Die E-Mail-Adressen und andere sensible Informationen von 918 britischen Abgeordneten, Mitgliedern des Europäischen Parlaments und französischen Abgeordneten und Senatoren wurden auf Dark-Web-Marktplätzen geleakt, wo Daten illegal gekauft und verkauft werden. Im Rahmen unserer Untersuchung mit Constella Intelligence(neues Fenster) haben wir im Dark Web nach 2.280 offiziellen E-Mail-Adressen von der britischen, europäischen und französischen Parlamenten gesucht. Wir haben festgestellt, dass etwa 40 % exponiert waren, zusammen mit Passwörtern, Geburtsdaten und mehr.
Britische Abgeordnete schnitten am schlechtesten ab, da über zwei Drittel (68%) der geprüften E-Mail-Adressen im Dark Web auftauchten, gefolgt von fast der Hälfte (44%) der EU-Abgeordneten. Französische Abgeordnete und Senatoren hatten die beste Sicherheit, da nur 18 % der gesuchten E-Mails in Hackerbörsen auftauchten.
Die Tatsache, dass diese E-Mails, die öffentlich auf Regierungs-Webseiten verfügbar sind, im Dark Web erscheinen, ist an sich kein Sicherheitsversagen. Es ist auch kein Beweis für einen Hack der britischen, europäischen oder französischen Parlamente. Vielmehr zeigt es, dass Politiker ihre offiziellen E-Mail-Adressen verwendet haben, um Konten auf Websites von Drittanbietern einzurichten (die später gehackt oder kompromittiert wurden), und sich und die Informationen, für die sie verantwortlich sind, unnötig in Gefahr bringen.
Besorgniserregend ist, dass diese E-Mail-Adressen mit 697 Passwörtern im Klartext abgeglichen wurden. (Proton informierte jeden betroffenen Politiker darüber, dass ihre sensiblen Daten im Internet exponiert wurden, bevor dieser Artikel veröffentlicht wurde). Wenn ein Politiker eines dieser exponierten Passwörter zur Sicherung seines offiziellen E-Mail-Kontos wiederverwendet hat, könnte es ebenfalls gefährdet sein.
Wir haben das Chaos gesehen, das ein einziges kompromittiertes E-Mail-Konto verursachen kann. Während der US-Präsidentschaftswahl 2016 fiel Hillary Clintons Stabschef berühmt auf einen Phishing-Angriff(neues Fenster) herein und hatte seine E-Mails exponiert, die peinliche Nachrichten(neues Fenster) offenbarten und Futter für allerlei Spekulationen(neues Fenster) boten. Stell dir das Chaos vor, das Angreifer verursachen könnten, wenn sie Zugang zu einem Teil der offiziellen E-Mail-Konten dieser Politiker bekommen würden.
Viele dieser Abgeordneten, Abgeordneten im Europäischen Parlament, Abgeordneten und Senatoren sind hochrangige Personen, darunter Ausschussvorsitzende, Regierungsminister und führende Oppositionsführer und haben Zugang zu hochsensiblen Informationen. Noch schlimmer ist, dass mehrere von ihnen derzeit Mitglied sind oder früher in Ausschüssen saßen, die damit beauftragt sind, nationale (und internationale) digitale Strategien zu überwachen und durchzusetzen.
Obwohl wir keine identifizierbaren Daten veröffentlichen, um personenbezogene Risiken zu vermeiden, können wir offenbaren, dass unsere Untersuchung gezeigt hat, dass gewählte Politiker regelmäßig ihre offiziellen E-Mails verwenden, um sich für Dienste wie LinkedIn, Adobe, Dropbox, Dailymotion, Petitions-Webseiten, Nachrichtendienste und sogar in wenigen Fällen Dating-Webseiten anzumelden.
Im Folgenden teilen wir die vollständigen Ergebnisse unserer Untersuchung, was diese lasche Haltung zur Cybersicherheit zur Folge haben kann und was Politiker (und jeder andere) tun kann, um ihre Online-Sicherheit zu verbessern.
