An Meldungen über geleakte Login-Daten und neue Passwort-Funde im Darknet haben wir uns unterdessen gewöhnt. Meist tut man sie mit einem Schulterzucken ab, zumindest, sofern keine Webseiten zu betroffen zu sein scheinen, auf welchen man selbst ein Login hat. Falls es dann doch mal ein eigenes Login betrifft, ändert man halt umgehend sein Passwort und aktiviert, sofern vorhanden 2FA schreibt man sich «Passwort ändern» auf die TODO-Liste und vergisst es wieder. Als zu unbedeutend sieht man seine eigene Internet-Präsenz, als dass man sich als Ziel von Hackern wähnt, und zu selten tritt effektiv ein Schaden ein, welcher einen zum Umdenken bewegen könnte. Und von Have I been Pwned (einer Webseite, auf welcher man prüfen kann, ob eine eigene E-Mail-Adresse in einem Leak aufgetaucht ist) haben wohl nur wenige gehört (und noch seltener wird es regelmässig genutzt.
Was bei dieser Nonchalance oft vergessen geht, ist, dass typische Leaks neben Login-Namen und (hoffentlich gehashtem, also nicht direkt nutzbaren) Passwort auch noch andere Details verraten. Oft sind in den Datensätzen weitere Dinge wie Adressen, Telefonnummern oder Ähnliches enthalten. Und oft verrät auch die Webseite selbst (bzw. der Umstand, dass man bei dieser Webseite ein Login angelegt hat) mehr über einen selbst als einem vielleicht lieb ist. Während man als Privatperson auch dies noch mit einem gewissen Schulterzucken abtun kann, sieht es bei in der Öffentlichkeit stehenden Personen anders aus. Wie eine Untersuchung von Proton zusammen mit einem Partner-Unternehmen gezeigt hat, finden sich auf der Parlaments-Webseite publizierte E-Mail-Adressen von 44 Schweizer Bundes-PolitikerInnen (National-, Stände- und Bundesrat) in insgesamt 145 im Darknet publizierten Leaks. Ein von uns vorgenommener Abgleich mit den bei Have I been Pwned registrierten Leaks zeigt, dass dabei auf weit mehr Quellen zurückgegriffen wurde als nur auf die Have I been Pwned zur Verfügung stehenden Daten.
Konkret gefunden wurden Accounts für «übliche» Websites wie Grafikgestaltungsseite Canva, LinkedIn, das Projektmanagementtool Trello, Dropbox und Adobe, aber auch eher unerwartete Websites wie Badoo, Dailymotion oder MyFitnessPal. Und auch wenn diese Websites an sich nicht problematisch sind, ist es allenfalls deren Nutzung durch Parlamentarier. Dazu unten mehr.
Die Problematik zieht sich durch alle Parteien und macht auch zum Beispiel vor Mitgliedern der Sicherheitskommissionen in National- und Ständerat nicht halt. Ein FDP-Mitglied hält mit 15 in den Leaks aufgetauchten Accounts den unangefochtenen Spitzenplatz.
Damit setzen sich die Parlamentarier grundsätzlich denselben Risiken aus wie jede Privatperson auch:
- Werden neben der E-Mail-Adresse auch unverschlüsselte Passwörter preisgegeben, besteht sowohl die Gefahr, dass der betroffene Account von Hackern übernommen wird, als auch das Risiko, dass das Passwort auch bei anderen Diensten verwendet wurde und diese damit ebenfalls angreifbar werden. In den von Proton untersuchten Leaks waren rund 50 unverschlüsselte Passwörter enthalten, damit wäre zumindest der Login in den entsprechenden Webdienst jederzeit (und unbemerkt) möglich gewesen.
- Die in den betroffenen Accounts enthaltenen Daten können entwendet werden und ihren Weg in die Öffentlichkeit finden.
Darüber hinaus bieten Politikerinnen gerade auf nationaler Stufe aber eine weit grössere Angriffsfläche:
- Es ist nicht auszuschliessen, dass sich auf ihren Dropbox- oder Canva-Accounts auch Inhalte befinden, welche vertraulich und nicht für die Öffentlichkeit bestimmt sind. Das können z. B. Absprachen mit anderen Parteien sein oder Notizen für eine Kommissionssitzung. Und auch wenn diese Unterlagen in die (besser geschützten) Parlaments-Systeme gehören: ausschliessen lassen sich Leaks nicht, schlussendlich nutzen wir alle diese Online-Tools, weil sie nun mal bequem sind und Zusammenarbeit mit Dritten erlauben.
