Die E-Mail-Adressen und andere sensible Informationen von 918 britischen Abgeordneten, Mitgliedern des Europäischen Parlaments und französischen Abgeordneten und Senatoren wurden in Darknet-Marktplätze geleakt, wo Daten illegal gekauft und verkauft werden. Im Rahmen unserer Untersuchung mit Constella Intelligence(neues Fenster) haben wir das Darknet nach 2.280 offiziellen Regierungs-E-Mail-Adressen aus dem britischen Parlament, dem Europäischen Parlament und dem französischen Parlament durchsucht. Wir haben herausgefunden, dass etwa 40 % offengelegt waren, zusammen mit Passwörtern, Geburtsdaten und mehr.
Britische Abgeordnete schnitten am schlechtesten ab; über zwei Drittel (68 %) der überprüften E-Mail-Adressen erschienen im Darknet, gefolgt von fast der Hälfte (44 %) der EU-Abgeordneten. Französische Abgeordnete und Senatoren hatten die beste Sicherheit; nur 18 % der durchsuchten E-Mails erschienen in Hacker-Tauschbörsen.
Die Tatsache, dass diese E-Mails, die auf Regierungswebseiten öffentlich zugänglich sind, im Darknet auftauchen, ist an sich kein Sicherheitsversagen. Es ist auch kein Beweis für einen Hack des britischen, europäischen oder französischen Parlaments. Stattdessen zeigt es, dass Politiker ihre offiziellen E-Mail-Adressen benutzt haben, um Konten auf Drittanbieter-Websites einzurichten (die später gehackt wurden oder eine Sicherheitslücke hatten), wodurch sie sich und die Informationen, die sie schützen sollen, unnötig gefährden.
Noch besorgniserregender ist, dass diese E-Mail-Adressen mit 697 Passwörtern im Klartext abgeglichen wurden. (Proton informierte jeden betroffenen Politiker, dass sensible Daten im Internet offengelegt wurden, bevor dieser Artikel veröffentlicht wurde). Wenn ein Politiker eines dieser offengelegten Passwörter erneut verwendet hat, um sein offizielles E-Mail-Konto zu schützen, könnte es ebenfalls gefährdet sein.
Wir haben gesehen, welchen Schaden ein einziges kompromittiertes E-Mail-Konto anrichten kann. Während der US-Präsidentschaftswahl 2016 fiel Hillary Clintons Stabschef berüchtigt auf eine Phishing-Attacke(neues Fenster) herein und seine E-Mails wurden offengelegt, was peinliche Nachrichten(neues Fenster) enthüllte und für allerlei Spekulationen(neues Fenster) sorgte. Stell dir das Chaos vor, das Angreifer anrichten könnten, wenn sie Zugang zu einem Bruchteil der offiziellen E-Mail-Konten dieser Politiker erhalten würden.
Viele dieser Abgeordneten, Europaabgeordneten, Abgeordneten und Senatoren bekleiden hohe Positionen, darunter Vorsitzende von Ausschüssen, Regierungsminister und führende Oppositionsführer und haben Zugang zu hochsensiblen Informationen. Noch schlimmer ist, dass mehrere von ihnen derzeit in Ausschüssen tätig sind oder früher in Ausschüssen tätig waren, die mit der Überwachung und Durchsetzung nationaler (und internationaler) Digitalstrategien betraut sind.
Obwohl wir keine identifizierbaren Daten veröffentlichen, um das Risiko für Einzelpersonen zu vermeiden, können wir offenlegen, dass unsere Untersuchung ergab, dass gewählte Politiker ihre offiziellen E-Mails regelmäßig verwendeten, um sich bei Diensten wie LinkedIn, Adobe, Dropbox, Dailymotion, Petitionswebsites, Nachrichtendiensten und sogar in einigen wenigen Fällen bei Dating-Websites anzumelden.
Im Folgenden teilen wir die vollständigen Ergebnisse unserer Untersuchung, was diese lässige Haltung gegenüber der Cybersicherheit verursachen könnte und was Politiker (und alle anderen) tun können, um ihre Online-Sicherheit zu verbessern.
Daten von Politikern offengelegt
In unserer Untersuchung fanden wir leider allerlei sensible Informationen, die mit den E-Mails von Politikern verknüpft sind, einschließlich ihres Geburtsdatums, der Adresse ihrer Wohnsitze und ihrer Social-Media-Konten. Zusammen genommen geben diese Informationen Angreifern genügend Details, um überzeugende Phishing-Angriffe zu starten.
| Anzahl der durchsuchten E-Mail-Adressen | Anzahl der kompromittierten E-Mail-Adressen | Anzahl der Passwörter im Klartext offengelegt | Anzahl der Passwörter im Klartext offengelegt | |
|---|---|---|---|---|
| EU-Parlament | 705 | 309 | 161 | 27 |
| Britisches Parlament | 650 | 443 | 216 | 30 |
| Französisches Parlament | 925 | 166 | 320 | 137 |
Französische Politiker übertreffen andere gewählte Vertreter
Wie bereits erwähnt, fanden wir heraus, dass nur 18 % der E-Mails französischer Politiker im Darknet gehandelt wurden. Diese Verstöße sind jedoch nicht gleichmäßig verteilt. Im französischen Senat fanden wir heraus, dass 115 von 348 (33 %) der E-Mails von Senatoren offengelegt wurden, im Vergleich zu nur 51 von 577 (ca. 9 %) bei den Abgeordneten der Nationalversammlung.
