Hacker haben den Cloud-Webdienst Dropbox geknackt und sind so in den Besitz von 68 680 741 Zugangsdaten gekommen. Auch National- und Ständeräte sind betroffen. Die meisten erfuhren aber erst durch die Anfrage von BLICK vom Angriff auf ihre Daten.
Dabei ist seit Tagen bekannt, dass es bei der US-Firma Dropbox ein Datenleck gegeben hat. Mehr noch: Der Angriff passierte schon vor vier Jahren. Die Hacker kamen damals in den Besitz von Abermillionen
E-Mail-Adressen und verschlüsselter Passwörter. Damit konnten sie mit geringem Aufwand Einsicht in höchstpersönliche Dateien und Dokumente bekommen.
Vier Jahre sind eine lange Zeit. Mehr als genug für Kriminelle, um Pläne zu schmieden, wie die Zugangsdaten gewinnbringend verwendet werden könnten. Immerhin reagierte Dropbox damals sehr schnell und setzte vorsorglich alle Passwörter ihrer Kunden zurück.
So waren die Konten für Hacker und Spione nicht mehr zugänglich. Damit verhinderte der grösste Anbieter für Internet-Speicherplatz ein PR-Desaster. Wie der Coup gelang, ist indes bis heute nicht klar. Bekannt aber machte ihn Dropbox erst vor einigen Tagen. Den Hackern war es gelungen, die Rohdaten der Passwörter zu entschlüsseln und für ein paar Hundert Franken zu verkaufen. Dropbox geriet in Zugzwang und musste diese Woche zugeben: «Die Liste mit den Daten ist echt.»
BLICK fand darin die Zugangsdaten von 24 Parlamentariern. Darunter sind Partei- und Fraktionschefs. Sie nutzten den Dropbox-Dienst mit der privaten oder sogar der Parlaments-E-Mail-Adresse. Gehackt? «Nein, davon wusste ich bislang nichts», sagt der Berner FDP-Nationalrat Christian Wasserfallen überrascht. Gleich reagieren BDP-Fraktionschefin Rosmarie Quadranti und SVP-Nationalrat Lukas Reimann.
Mit dem Freiburger SP-Ständerat Christian Levrat war auch ein Parteipräsident unter den Betroffenen. Er hatte bereits vom GAU erfahren. Genauso wie Quadranti dementiert Levrat jedoch, geheime Informationen preisgegeben zu haben: «In meiner Dropbox ist nichts Interessantes oder Vertrauliches.»
Das Passwort ist besonders sensibel
Der Zürcher IT-Sicherheitsexperte Michael von Dach sieht in möglicherweise sensiblen Dropbox-Dateien aber nicht das einzige Problem: «Wirklich gefährlich ist es, wenn geknackte Passwörter nicht nur bei Dropbox, sondern auch auf anderen Webseiten verwendet werden.»
Das gleiche Passwort für alle Webseiten zu benutzen, ist gemäss der Erfahrung von Dachs aber sehr verbreitet. Der Experte warnt: «Mit einem gestohlenen Passwort erhalten Hacker so auch Zugriff auf E-Mail-Konten oder Facebook-Profile.»
Von den angefragten Schweizer Parlamentariern wollte sich niemand zu einem solch verantwortungslosen Umgang bekennen. Alle gaben an, mehrere verschiedene Passwörter im Internet zu verwenden.
Ein vorbildliches Verhalten, aber auf freiwilliger Basis. Anders als viele Mitarbeiter in Grosskonzernen sind unsere National- und Ständeräte nicht verpflichtet, ihre Passwörter regelmässig zu ändern. Mark Stucki von den Parlamentsdiensten erklärt, es gebe sowieso eine zusätzliche Sicherheitshürde für das Parlaments-Extranet, die sogenannte Zwei-Faktor-Authentifizierung. Dieses Verfahren ist besonders im E-Banking verbreitet. Beim Login wird zusätzlich zum Passwort ein weiteres Sicherheitselement benötigt, etwa ein Code, der per SMS zugestellt wird. Ein Verfahren, das bei sensiblen Logins Standard ist.
«Grundsätzlich», sagt Mark Stucki, «haben vertrauliche Parlamentsunterlagen auf privaten Dropbox-Konten nichts verloren.»