- Schon rein die Verwendung von öffentlich publizierten E-Mail-Adressen für das Anlegen von Accounts erhöht das Risiko, dass diese gehackt werden (oder ein Hacking zumindest versucht wird). Parlamentarierinnen sind im Gegensatz zur breiten Bevölkerung nun mal lohnendere Ziele für Hacking-Angriffe oder gezieltes Social Engineering.
- Generell kann man sich fragen, wie sinnvoll es ist, eine berufs- oder rollenbezogene Mailadresse (wie im Falle der Parlamentarier mit ihren @parl.ch-Adressen) als Login zu verwenden. Mit Ende des Engagements oder des Mandats ist der Zugriff auf die Mailadresse nicht mehr gegeben und spätestens beim nächsten Passwort-Reset-Mail wird man überrascht feststellen, dass man sich nicht mehr in seinen Twitter/X-Account oder seine Dropbox einloggen kann.
- Und schlussendlich kann das Wissen, dass sich ein Parlamentarier mit seiner öffentlich bekannten E-Mail-Adresse bei einem Internet-Angebot für Erwachsene registriert hat, auch genutzt werden, um diesen unter Druck zu setzen. Wie das konkret abläuft, sollte spätestens seit der Veröffentlichung der User-Liste des Seitensprung-Portals Ashley Madison im Jahr 2015 bekannt sein. Im Falle der Schweizer Parlamentarier wurde bei mindestens einem davon ein entsprechender Account gefunden, für den Only-Fans-ähnlichen Anbieter Myprivateangels. (Dessen Angebot besteht nicht mehr, aber die mittels Websuche auffindbaren Spuren sprechen eine deutliche Sprache über seinen früheren Inhalt). Und so sehr auch Parlamentarier ein Recht auf Privatleben haben: Es würde privater bleiben, wenn sie sich dabei nicht mit ihrer Parlaments-E-Mail anmelden.
Es dürfte für die ParlamentarierInnen in Bern ein schwacher Trost sein, dass sich sowohl in anderen nationalen Parlamenten als auch in anderen Parlamenten in der Schweiz ähnliche Probleme finden lassen.
- Frühere Studien haben ähnliche Risiken für PolitikerInnen in Grossbritannien (68 % [Prozent wovon?]), dem Europäischen Parlament (44 %), Frankreich (18 %) und Deutschland (13 %) aufgezeigt.
- Ein von uns vorgenommener Abgleich der E-Mail-Adressen der Stadtzürcher GemeinderätInnen mit den in Have I been Pwned gespeicherten Leaks ergab rund 50 Treffer (sowohl für spezifische Websites wie Dropbox oder Adobe, wie auch für Leak-Sammlungen, bei welchen die einzelnen Logins nicht mehr spezifischen Diensten zugeordnet werden können). Beim Gemeinderat Zürich kommt (wie auch bei diversen anderen kantonalen und kommunalen Parlamenten) erschwerend hinzu, dass die Gemeinderäte mit ihrer privaten E-Mail-Adresse politisch tätig sind und entsprechend weniger in der Lage sind, politische Internet-Aktivitäten von privaten zu trennen.
Wie könnten bessere Ansätze aussehen?
Auch wenn das Kind in diesem Fall schon in den Brunnen gefallen ist, lohnt es sich (sowohl für ParlamentarierInnen als auch für Privatpersonen) darüber nachzudenken, wie die Risiken der einfachen Identifizierbarkeit reduziert werden können.
- Die schlussendlich effektivste Variante liegt auf der Hand: Man verwendet für jeden Online-Dienst eine eigens angelegte E-Mail-Adresse, deren Namen keinerlei Rückschlüsse auf den Besitzer erlaubt (anstelle
felix.muster.dropbox@web.dealso besseremail4711.geheim@web.de), und speichert sich die Login-Daten in einem Passwort-Manager. Verschiedene E-Mail-Anbieter bieten das Anlegen von solchen anonymisierenden E-Mail-Aliases bereits an, besonders komfortabel haben es Apple-User für welche iCloud ein entsprechendes Angebot integriert hat. - Darüber hinaus lohnt es sich, den Überblick über seine eigenen Accounts zu behalten (auch da hilft, wir wiederholen uns, ein Passwort-Manager) und nicht-mehr-genutzte Accounts auch mal beim Anbieter löschen zu lassen. Falls Anbieter einem das Löschen durch verwirrende Menüführung schwer machen, hilft meist eine Websuche weiter.
