Rund 20'000 Nutzerprofile inklusive Passwörtern von Mitarbeitern von Schweizer Behörden befinden sich in der neu aufgetauchten Sammlung verschiedener Datenlecks, der sogenannten «Collection #1-5». Darin befinden sich die Daten exponierter Persönlichkeiten:
- Philippe Rebord, Chef der Armee
- Thomas Jordan, Präsident der Schweizerischen Nationalbank (SNB)
- Ignazio Cassis, Bundesrat, mit seiner ehemaligen Parlamentarier-Adresse
- Markus Seiler, Generalsekretär des Aussendepartements sowie Ex-Chef des Nachrichtendienstes (NDB), mit seiner ehemaligen NDB-Adresse
-
Bild 1 von 8. Bundesrat Ignazio Cassis taucht mit seiner alten Parlamentarier-Adresse inklusive Passwort im Leck auf. Mehr als zwanzig aktuelle und ehemalige Parlamentarier sind betroffen, die ihre offizielle E-Mail-Adresse für einen der gehackten Dienste verwendet hatten. Bildquelle: Keystone.
-
Bild 2 von 8. Philippe Rebord ist Chef der Armee und damit eine weitere exponierte Person, deren Daten besonders schützenswert sind. Seine Mailadresse inklusive Passwort finden sich im Leck – wie auch die von rund 500 weiteren Armeeangehörigen. Gemäss Armeesprecher wurden alle betroffenen Mitarbeiter informiert. Bildquelle: Keystone.
-
Bild 3 von 8. Thomas Jordan ist Präsident der Schweizerischen Nationalbank SNB. Auch seine offizielle Mailadresse sowie ein Passwort für einen der gehackten Dienste sind betroffen. Bildquelle: Keystone.
-
Bild 4 von 8. Markus Seiler, ehemaliger Chef des Nachrichtendienstes und heutiger Generalsekretär des Aussendepartements EDA, ist als einziger Nachrichtendienstmitarbeiter mit seiner (alten) offiziellen Adresse auffindbar – womöglich wegen eines Lecks beim sozialen Netzwerk Linkedin. Bildquelle: Keystone.
-
Bild 5 von 8. Skyguide überwacht den Schweizer Luftraum bei zivilen und militärischen Flügen. Über hundert Mailadressen von Skyguide-Mitarbeitern inklusive Passwörtern sind im Leck auffindbar. Skyguide selbst verweist darauf, dass die Daten bei Dritt-Anbietern gestohlen wurden. Man habe Prozesse etabliert, um solche Lecks zu verhindern. Bildquelle: Keystone.
-
Bild 6 von 8. Auch die Kantonspolizei Zürich ist mit fast hundert Mailadressen inklusive exponierten Passwörtern betroffen. Ein Sprecher sagt, man habe davon Kenntnis, es bestehe aber keine Bedrohung für die Infrastruktur. Bildquelle: Keystone.
-
Bild 7 von 8. Die Kantonspolizei Bern ist mit über hundert Mailadressen die Polizei mit den meisten exponierten Accounts. Auch weitere Polizeien wie jene von Genf, Tessin oder St.Gallen sind betroffen. Bildquelle: Keystone.
-
Bild 8 von 8. Besonders oft finden sich in der «Collection #1-5» Mailadressen mit der Endung «zuerich.ch». Es handelt sich dabei um den Gemeinderat und die Stadtverwaltung von Zürich. Über 6000 Mailadressen mit dieser Endung sind im Passwortleck auffindbar. Bildquelle: Keystone.
Weiter finden sich mehrere amtierende Regierungsräte wie der Genfer Staatsrat Pierre Maudet und rund 20 teils ehemalige Parlamentarierinnen und Parlamentarier in der Datensammlung.
Auch weitere Behörden und Betreiberinnen von kritischen Infrastrukturen sind betroffen. Darunter:
- rund 6000 Mail-Adressen der Stadt Zürich und hunderte weiterer Städte
- rund 6000 Mail-Adressen aller Kantonsverwaltungen
- rund 2500 Mail-Adressen des Bundes
- rund 500 Mail-Adressen der Schweizer Armee
- rund 100 Mail-Adressen der Kantonspolizei Bern
- fast 100 Mail-Adressen der Kantonspolizei Zürich
- rund 4000 Mail-Adressen der SBB
- rund 800 Mail-Adressen der Post
- rund 100 E-Mail-Adressen der Flugsicherungsgesellschaft Skyguide
So reagieren die Behörden
SRF hat die oben genannten Stellen konfrontiert und zahlreiche Rückmeldungen bekommen.
Die meisten Institutionen verfügen über klare Regelungen im Einsatz von Passwörtern und geschäftlichen Mailadressen. Zurzeit laufen an verschiedenen Orten Sensibilisierungskampagnen zum Umgang mit Passwörtern.
Die betroffenen Institutionen schätzen das Risiko aktuell eher klein ein, zumal die meisten über eine sogenannte Mehrfachauthentifizierung verfügen, um ihre Systeme abzusichern. Das heisst, dass man neben dem Passwort noch ein weiteres Sicherheitsmerkmal eingeben muss – zum Beispiel einen SMS-Code.
Die Melde- und Analysestelle Informationssicherung des Bundes Melani schreibt, dass das Sicherheitsrisiko klein sei. Zum grossen Teil würde es sich um alte Daten handeln. Ein Auftauchen von geschäftlichen Email-Adressen könne aber nicht gänzlich verhindert werden.
Die Kantonspolizei Bern schütze sich durch ein erhöhtes Sicherheitskonzept, welches es schwer mache, sensible Daten zu beschaffen. Grundsätzlich dürften aber keine geschäftlichen Mail-Adressen für private Zwecke verwendet werden. Dazu sei zeitnah nach der Veröffentlichung des Datenlecks in den Medien eine Sensibilisierungskampagne durchgeführt worden.
Die Kantonspolizei Zürich schreibt: «Eine Überprüfung hat ergeben, dass für die Infrastruktur der Kantonspolizei Zürich keine Bedrohung besteht.»
Die SBB schreibt, sie sei sehr früh informiert gewesen. Die publizierten Datensätze würden «nicht stimmen». Ein Zugang zu den Systemen der SBB habe nicht bestanden.
Die Post sieht generell ein «reales Risiko, sobald persönliche Daten im Internet preisgegeben werden». Man habe aber Sofortmassnahmen getroffen und setze auf Mehrfachauthentifizierung.
Skyguide hat Prozesse etabliert, um zu verhindern, dass solche Lecks gefährlich werden können. So müssen die Passwörter etwa lang und komplex sein und mehrmals jährlich geändert werden.
Die SNB schreibt, sie sei auf solche Fälle vorbereitet und habe dafür bewährte Massnahmen ergriffen. Zu Thomas Jordan äussert sie sich nicht.
