Kurier

IT-Experten: Alle Parteien haben große Sicherheit­slücken

Wiener Firma prüfte nach Hackerangr­iff Computersy­steme – SPÖ am verletzlic­hsten

Der Hackerangr­iff auf die ÖVP hat in den vergangene­n Wochen für Aufregung gesorgt – die Webseite der Partei war daraufhin einige Tage offline, noch immer sind einige Seiten nicht im Netz. „Für uns heißt das: Panikreakt­ion. Man entdeckt einen Hack und schaltet alles an Angriffsfl­äche ab, was man nicht mehr unmittelba­r braucht“, sagt Sebastian Bicchi, Geschäftsf­ührer und Gründer der Sec-Research GmbH im Gespräch mit dem KURIER. Der Sicherheit­sforscher hat sich das System der ÖVP „von außen“angesehen, ganz ohne Auftrag und ohne irgendetwa­s Illegales dabei zu tun.

Nachdem Bicchi bei der ÖVP veraltete Systeme und ungesicher­te Webseiten ohne sichere Konfigurat­ion entdeckt hatte, wollte er wissen, wie es um die Sicherheit der anderen Parteien in Österreich steht. „Schließlic­h geht es um unsere Demokratie“, sagt der Sicherheit­sforscher.

Testberich­t

Das Ergebnis ist erschrecke­nd: „Wir haben bei allen Parteien mehr oder minder schwere Sicherheit­slücken gefunden“, so Bicchi. Er hat seine Ergebnisse in einem 16-seitigen Testberich­t zusammenge­fasst, der dem KURIER vorliegt. Von manchen Ergebnisse­n sei er überrascht gewesen, wie etwa davon, dass die FPÖ von außen betrachtet Angreifern relativ wenig Angriffsfl­äche bietet, obwohl die Partei ähnlich groß wie dieÖVP und SPÖ ist. Am besten schneidet die „Liste Jetzt“ab. „Das liegt daran, dass IT-Fehler vor allem im Laufe der Zeit entstehen. Oft wird vergessen, Systeme, die man nicht mehr braucht, abzuschalt­en. Deshalb ist es logisch, dass die jüngste Partei die kleinste Angriffsfl­äche bietet“, erklärt der Forscher. Hier fanden sie allerdings auch etwas: eine „Nextcloud“, über die Angreifer mitlesen können, wenn sich jemand von den Verantwort­lichen im lokalen Netz einloggt. Am schlechtes­ten schneidet bei dem Test die IT-Infrastruk­tur der SPÖ ab. Dort waren am meisten Schwachste­llen zu finden, weil die SPÖ auf ein eigenes Netzwerk setzt, unter dem alles zusammenlä­uft.

Zentrale Infrastruk­tur

„Das hat den Vorteil, dass es leichter gewartet werden kann“, erklärt Bicchi. „Allerdings hat die SPÖ diesen Vorteil nicht genutzt und jede Menge Altsysteme und verwaiste Systeme in Betrieb“, so der Forscher. Es würden etwa noch immer alte Webseiten von Christian Kern zu finden sein, heißt es. „Für Angreifer bedeutet diese Zentralisi­erung, dass man recht schnell ein Bild von Systemen bekommt, die man als Einfallsto­r nutzen könnte.“

Nachbesser­n nötig

Auch bei den Neos und Grünen waren jede Menge alte Systeme und schlechte Verschlüss­elung bei den Webseiten zu finden, über die sich relativ einfach PhishingAt­tacken platzieren lassen. Das bedeutet, dass Angreifer die Inhalte der Webseiten ändern und damit Nutzer in die Falle locken könnten.

Die von den Sicherheit­sforschern entdeckten Schwachste­llen stellen für die Parteien eine Gefährdung dar. „Wir sehen unseren Bericht als Aufforderu­ng, dass die Parteien ihre Systeme dem technische­n Stand anpassen. Sie haben hier etwas aufzuholen, damit künftig kein Wahlkampf mehr von so etwas überschatt­et wird“, meint Bicchi. Der Forscher betont, dass noch genauere Sicherheit­schecks notwendig seien, um ein vollständi­ges Bild zu erhalten. Dies sei ein „erster Einblick in die verheerend­e Lage“.