Nein, es wurden nicht 37 Bundesparlamentarier gehackt

Bild: Hacker mit Hoodie (medientypisches Klischeebild)

Im Tages-Anzeiger wird behauptet, jeder achte Bundesparlamentarier sei gehackt worden. Der Tages-Anzeiger schreibt von «37 gehackten National- und Ständeräten», was falsch ist. Gehackt wurden – soweit ersichtlich – nicht Parlamentarier, sondern Onlinedienste wie insbesondere Dropbox.

Der Tages-Anzeiger verweist sensationsheischend auf das Darknet und die Unterstützung durch ein Zürcher Unternehmen, das unter anderem auf die Auswertung von Daten im Darknet spezialisiert ist. Wer auf direktem Weg herausfinden möchte, ob seine Nutzerkonten von einem grossen Datenleck betroffen sind, muss aber nicht das Darknet besuchen und Spezialisten beauftragen.

Man kann gefahrlos und komfortabel die Suchfunktion von «Have I been pwned?» nutzen. Dort findet man beispielsweise die E-Mail-Adresse von Ständerat Christian Levrat unter den betroffenen (aber dadurch nicht gehackten) Personen:

Screenshot: Ergebnis einer Suche nach christian.levrat@parl.ch auf der «Have I been pwned?»-Website

Datenleck bei Dropbox, aber wurden Passwörter gehackt?

Zahlreiche Parlamentarier waren vom Datenleck bei Dropbox von 2012 betroffen – wie 68 Millionen weitere Nutzerinnen und Nutzer auch. Das Datenleck war erst 2016 vollständig bekannt geworden. In der Folge setzte Dropbox die Passwörter der mutmasslich betroffenen Nutzer zurück.

Ein solches Datenleck bedeutet aber nicht, dass die dafür verantwortlichen Personen («Hacker») die Passwörter der betroffenen Personen ohne weiteres ermitteln konnten oder gar Zugriff auf die betreffenden Dropbox-Nutzerkonten hatten. Die Passwörter wurden bei Dropbox nicht im Klartext gespeichert, sondern waren gehasht. Wer nicht ein sehr einfaches oder gängiges Passwort gewählt hatte, kann davon ausgehen, dass das verwendete Passwort nicht ermittelt werden konnte.

Es war von Dropbox dennoch richtig, die Passwörter zurückzusetzen, so dass neue Passwörter gewählt werden mussten. Es ist «best practice», nach einem Datenleck die Passwörter zurückzusetzen.

Unabhängig davon sollten Nutzer immer ein einzigartiges und genügend langes Passwort für jeden Onlinedienst wählen. Ausserdem sollte Zwei-Faktor-Authentifizierung (2FA) bei allen Onlinediensten, die diese Funktion unterstützen, aktiviert werden (Anleitung für Dropbox). Dabei hilft Software zur Passwortverwaltung.

Ausserdem: Perfide «Cybergangster» kopieren Daten anstatt sie zu entwenden! ????

Teilweise gleitet der Artikel im Tages-Anzeiger in die Absurdität ab. So wird als «perfid» bezeichnet, dass «Cybergangster» Daten nicht etwa entwenden, sondern kopieren. Die Empörung ist unverständlich, wenn man daran denkt, dass Daten immateriell und ubiquitär sind. Daten kann man deshalb im eigentlichen Sinn gar nicht stehlen. Die Betrachtungsweise erinnert an Anbieter von «Datenbunkern» in den Alpen, die leichtgläubigen Kunden versprechen, Daten könnten in ausgemusterten Bunkeranlagen der Schweizer Armee besonders sicher gespeichert werden.

Hingegen ist es nicht notwendigerweise unsicher, Daten bei Dropbox zu speichern. Die bundeseigene IT-Infrastruktur beispielsweise ist keine sichere Alternative, wie kürzlich (wieder einmal) gezeigt wurde:

«Die vermeintlich sicheren internen Computernetzwerke des Bundes waren über zwei Jahre lang für x-beliebige Aussenstehende ein offenes Buch. Der Bund hat bis heute keine Ahnung, wie viele klassifizierte Dokumente und E-Mails oder welche anderen Datensätze […] abhanden gekommen sind.»

Allerdings darf man daraus nicht den Schluss ziehen, Daten seien bei Dropbox sicher abgelegt. Es gilt immer, mögliche und praktikable Lösungen mit Blick auf die Risiken, gegen die man sich schützen möchte und schützen muss, zu vergleichen.

Bild: Pixabay / xusenru, Hacker mit Hoodie (passend zum Tages-Anzeiger-Artikel ein medientypisches Kli­scheebild!), Public Domain-ähnlich.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.