Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Klarstellungen zu Passwörtern von Politiker*innen im Internet

9. Mai 2019

Heute (2019-05-09) veröffentlichte die Rechercheplattform Addendum einen Artikel über Passwörter von Politiker*innen die frei im Internet zugänglich sind (zum Artikel), der auch von anderen Medien schnell aufgenommen wurde. Darin wird angegeben, dass sich in einem Anfang diesen Jahres veröffentlichen Leak, den sog. Collections #1 - #5, E-Mailadressen und Passwörter von Politiker*innen sowie Angestellten von Ministerien befinden. Insgesamt handelt es sich um Zugangsdaten von 2.2 Milliarden Accounts, die aus vielen Quellen zusammengetragen wurden. Manche der Daten waren bereits mehrere Jahre alt. Für mehr Informationen zu diesen Collections vergleiche z.B. diesen Artikel auf Heise.de. Derartige Sammlungen sind leider nicht ungewöhnlich und werden häufig z.B. in Erpressungsmails genutzt, in denen Kriminelle Passwörter von Opfern als "Beweis" verwenden, dass sie deren Accounts übernommen haben, obwohl sie die Daten in Wirklichkeit nur aus einem solchen Leak kopiert haben.

Woher genau die Daten in diesem Fall stammen, ist unseres Wissens nicht bekannt, es kann aber davon ausgegangen werden, dass die überwiegende Mehrheit aus Leaks von Privatunternehmen stammt. Das bedeutet, dass es sich bei den veröffentlichten Passwörtern in den allermeisten Fällen um Accounts handelt, die betroffene Personen mit ihren beruflichen E-Mail-Adressen bei privaten Anbietern (Social Media, Online-Shopping, etc.) angelegt haben und nicht um die Passwörter, die sie für ihre beruflichen Mailboxen verwenden. Eine echte Gefahr stellt dabei vor allem Password-Reuse, also das Verwenden gleicher Passwörter bei verschiedenen Diensten dar.

Also: Ja, es sind E-Mailadressen und Passwörter von Politiker*innen und Angestellten mancher Ministerien in diesen Daten vorhanden, aber es handelt sich dabei aller Wahrscheinlichkeit nach nicht um deren dienstliche Zugangsdaten.

Um sichere und unterschiedliche Passwörter mühelos zu verwalten, empfiehlt CERT.at die Verwendung von Passwort-Managern. Außerdem empfehlen wir Zwei- oder Mehr-Faktorauthentisierung zu verwenden, sofern sie angeboten wird.


This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.

Autor: Dimitri Robl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
Kritische RCE Schwachstelle in Oracle WebLogic Server
19. Juni 2019 | Beschreibung | Mehrere ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/5/9 - 11:50:58
Haftungsausschluss / Datenschutzerklärung