Wurde ein französischer Politiker gehackt, tauchten seine Daten durchschnittlich in 7,8 Verstößen auf. Erscheint diese Zahl hoch, liegt es zweifellos daran, dass Frankreich der Heimatort des Politikers ist, der am meisten Verstöße seiner E-Mail-Adresse (137) und die meisten im Klartext offengelegten Passwörter (133) erlitt.
Frankreich ist auch der Schauplatz eines tatsächlich eingetretenen Worst-Case-Szenarios. Im November 2023 fanden Journalisten heraus, dass ein Angreifer den Benutzernamen und das Passwort der E-Mail-Adresse eines Parlamentsmitglieds stahl und den Zugriff auf dessen offizielles Postfach im Darknet verkaufte(neues Fenster). Vielleicht das überraschendste an dieser Geschichte ist, dass der geforderte Preis nur $150 (€138) betrug.
Etwas mehr als einen Monat vor Beginn der Olympischen Spiele in Paris lenken diese Ergebnisse die Aufmerksamkeit auf die Cybersicherheitspraktiken von Politikern, bei denen ein einziger Verstoß eine ernsthafte Bedrohung der nationalen Sicherheit darstellen könnte.
Die meisten britischen Politiker wurden gehackt
Laut unseren Erkenntnissen haben britische Abgeordnete glücklicherweise keinen großen Skandal durch Kontoübernahmen erlebt, obwohl 68% der gefundenen E-Mail-Adressen im Darknet auftauchten, darunter auch hochrangige Persönlichkeiten sowohl in der Regierung als auch in der Opposition. Die E-Mail-Adressen von Abgeordneten wurden insgesamt 2.110 Mal im Darknet offen gelegt, wobei der meistangegriffene Abgeordnete bis zu 30 Verstöße erlebte. Sie tauchten auch wiederholt auf, wobei die durchschnittlich gehackten Abgeordneten ihre Daten in 4,7 Verstößen fanden.
Das Vereinigte Königreich wurde wiederholt von staatlich unterstützten Cyberangriffen, auch aus Russland, angegriffen. Im Dezember 2023 beschuldigte die britische Regierung Russland(neues Fenster) eines „jahrelangen Cyberangriffs“ auf britische Akademiker, Politiker und politische Entscheidungsträger. Sie behauptete, der russische FSB habe versucht, diese Personen zu phishen, um ihre privaten E-Mails auszuspähen.
Mit den bevorstehenden Parlamentswahlen im Vereinigten Königreich ist es entscheidend, dass neue Abgeordnete ihre persönliche und nationale Cybersicherheit ernst nehmen und strikte Sicherheitsprozesse und -protokolle für offizielle Konten befolgen.
Auch die EU ist ein Ziel.
Während Mitglieder des Europäischen Parlaments weniger Verstöße erlitten als ihre britischen Kollegen, tauchten fast die Hälfte der von uns gesuchten E-Mails im Dark Web auf. Von den 309 exponierten Abgeordneten des Europäischen Parlaments waren 92 in 10 oder mehr Leaks verwickelt. Politiker in Brüssel hatten ihre E-Mail-Adressen 2.311 Mal offengelegt, zusammen mit 161 Klartext-Passwörtern. Das ist ein Alarmzeichen, da das Europäische Parlament zunehmend zum Ziel raffinierter Angriffe geworden ist und zugegeben hat, dass es nicht vorbereitet ist.
Wenn Politico(neues Fenster) nach der Sicherheit des Europäischen Parlaments und den bevorstehenden Wahlen fragte, sagte ein anonymer Mitarbeiter (der aufgrund der Sensibilität des Themas ungenannt bleiben wollte): „Wir stehen mit runtergelassenen Hosen da und wenn uns jemand hacken will, sei es ein chinesischer Bedrohungsakteur oder ein staatlicher Akteur, kann er es“.
Die Bedrohungen sind real. Im Februar fanden zwei Mitglieder und ein Mitarbeiter des Sicherheits- und Verteidigungsunterausschusses des Europäischen Parlaments Spyware auf ihren Smartphones(neues Fenster). Und im März wurde bekannt, dass APT31 (auch bekannt als Judgment Panda), eine Hackergruppe mit Verbindungen zu chinesischen Geheimdiensten, wahrscheinlich hinter einem versuchten Hack jedes Mitglieds der Europäischen Union(neues Fenster) der Interparlamentarischen Allianz zu China steckt, einer Koalition von Abgeordneten, die kritisch gegenüber der chinesischen Regierung sind.