- Ausserdem lohnt es sich zwischendurch, vor dem Anlegen eines Accounts zu überlegen, ob es dieses Account überhaupt braucht. Gerade kommerzielle Webseiten zielen oft darauf ab, Benutzer schon vor der ersten Nutzung zum Anlegen eines Accounts zu motivieren. Da kann es durchaus sinnvoll sein, erste Versuche mit einem anonymen Wegwerf-Account zu machen und nur dann ein längerfristig genutztes Account anzulegen, wenn sich das Angebot effektiv als hilfreich erweist.
Und die oben erwähnten ParlamentarierInnen? Die sind vermutlich gut beraten, zumindest ihre als @parl.ch angelegten Accounts zu überdenken, nicht benutzte zu löschen und weiterhin relevante unter einer anonymen E-Mail-Adresse neu zu eröffnen. Im Minimum sollten sie aber zumindest ihre Passwörter ändern und wo vorhanden 2FA aktivieren.
4 Antworten
Naja, @parl.ch in der Schweiz (und @bundestag.de in Deutschland) sind auch symptomatisch dafür, dass die Schweiz (und Deutschland) das mit der Digitalisierung nicht ganz richtig verstanden haben. Der Legislative Computer und Mailserver zu geben, wo die Exekutive (Verwaltung) Administrator ist, wäre in den USA und Frankreich absolut undenkbar. Damit unterläuft man komplett die Gewaltenteilung.
Berücksichtigt werden sollte noch der Fakt, dass unzählige Services bei der Registrierung keine Überprüfung der eingetragenen Mail Adresse durchführen. Konkret, kann ich bei diesen eine x-beliebige Mailadresse (z.B. die eines Parlamentariers) hinterlegen und der Account ist registriert. Erleidet der Service später ein Leak, welches von hibpwnd aufgenommen wird, dann erscheinen dort auch diese Adressen die gar nie vom Mailbox Owner eröffnet wurden.
Für Anwender empfehle diese Massnahmen :
– eigenes Passwort für jeden Service, MFA wenn immer möglich einsetzen
– Passwort Tool für die Passwörter (mit Backup)
– eigener Mail Account für jeden Service (viele Mailservices erlauben sogenanntes + Adressing,
also statt hans.muster@mail.abcd die Adresse webshop24+hans.muster@mail.abcd
– niemals eine Phantasie Adresse verwenden die einem nicht gehört für die Registrierung bei einem Webshop verwenden (könnte sein, dass die Adresse von jemand anderem verwendet wird)
Für Service Provider empfehle ich:
– Registrierungen erst zu speichern nachdem die Mailadresse vom Postfachowner bestätigt wurde. So können Fremdregistrierungen vermieden werden.
– niemals mit Phantasie Mail Adressen Tests durchführen (es könnte sein, dass die Adresse /Domain jemandem gehört) Stattdessen das RFC lesen, es gibt extra Domains die für Testzwecke genutzt werden können
Danke für die Ergänzungen.
Dass der eine oder andere Fund ein Phantom-Account darstellen kann, lässt sich weder be- noch widerlegen. Wovon ich aber definitiv abraten würde, ist die Verwendung von „+“-Adressen zur Verschleierung des Account-Besitzers. Falls zum Beispiel die User-Liste von OnlyFans publik wird, nützt eine Emailadresse wie „onlyfans+felix.muster@example.org“ nicht vor unangenehmer Publicity.
Da bin ich voll und ganz bei Ihnen, obwohl ich nicht weiss ob OnlyFans auch so ein oneshot Ding ist, ich kenne mehrere (z.B. Dating) Portale wo keine Verifizierung der Mailadresse stattfindet, wer Böses im Schilde führt kann dort fremde Mailadressen agogo registrieren. Inhaber der Mailadresse dürfen sich dann wieder de-registrieren, falls die Anmeldung nicht übersehen wurde, weil die Willkommens Mail im Spampostfach gelandet war oder erst gar nicht durch den Mailfilter der Firma/Behörde kam.
Die + Adressen sind hilfreich um bei einem hibpwnd Eintrag festzustellen wo genau meine Adresse geleakt wurde. Denn dort muss ich nach einem Leak mein PW ändern (oder den Service verlassen weil dieser sich als unzuverlässig / unsicher herausgestellt hat.) Ausserdem habe ich so nicht nur ein individuelles Passwort pro Service sondern auch eine individuelle Identität (Mailadresse) pro Service. Die letzten Listen bei hibpwd waren ja grosse Sammlungen wo man nicht genau wusste aus welchen Leaks die Einträge alle stammten.
Zum Verschleiern ist Plus Addressing nicht geeignet, denn hinter dem + steht ja immer noch die „normale“ Mail Adresse. Wer sich damit etwas beschäftigt findet aber auch zur Verschleierung passable Lösungen.