Zehntausende Benutzerkonten gefährdet
Ein Datenleck bei Mailadressen im Bildungsbereich sorgt für Aufregung. Dabei ist das Problem bekannt und nicht neu, wie eine exklusive Recherche des „Luxemburger Wort“zeigt. Gestern reichte der Abgeordnete Marc Goergen (Piraten) eine parlamentarische Frage über einen vermeintlichen Cyberangriff auf die Mailplattform des Bildungsministeriums ein. Goergen bezieht sich auf Betrugsmails, die Lehrkräfte in den vergangenen Wochen erhalten hätten – von ihrer eigenen Mailadresse. Der Abgeordnete vermutet einen Hackerangriff auf die Plattform und fragt beim zuständigen Ministerium nach Details.
Doch das Problem beschränkt sich weder auf den Bildungsbereich, noch handelt es sich um einen rezenten Hackerangriff. Die Mailadressen und Passwörter sind echt, stammen mit hoher Wahrscheinlichkeit aus älteren Datenlecks schlecht abgesicherter Websites und werden nun benutzt, um regelmäßig Wellen von Betrugsmails zu verschicken.
Kein Hackerangriff, sondern bekannte Datenlecks Die Passwörter wurden zwar geändert, werden von den Betrügern aber benutzt, um die Glaubwürdigkeit ihrer Drohung zu erhöhen. Myriam Bamberg, die Sprecherin des Bildungsministeriums, bestätigte, dass es sich um ein bekanntes Problem handele und dass kein rezenter Hackerangriff beim Ministerium stattgefunden habe.
Das Sicherheitsloch an sich ist vielmehr struktureller Natur und betrifft Zehntausende luxemburgische Accounts aus dem privaten und öffentlichen Bereich, wie eine Recherche des „Luxemburger Wort“ergeben hat.
Viele Tausend luxemburgische E-Mail-Adressen und ihre zugehörigen Passwörter sind frei im Netz zugänglich und stellen ein Sicherheitsrisiko von besorgniserregendem Ausmaß dar. Die Hauptgründe für dieses gigantische Sicherheitsloch sind meist Unwissen und Leichtsinn bei den Benutzern, aber auch mangelhafte Sicherheitsvorkehrungen bei vielen Betreibern luxemburgischer Webserver.
Die kompromittierten Mailadressen und Passwörter stammen fast ausschließlich aus großen Informationslecks der vergangenen Jahre und werden teilweise von Cyberkriminellen im Netz zum Verkauf angeboten, aber auch frei verfügbar gemacht. Rund 270 solch großer Datenleaks sind seit 2004 bekannt geworden. Die meisten umfassen einige Tausend Nutzer, manche liegen im zwei- bis dreistelligen Millionenbereich. Die staatliche IT-Sicherheitsstelle für den Privatsektor – kurz Circl – hat 2016 eine Liste erstellt, aus der hervorgeht, dass sich in den annähernd 86 Millionen Datensätzen mehr als 15 000 .lu-Adressen befinden.
Am 16. Januar wurde zudem eine Sammlung mit 87 Gigabyte an geleakten Daten öffentlich, die alles Kombinationen von Passwort und Mailadresse oder eine andere Adresse, aber das selbe Passwort benutzt wurde – eine Technik, die als „credential stuffing“bezeichnet wird.
Mit Hilfe automatisierter Verfahren ist es so möglich, in kürzester Zeit einen möglichen Zugriff auf Privatkonten vieler Tausender Internetplattformen zu überprüfen. Die Risiken, die so entstehen, sind eben so vielfältig wie die drohenden Schäden: Vom Diebstahl sensibler Daten und Identitätsdiebstahl über Betrug und Erpressung bis hin zur Spionage ist alles möglich.
Nun ist fehlendes Sicherheitsbewusstsein bei Endanwendern weder neu noch restlos zu beseitigen. Benutzer sollten jedoch zwingend eine Reihe von einfachen Empfehlungen befolgen, um das Risiko zu vermindern (siehe Kasten). Fehlendes Sicherheitsbewusstsein
bei Website- Betreibern Ein schwerwiegenderes Problem stellen jedoch die Quellen dar, aus denen der Großteil der geleakten Daten stammen: unzureichend abgesicherte oder falsch konfigurierte Web-Server mit ihren zugehörigen Datenbanken, die leicht angreifbar sind oder gleich sperrangelweit offen stehen.
Der Sicherheitsexperte, der dem „Luxemburger Wort“seine Erkenntnisse zur Verfügung stellte, zieht eigenen Aussagen zufolge seine Motivation aus dem Ärger darüber, dass viele Betreiber zu spät oder gar nicht reagieren, nachdem sie auf ein Sicherheitsproblem hingewiesen wurden. Als besonders gravierendes Beispiel nennt er ein luxemburgisches Webportal aus dem Süden des Landes, das im privaten Bildungsbereich tätig ist und eine Datenbank mit Informationen von Kunden und Mitarbeitern betreibt – darunter durchaus sensible Dokumente wie Ausweiskopien, Zeugnisse und Auszüge aus dem Strafregister.
Im November 2018 identifizierte der Sicherheitsexperte zahlreiche Sicherheitslücken bei dem Server, die einen Zugriff auf die gesamte Datenbank ermöglicht. Er kontaktierte sowohl den Betreiber der Website direkt, als auch die Experten von Circl, die die Sicherheitslücke bestätigten. Rückmeldung bekamen Circl und der Experte erst spät mit dem Versprechen, man werde sich „der Sache annehmen“und „arbeite sowieso an einer neuen Website“. Seitdem hat sich offenbar nichts getan: eine Überprüfung am 25. Februar zeigt, dass die selben Sicherheitslücken immer noch bestehen.
Derlei Fahrlässigkeit kann nicht nur für die Benutzer der Seite gefährlich werden, sondern auch für die Betreiber. Denn laut dem luxemburgischen Datenschutzgesetz ist der Betreiber verpflichtet, alle Maßnahmen zum Schutz seiner Kundendaten zu treffen. Tut er dies nicht, macht er sich strafbar und riskiert hohe Geldbußen von bis zu 125 000 Euro oder in extremen Fällen Haftstrafen bis maximal sechs Monate.