Cybersicherheit ist nationale Sicherheit
In unseren Untersuchungen wurden die betroffenen Politiker generell durch Dienstleister wie LinkedIn oder Adobe geleakt. Auch wenn eine feindliche Übernahme eines dieser Konten einem Angreifer (oder einer ausländischen Regierung) keinen Zugang zu Staatsgeheimnissen gewährt, könnte sie die privaten Kommunikationen des Politikers oder andere sensible Daten offenlegen. Angreifer könnten dann diese Informationen verwenden, um zu phishen oder die Politiker zu erpressen.
Und das ist das beste mögliche Szenario. Wenn ein kompromittierter Politiker ein Passwort wiederverwendet, das im Darknet aufgetaucht ist, und er kein Zwei-Faktor-Authentifizierung verwendet, könnten Angreifer Zugang zu Regierungssystemen erhalten.
Leider braucht es nur einen Fehler, um deine Online-Informationen zu gefährden. Und für eine Regierung braucht es nur ein gehacktes oder geleaktes Login, um streng geheime Informationen zu enthüllen.
Einfache Schritte können uns alle sicherer machen
Das Internet schafft ein nahezu unlösbares Dilemma: Es ist fast unmöglich, deinen Alltag ohne das Internet zu meistern, aber ebenso schwierig ist es, deine Sicherheit online aufrechtzuerhalten. Und Politiker sind auch nur Menschen wie wir alle. Auch sie machen Fehler. Und manchmal kann deine Information trotzdem in Hacker-Datenbanken landen, selbst wenn du alles richtig machst.
Große Unternehmen tragen eindeutig auch eine große Verantwortung. Wie der endlose(neues Fenster) Ansturm(neues Fenster) auf Daten(neues Fenster) Datenpannen(neues Fenster) zeigt(neues Fenster), müssen sie besser auf die gesammelten Kontoinformationen aufpassen. Regierungsbeamte, insbesondere Gesetzgeber mit Zugang zu sensiblen Regierungsinformationen, müssen jedoch ein robusteres Bedrohungsmodell haben als die durchschnittliche Person. Dies gilt für jede öffentliche Person – ob Akademiker, Journalist, Führungskraft usw.
Zunächst einmal sollte niemand seine berufliche E-Mail verwenden, um Online-Konten zu erstellen, insbesondere Regierungsbeamte, die Zugang zu geheimen Informationen haben. Deine E-Mail-Adresse ist deine Online-Identität, etwas, das es Big Tech, Werbetreibenden und manchmal sogar böswilligen Angreifern ermöglicht, dich im Internet zu verfolgen. Die Verwendung deiner offiziellen Regierungs-E-Mail-Adresse für Konten ist, als ob du jedes Mal, wenn du in einen Raum gehst, „Ich bin ein wertvolles Ziel“ rufen würdest.
Hier sind einige einfache Schritte, die jeder, insbesondere Politiker und alle anderen unter öffentlicher Beobachtung, befolgen sollte, wenn sie es ernst meinen, ihre Kontosicherheit zu erhöhen:
- Verwende E-Mail-Aliase – E-Mail-Aliase verschleiern, wem ein Konto gehört (zumindest wenn der Alias bei einem Datenleck offengelegt wird). Du kannst auch problemlos einen Alias löschen, der eindeutig geleakt wurde oder in die falschen Hände geraten ist, ohne dass deine echte E-Mail-Adresse oder andere Aliase betroffen sind.
- Verwende einen Passwort-Manager – Ein Passwort-Manager verhindert zwar nicht, dass Dienste Passwörter im Klartext leaken, aber er kann sicherstellen, dass jedes deiner Konten durch ein starkes, zufälliges, einzigartiges Passwort geschützt ist. Ein guter Passwort-Manager sollte auch das Teilen und Verwalten von Passwörtern einfach machen, wodurch es weniger wahrscheinlich wird, dass du ein Passwort durch Aufschreiben preisgibst.
- Nutze Dienste zur Überwachung des Darknet – Du kannst alles richtig machen und trotzdem können deine Daten durch eine unachtsame Firma online offengelegt werden. Aber wenn du eine Überwachung des Darknet hast, wirst du informiert, sobald deine Informationen entdeckt werden, was dir ermöglicht, deine E-Mail-Adresse (oder idealerweise dein E-Mail-Alias) und dein Passwort zu ändern, bevor Angreifer sie nutzen können.
Proton Pass kann all diese Probleme lösen. Wenn du unseren Proton Pass Plus Plan wählst, erhältst du:
- Unbegrenzte hide-my-email Aliase
- Einen Passwort-Generator
- Unterstützung für Passkeys
- Eingebauter Zwei-Faktor-Authentifizierungscode-Generator
- Pass Monitor, der dich warnt, wenn deine Proton Mail E-Mail-Adressen oder Aliase im Dark Web auftauchen
- Proton Sentinel, der dein Proton Konto vor Übernahmeangriffen schützt
Übernimm die Kontrolle über die Sicherheit deines Kontos (und, wenn du Parlamentarier bist, hilf dabei, einen nationalen Skandal zu vermeiden), indem du dich noch heute für einen Proton Pass Plus Plan anmeldest.
