09.05.2019 11:50
Klarstellungen zu Passwörtern von Politiker*innen im Internet
Heute (2019-05-09) veröffentlichte die Rechercheplattform Addendum einen Artikel über Passwörter von Politiker*innen die frei im Internet zugänglich sind (zum Artikel), der auch von anderen Medien schnell aufgenommen wurde. Darin wird angegeben, dass sich in einem Anfang diesen Jahres veröffentlichen Leak, den sog. Collections #1 - #5, E-Mailadressen und Passwörter von Politiker*innen sowie Angestellten von Ministerien befinden. Insgesamt handelt es sich um Zugangsdaten von 2.2 Milliarden Accounts, die aus vielen Quellen zusammengetragen wurden. Manche der Daten waren bereits mehrere Jahre alt. Für mehr Informationen zu diesen Collections vergleiche z.B. diesen Artikel auf Heise.de. Derartige Sammlungen sind leider nicht ungewöhnlich und werden häufig z.B. in Erpressungsmails genutzt, in denen Kriminelle Passwörter von Opfern als "Beweis" verwenden, dass sie deren Accounts übernommen haben, obwohl sie die Daten in Wirklichkeit nur aus einem solchen Leak kopiert haben.Woher genau die Daten in diesem Fall stammen, ist unseres Wissens nicht bekannt, es kann aber davon ausgegangen werden, dass die überwiegende Mehrheit aus Leaks von Privatunternehmen stammt. Das bedeutet, dass es sich bei den veröffentlichten Passwörtern in den allermeisten Fällen um Accounts handelt, die betroffene Personen mit ihren beruflichen E-Mail-Adressen bei privaten Anbietern (Social Media, Online-Shopping, etc.) angelegt haben und nicht um die Passwörter, die sie für ihre beruflichen Mailboxen verwenden. Eine echte Gefahr stellt dabei vor allem Password-Reuse, also das Verwenden gleicher Passwörter bei verschiedenen Diensten dar.Also: Ja, es sind E-Mailadressen und Passwörter von Politiker*innen und Angestellten mancher Ministerien in diesen Daten vorhanden, aber es handelt sich dabei aller Wahrscheinlichkeit nach nicht um deren dienstliche Zugangsdaten.Um sichere und unterschiedliche Passwörter mühelos zu verwalten, empfiehlt CERT.at die Verwendung von Passwort-Managern. Außerdem empfehlen wir Zwei- oder Mehr-Faktorauthentisierung zu verwenden, sofern sie angeboten wird.
This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.
Autor: Dimitri Robl
This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.
Autor: Dimitri Robl