Die Schweizer Cyber-Beamten verwirren

Verzögerung beim Passwort-Hack? Wir spürten die gestohlenen Konten sofort auf – und fanden «offene» Zugänge zu anderen Diensten.

Wer die Melani-Werkzeuge geschickt nutzt, kann gehackte E-Mail-Adressen auslesen: Blick in einen Serverraum. Foto: Urs Jaudas

Wer die Melani-Werkzeuge geschickt nutzt, kann gehackte E-Mail-Adressen auslesen: Blick in einen Serverraum. Foto: Urs Jaudas

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Am Dienstag schreckte die Melde- und Analysestelle Informationssicherung (Melani) die Schweiz bereits zum zweiten Mal innert weniger Wochen mit einer Nachricht für jeden Internetnutzer auf: 70'000 Onlinekonten seien gehackt sowie E-Mail- und Log-in-Daten gestohlen worden. Und zum zweiten Mal bot der Bund unter der Webadresse Checktools.ch ein Werkzeug an, mit dem Internetnutzer prüfen können, ob sie vom Angriff betroffen sind.

Ihre Daten wurden geklaut? Digitalredaktor Matthias Schüssler sagt, was Sie jetzt tun müssen.

Gegen die Publikation des Namens des betroffenen Webdienstes sträubte sich Melani zunächst. Nach der Anfrage von Tagesanzeiger.ch/Newsnet, ob es sich beim gehackten Portal um den Online-Shop dvd-shop.ch handle, preschte die Meldestelle gestern mit der Medienmitteilung vor: «Betroffener Webshop identifiziert.» Dvd-shop.ch ist inzwischen nicht mehr im Internet zu finden. Warum informierte Melani erst verspätet über das betroffene Portal? «Zum Zeitpunkt unseres Gangs an die Öffentlichkeit war uns der Ursprung des Datenabflusses nicht bekannt», sagt Max Klaus, stellvertretender Melani-Leiter. «Nutzermeldungen und interne Abklärungen führten uns auf die richtige Spur.» Melani habe eine Woche lang recherchiert, um herauszufinden, welcher Onlinedienst betroffen war, und habe anschliessend das Prüfwerkzeug gebaut.

Grosse Missbrauchsgefahr

Die gehackten Daten sind heikel. Es handelt sich um 68'071 E-Mails mit dazugehörigen Passwörtern. Die Passwörter sind nicht verschlüsselt, sondern in Klartext einsehbar. Stefan Brüngger, der den Videoladen gegründet hat und immer noch besitzt, erklärt auf Anfrage: «Als ich um die Jahrtausendwende mit dem Online­laden startete, war es unüblich, Nutzerpasswörter zu verschlüsseln.» Das heisst: Wenn ein Nutzer seine Passwörter nicht oder nur selten ändert und wenn er oder sie die gleichen Passwörter für unterschiedliche Konten nutzt, besteht die Gefahr, dass private Daten in grossem Umfang gestohlen werden können.

Diese Zeitung machte mit einem Sicherheitsexperten die Probe aufs Exempel. Aus dem gehackten Datensatz wurden 100 E-Mail-Konten nach dem Zufallsprinzip ausgewählt, dann begann die autorisierte Suche nach anderen Internetkonten der Nutzer: Facebook-, Linkedin-Account et cetera. Anschliessend versuchte der Sicherheitsexperte, sich mit den Passwörtern und E-Mail-Adressen in diese Konten einzuloggen. In einem Fall gelang es, die Kontrolle über ein Facebook-Konto zu übernehmen; in einem zweiten Fall über ein Linkedin-Konto. Alle anderen getesteten Passwörter funktionierten nicht mehr. Aber die Stichprobe zeigte: Die Gefahr besteht, dass solche Datensätze missbraucht werden können. Die kompromittierten Nutzer wurden nach dem Versuch umgehend informiert.

Kritik an der Melani-Arbeit

Umso unbegreiflicher ist, warum die betroffenen Nutzer nur stufenweise informiert wurden. Und: Warum scheiterte die angeblich intensive Recherche von Melani, die Quelle des Kontenhacks zu eruieren? Tagesanzeiger.ch/Newsnet weiss von betroffenen Nutzern, die eine zweiminütige Google-Recherche benötigten, um festzustellen, dass der Hack den Video­laden betraf. Für viele war es «beunruhigend einfach», das Leck zu finden. Gibt man bei der Suchmaschine die richtigen Begriffe ein, spuckt Google den Link auf ein einschlägiges persisches Forum aus.

Der Sicherheitsexperte und Forschungsmitarbeiter der Universität Liechtenstein, Gunnar Porada, beobachtet die Arbeitsweise von Melani schon eine Weile kritisch. Er sagt: «Ich verstehe nicht, warum die Meldestelle des Bundes nicht sofort alle betroffenen Nutzer informierte.» Melani verfüge ja über die E-Mails, um auf einen Schlag alle zu erreichen. «Die Abfrage-Tools des Bundes, mit deren Hilfe Nutzer überprüfen können, ob ihre E-Mail-Adressen betroffen sind, bergen auch Gefahren», sagt Porada. Er verweist auf Schweizer Foren, in denen gewiefte Nutzer Programme austauschen, um im Melani-Check-Werkzeug massenweise E-Mails zu prüfen. Geraten diese in die falschen Hände, könnten Hacker das Melani-Werkzeug dazu benutzen, gehackte E-Mail-Adressen auszulesen.

Melani verteidigt sich. Der stellvertretende Leiter Klaus sagt: «Es liegt in der Entscheidungskompetenz der Unternehmen, wann und wen sie informieren.»

«Wir lernen dazu»

Warum Melani überhaupt so schnell und so breit über den Hack informieren musste, darauf hat Klaus keine Antwort. Mittlerweile kommt der Bund in der Eigenanalyse zum Schluss, dass der Angriff rund acht bis zehn Jahre zurückliegt. Entsprechend veraltet ist der Grossteil der Passwörter. Im offenen persischen Hackerforum lagen die Daten zudem einen Monat herum, bevor Melani anonym darauf hingewiesen wurde.

Klaus sagte: «Wir ziehen aus jedem Vorfall gewisse Lehren.» Melani prüfe derzeit verschiedene Verbesserungen. Etwa, Betroffene direkt anzuschreiben. Und vor allem, mehr Zeit für die Analyse kompromittierter Nutzerdaten aufzuwenden. In anderen Worten: weniger Panik machen und professioneller werden. (Tages-Anzeiger)

Erstellt: 08.12.2017, 07:06 Uhr

Artikel zum Thema

Es gibt keine Zufälle

Kommentar Warum die Melde- und Analysestelle Informationssicherung derzeit vor allem Argumente für ihre Abschaffung liefert. Mehr...

70'000 Schweizer Logins und Passwörter gestohlen

Datendiebe haben im grossen Stil zugeschlagen: Wie Sie jetzt prüfen können, ob Ihre Web-Zugänge betroffen sind. Mehr...

Passwort: So machen Sie es richtig

Ist «Pa$$w0rt1!!» ein guter Schlüssel? Muss ich wirklich regelmässig das Passwort ändern? Aufräumen mit Mythen zum Geräte-Zugang. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blog

Kommentare

Die Welt in Bildern

Punktlandung: Eine russische Raumkapsel mit drei Raumfahrern der Internationalen Raumstation (ISS) an Bord landet in der Steppe von Kasachstan. Nach fünf Monaten ist die Besatzung wieder auf die Erde zurückgekehrt. (14. Dezember 2017)
(Bild: Dmitry Lovetsky) Mehr...