Exponierte Daten von Politikern
In unserer Untersuchung haben wir leider alle Arten von sensiblen Informationen gefunden, die mit den E-Mails von Politikern verbunden sind, einschließlich Geburtsdatum, Adressen ihrer Wohnsitze und sozialen Medien. Diese Informationen bieten Angreifern zahlreiche Details, um überzeugende Phishing-Angriffe durchzuführen.
| Anzahl der gesuchten E-Mail-Adressen | Anzahl der kompromittierten E-Mail-Adressen | Anzahl der exponierten Passwörter | Anzahl der im Klartext exponierten Passwörter | |
|---|---|---|---|---|
| EU-Parlament | 705 | 309 | 161 | 27 |
| Britisches Parlament | 650 | 443 | 216 | 30 |
| Französisches Parlament | 925 | 166 | 320 | 137 |
Französische Politiker übertreffen andere gewählte Amtsträger
Wie zuvor erwähnt, tauchten nur 18 % der E-Mails französischer Politiker, die wir gesucht haben, in Dark-Web-Börsen auf. Diese Verstöße sind jedoch nicht gleichmäßig verteilt. Im französischen Senat wurden 115 von 348 (33 %) der E-Mails von Senatoren, nach denen wir gesucht haben, exponiert, verglichen mit nur 51 von 577 (ungefähr 9 %) für Abgeordnete der Nationalversammlung.
Wenn ein französischer Politiker kompromittiert wurde, tauchten seine Informationen im Durchschnitt in 7,8 Verstößen auf. Wenn diese Zahl hoch erscheint, liegt das sicherlich daran, dass Frankreich die einzige Nation ist, die den Politiker mit den meisten Verletzungen seiner E-Mail-Adresse (137) und den meisten Passwörtern, die im Klartext exponiert wurden (133), beherbergt.
Frankreich ist auch die Heimat eines Beispiels, bei dem das schlimmste Szenario tatsächlich eingetreten ist. Im November 2023 entdeckten Journalisten, dass ein Angreifer den Benutzernamen und das Passwort der E-Mail-Adresse eines Mitglieds des Parlaments gestohlen und Zugang zu ihrem offiziellen Posteingang im Dark Web verkauft(neues Fenster) hatte. Vielleicht ist der überraschendste Aspekt dieser Geschichte, dass der geforderte Preis nur 150 $ (138 €) betrug.
Nur etwas mehr als einen Monat, bevor die Olympischen Spiele in Paris beginnen, heben diese Ergebnisse Bedenken hinsichtlich der Cybersicherheitspraktiken von Politikern hervor, bei denen bereits ein Verstoß eine ernsthafte Bedrohung für die nationale Sicherheit darstellen könnte.
Die meisten britischen Politiker wurden gehackt
Laut unseren Ergebnissen haben britische Abgeordnete Glück, dass sie nicht in einen großen Skandal bezüglich Kontoübernahmen verwickelt waren, da 68 % der gesuchten E-Mail-Adressen im Dark Web gefunden wurden, einschließlich hochrangiger Persönlichkeiten aus Regierung und Opposition. Die E-Mail-Adressen der Abgeordneten wurden insgesamt 2.110 Mal im Dark Web exponiert, wobei der am häufigsten ins Visier genommene Abgeordnete bis zu 30 Verstöße erlebte. Sie tauchten auch wiederholt auf, wobei der durchschnittlich kompromittierte Abgeordnete in 4,7 Verstößen auftauchte.
Das Vereinigte Königreich wurde wiederholt von staatlich unterstützten Cyberangriffen angegriffen, einschließlich aus Russland. Im Dezember 2023 beschuldigte die UK-Regierung Russland(neues Fenster) eines «jahrelangen Cyberangriffs» auf britische Akademiker, Politiker und Entscheidungsträger. Es wurde behauptet, dass Russlands FSB versuchte, diese Personen zu phishen, um auf ihre privaten E-Mails zuzugreifen.
Mit der bevorstehenden Parlamentswahl im Vereinigten Königreich ist es wichtig, dass neue Abgeordnete ihre persönliche – und nationale – Cybersicherheit ernst nehmen und strenge Sicherheitsprozesse und -protokolle für offizielle Konten einhalten.
Die EU ist ebenfalls ein Ziel
Während die Mitglieder des Europäischen Parlaments weniger Verstöße erlitten haben als ihre britischen Kollegen, tauchten fast die Hälfte der E-Mails, nach denen wir suchten, im Dark Web auf. Von den 309 exponierten MEPs waren 92 in 10 oder mehr Leaks verwickelt. Politiker aus Brüssel hatten ihre E-Mail-Adressen 2.311 Mal exponiert, zusammen mit 161 Passwörtern im Klartext. Das ist ein rotes Alarmzeichen, da das Europäische Parlament zunehmend ein Ziel von raffinierten Angriffen geworden ist und zugegeben hat, dass es nicht vorbereitet ist.
