht mehr in seinen Twitter/X-Account oder seine Dropbox einloggen kann.
  • Und schlussendlich kann das Wissen, dass sich ein Parlamentarier mit seiner öffentlich bekannten E-Mail-Adresse bei einem Internet-Angebot für Erwachsene registriert hat, auch genutzt werden, um diesen unter Druck zu setzen. Wie das konkret abläuft, sollte spätestens seit der Veröffentlichung der User-Liste des Seitensprung-Portals Ashley Madison im Jahr 2015 bekannt sein. Im Falle der Schweizer Parlamentarier wurde bei mindestens einem davon ein entsprechender Account gefunden, für den Only-Fans-ähnlichen Anbieter Myprivateangels. (Dessen Angebot besteht nicht mehr, aber die mittels Websuche auffindbaren Spuren sprechen eine deutliche Sprache über seinen früheren Inhalt). Und so sehr auch Parlamentarier ein Recht auf Privatleben haben: Es würde privater bleiben, wenn sie sich dabei nicht mit ihrer Parlaments-E-Mail anmelden.

Es dürfte für die ParlamentarierInnen in Bern ein schwacher Trost sein, dass sich sowohl in anderen nationalen Parlamenten als auch in anderen Parlamenten in der Schweiz ähnliche Probleme finden lassen.

  • Frühere Studien haben ähnliche Risiken für PolitikerInnen in Grossbritannien (68 % [Prozent wovon?]), dem Europäischen Parlament (44 %), Frankreich (18 %) und Deutschland (13 %) aufgezeigt.
  • Ein von uns vorgenommener Abgleich der E-Mail-Adressen der Stadtzürcher GemeinderätInnen mit den in Have I been Pwned gespeicherten Leaks ergab rund 50 Treffer (sowohl für spezifische Websites wie Dropbox oder Adobe, wie auch für Leak-Sammlungen, bei welchen die einzelnen Logins nicht mehr spezifischen Diensten zugeordnet werden können). Beim Gemeinderat Zürich kommt (wie auch bei diversen anderen kantonalen und kommunalen Parlamenten) erschwerend hinzu, dass die Gemeinderäte mit ihrer privaten E-Mail-Adresse politisch tätig sind und entsprechend weniger in der Lage sind, politische Internet-Aktivitäten von privaten zu trennen.

Wie könnten bessere Ansätze aussehen?

Auch wenn das Kind in diesem Fall schon in den Brunnen gefallen ist, lohnt es sich (sowohl für ParlamentarierInnen als auch für Privatpersonen) darüber nachzudenken, wie die Risiken der einfachen Identifizierbarkeit reduziert werden können.

  • Die schlussendlich effektivste Variante liegt auf der Hand: Man verwendet für jeden Online-Dienst eine eigens angelegte E-Mail-Adresse, deren Namen keinerlei Rückschlüsse auf den Besitzer erlaubt (anstelle felix.muster.dropbox@web.de also besser email4711.geheim@web.de), und speichert sich die Login-Daten in einem Passwort-Manager. Verschiedene E-Mail-Anbieter bieten das Anlegen von solchen anonymisierenden E-Mail-Aliases bereits an, besonders komfortabel haben es Apple-User für welche iCloud ein entsprechendes Angebot integriert hat.
  • Darüber hinaus lohnt es sich, den Überblick über seine eigenen Accounts zu behalten (auch da hilft, wir wiederholen uns, ein Passwort-Manager) und nicht-mehr-genutzte Accounts auch mal beim Anbieter löschen zu lassen. Falls Anbieter einem das Löschen durch verwirrende Menüführung schwer machen, hilft meist eine Websuche weiter.
  • Ausserdem lohnt es sich zwischendurch, vor dem Anlegen eines Accounts zu überlegen, ob es dieses Account überhaupt braucht. Gerade kommerzielle Webseiten zielen oft darauf ab, Benutzer schon vor der ersten Nutzung zum Anlegen eines Accounts zu motivieren. Da kann es durchaus sinnvoll sein, erste Versuche mit einem anonymen Wegwerf-Account zu machen und nur dann ein längerfristig genutztes Account anzulegen, wenn sich das Angebot effektiv als hilfreich erweist.

Und die oben erwähnten ParlamentarierInnen? Die sind vermutlich gut beraten, zumindest ihre als @parl.ch angelegten Accounts zu überdenken, nicht benutzte zu löschen und weiterhin relevante unter einer anonymen E-Mail-Adresse neu zu eröffnen. Im Minimum sollten sie aber zumindest ihre Passwörter ändern und wo vorhanden 2FA aktivieren.

dnip.ch mit Deiner Spende unterstützen

Wir wollen, dass unsere Inhalte frei verfügbar sind, weil wir es wichtig finden, dass möglichst viele Menschen in unserem Land die politischen Dimensionen der Digitalisierung erkennen und verstehen können.

Damit das möglich ist, sind wir auf deine Unterstützung angewiesen. Jeder Beitrag und sei er noch so klein, hilft uns, unsere Aufgabe wahrzunehmen.

Eine Antwort

  1. Naja, @parl.ch in der Schweiz (und @bundestag.de in Deutschland) sind auch symptomatisch dafür, dass die Schweiz (und Deutschland) das mit der Digitalisierung nicht ganz richtig verstanden haben. Der Legislative Computer und Mailserver zu geben, wo die Exekutive (Verwaltung) Administrator ist, wäre in den USA und Frankreich absolut undenkbar. Damit unterläuft man komplett die Gewaltenteilung.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge

Vogt am Freitag: Träumer

Reto Vogt 20. Juni 2025

«Digitale Souveränität der Schweiz ist Realität!», behauptet ein Schweizer Nationalrat. Kolumnist Reto Vogt antwortet ihm mit den geflügelten Worten einer

Weiterlesen »