Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Klarstellungen zu Passwörtern von Politiker*innen im Internet

9. Mai 2019

Heute (2019-05-09) veröffentlichte die Rechercheplattform Addendum einen Artikel über Passwörter von Politiker*innen die frei im Internet zugänglich sind (zum Artikel), der auch von anderen Medien schnell aufgenommen wurde. Darin wird angegeben, dass sich in einem Anfang diesen Jahres veröffentlichen Leak, den sog. Collections #1 - #5, E-Mailadressen und Passwörter von Politiker*innen sowie Angestellten von Ministerien befinden. Insgesamt handelt es sich um Zugangsdaten von 2.2 Milliarden Accounts, die aus vielen Quellen zusammengetragen wurden. Manche der Daten waren bereits mehrere Jahre alt. Für mehr Informationen zu diesen Collections vergleiche z.B. diesen Artikel auf Heise.de. Derartige Sammlungen sind leider nicht ungewöhnlich und werden häufig z.B. in Erpressungsmails genutzt, in denen Kriminelle Passwörter von Opfern als "Beweis" verwenden, dass sie deren Accounts übernommen haben, obwohl sie die Daten in Wirklichkeit nur aus einem solchen Leak kopiert haben.

Woher genau die Daten in diesem Fall stammen, ist unseres Wissens nicht bekannt, es kann aber davon ausgegangen werden, dass die überwiegende Mehrheit aus Leaks von Privatunternehmen stammt. Das bedeutet, dass es sich bei den veröffentlichten Passwörtern in den allermeisten Fällen um Accounts handelt, die betroffene Personen mit ihren beruflichen E-Mail-Adressen bei privaten Anbietern (Social Media, Online-Shopping, etc.) angelegt haben und nicht um die Passwörter, die sie für ihre beruflichen Mailboxen verwenden. Eine echte Gefahr stellt dabei vor allem Password-Reuse, also das Verwenden gleicher Passwörter bei verschiedenen Diensten dar.

Also: Ja, es sind E-Mailadressen und Passwörter von Politiker*innen und Angestellten mancher Ministerien in diesen Daten vorhanden, aber es handelt sich dabei aller Wahrscheinlichkeit nach nicht um deren dienstliche Zugangsdaten.

Um sichere und unterschiedliche Passwörter mühelos zu verwalten, empfiehlt CERT.at die Verwendung von Passwort-Managern. Außerdem empfehlen wir Zwei- oder Mehr-Faktorauthentisierung zu verwenden, sofern sie angeboten wird.


This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.

Autor: Dimitri Robl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in Microsoft Remote Desktop Services - Updates verfügbar
16. Mai 2019 | Beschreibung | Microsoft ...
Update: ASUS Live Update verbreitete Schadsoftware
25. März 2019 | Update: ...
mehr ...
CEO Fraud goes WhatsApp
24. Mai 2019 | Uns wurde ...
Cyber Security Challenge 2019
17. Mai 2019 | Auch heuer ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/5/9 - 11:50:58
Haftungsausschluss / Datenschutzerklärung