Rund 20'000 Nutzerprofile inklusive Passwörtern von Mitarbeitern von Schweizer Behörden befinden sich in der neu aufgetauchten Sammlung verschiedener Datenlecks, der sogenannten « Collection #1-5 ». Darin befinden sich die Daten exponierter Persönlichkeiten:
- Philippe Rebord, Chef der Armee
- Thomas Jordan, Präsident der Schweizerischen Nationalbank (SNB)
- Ignazio Cassis, Bundesrat, mit seiner ehemaligen Parlamentarier-Adresse
- Markus Seiler, Generalsekretär des Aussendepartements sowie Ex-Chef des Nachrichtendienstes (NDB), mit seiner ehemaligen NDB-Adresse
Weiter finden sich mehrere amtierende Regierungsräte wie der Genfer Staatsrat Pierre Maudet und rund 20 teils ehemalige Parlamentarierinnen und Parlamentarier in der Datensammlung.
Auch weitere Behörden und Betreiberinnen von kritischen Infrastrukturen sind betroffen. Darunter:
- rund 6000 Mail-Adressen der Stadt Zürich und hunderte weiterer Städte
- rund 6000 Mail-Adressen aller Kantonsverwaltungen
- rund 2500 Mail-Adressen des Bundes
- rund 500 Mail-Adressen der Schweizer Armee
- rund 100 Mail-Adressen der Kantonspolizei Bern
- fast 100 Mail-Adressen der Kantonspolizei Zürich
- rund 4000 Mail-Adressen der SBB
- rund 800 Mail-Adressen der Post
- rund 100 E-Mail-Adressen der Flugsicherungsgesellschaft Skyguide
So reagieren die Behörden
SRF hat die oben genannten Stellen konfrontiert und zahlreiche Rückmeldungen bekommen.
Die meisten Institutionen verfügen über klare Regelungen im Einsatz von Passwörtern und geschäftlichen Mailadressen. Zurzeit laufen an verschiedenen Orten Sensibilisierungskampagnen zum Umgang mit Passwörtern.
Die betroffenen Institutionen schätzen das Risiko aktuell eher klein ein, zumal die meisten über eine sogenannte Mehrfachauthentifizierung verfügen, um ihre Systeme abzusichern. Das heisst, dass man neben dem Passwort noch ein weiteres Sicherheitsmerkmal eingeben muss – zum Beispiel einen SMS-Code.
Die Melde- und Analysestelle Informationssicherung des Bundes Melani schreibt, dass das Sicherheitsrisiko klein sei. Zum grossen Teil würde es sich um alte Daten handeln. Ein Auftauchen von geschäftlichen Email-Adressen könne aber nicht gänzlich verhindert werden.
Die Kantonspolizei Bern schütze sich durch ein erhöhtes Sicherheitskonzept, welches es schwer mache, sensible Daten zu beschaffen. Grundsätzlich dürften aber keine geschäftlichen Mail-Adressen für private Zwecke verwendet werden. Dazu sei zeitnah nach der Veröffentlichung des Datenlecks in den Medien eine Sensibilisierungskampagne durchgeführt worden.
Die Kantonspolizei Zürich schreibt: «Eine Überprüfung hat ergeben, dass für die Infrastruktur der Kantonspolizei Zürich keine Bedrohung besteht.»
Die SBB schreibt, sie sei sehr früh informiert gewesen. Die publizierten Datensätze würden «nicht stimmen». Ein Zugang zu den Systemen der SBB habe nicht bestanden.
Die Post sieht generell ein «reales Risiko, sobald persönliche Daten im Internet preisgegeben werden». Man habe aber Sofortmassnahmen getroffen und setze auf Mehrfachauthentifizierung.
Skyguide hat Prozesse etabliert, um zu verhindern, dass solche Lecks gefährlich werden können. So müssen die Passwörter etwa lang und komplex sein und mehrmals jährlich geändert werden.
Die SNB schreibt, sie sei auf solche Fälle vorbereitet und habe dafür bewährte Massnahmen ergriffen. Zu Thomas Jordan äussert sie sich nicht.