Als Politico(neues Fenster) Als ich nach der Sicherheit des Europäischen Parlaments und bevorstehenden Wahlen fragte, sagte ein anonym bleibender Mitarbeiter (der wegen der Sensibilität des Themas nicht genannt werden wollte): „Wir stehen mit unseren nackten Hintern da und wenn uns jemand hacken will, wie ein chinesischer Bedrohungsakteur oder ein staatlicher Akteur, kann er das tun.”
Die Bedrohungen sind real. Im Februar fanden zwei Mitglieder und ein Mitarbeiter des Sicherheits- und Verteidigungsausschusses des Europäischen Parlaments Spyware auf ihren Smartphones(neues Fenster). Und im März wurde bekannt, dass APT31 (auch bekannt als Judgment Panda), eine Hackergruppe mit Verbindungen zu chinesischen Geheimdiensten, wahrscheinlich hinter einem versuchten Hack jedes Mitglieds der Europäischen Union(neues Fenster) der Interparlamentarischen Allianz zu China steckt, einer Koalition von Abgeordneten, die kritisch gegenüber der chinesischen Regierung sind.
Cyber-Sicherheit ist nationale Sicherheit
In unserer Untersuchung wurden die betroffenen Politiker normalerweise von Dienstanbietern wie LinkedIn oder Adobe exponiert. Selbst wenn eine feindliche Übernahme eines dieser Konten einem Angreifer (oder einer ausländischen Regierung) keinen Zugang zu Staatsgeheimnissen gewährt, könnte es die privaten Kommunikationen dieses Politikers oder andere sensible Daten offenbaren. Angreifer könnten diese Informationen dann nutzen, um die Politiker zu phishen oder zu erpressen.
Und das ist das bestmögliche Szenario. Wenn ein kompromittierter Politiker ein Passwort, das im Dark Web exponiert wurde, auf einem ihrer offiziellen Konten wiederverwendet hat (und nicht Zwei-Faktor-Authentifizierung verwendet hat), könnte dies Angreifern Zugang zu Regierungssystemen verschaffen.
Leider genügt ein Fehler, um deine Online-Informationen in Gefahr zu bringen. Und für eine Regierung genügt ein Satz gehackter oder geleakter Anmeldedaten, um geheime Informationen offenzulegen.
Einfache Schritte können uns alle sicherer machen
Das Internet schafft ein fast unmögliches Dilemma: Es ist fast unmöglich, den Alltag ohne online zu sein, zu bewältigen, aber die Sicherheit online aufrechtzuerhalten, ist ebenso schwierig. Und Politiker sind nur Menschen wie wir alle. Sie machen auch Fehler. Und manchmal, selbst wenn du alles richtig machst, können deine Informationen trotzdem in Hacker-Datenbanken landen.
Große Firmen verdienen eindeutig ebenfalls einen großen Teil der Schuld. Wie die endlose(neues Fenster) Flut(neues Fenster) von Daten(neues Fenster) Pannen(neues Fenster) zeigen(neues Fenster), sie müssen besser auf die Kontoinformationen achten, die sie sammeln. Regierungsbeamte, insbesondere Gesetzgeber mit Zugang zu sensiblen Regierungsinformationen, sollten jedoch ein robusteres Bedrohungsmodell haben als die durchschnittliche Person. Das gilt für jede öffentliche Person – egal ob Akademiker, Journalist, Wirtschaftsführer usw.
Zunächst sollte niemand seine professionelle E-Mail nutzen, um Online-Konten zu erstellen, insbesondere Regierungsbeamte, die Zugang zu geheimen Informationen haben. Deine E-Mail-Adresse ist deine Online-Identität, etwas, das es Big Tech, Werbetreibenden und manchmal sogar böswilligen Angreifern ermöglicht, dir im Internet zu folgen. Deine offizielle Regierungs-E-Mail-Adresse für Konten zu verwenden, ist wie zu schreien: “Ich bin ein wertvolles Ziel”, jedes Mal, wenn du einen Raum betrittst.
Hier sind einige einfache Schritte, die jeder, besonders Politiker und andere unter öffentlicher Kontrolle, annehmen sollte, wenn sie ernsthaft ihre Kontosicherheit erhöhen wollen:
- Verwende E-Mail-Aliasse – E-Mail-Aliasse verschleiern, wem ein Konto gehört (zumindest wenn der Alias in einer Datenpanne offengelegt wird). Du kannst auch leicht einen Alias löschen, der eindeutig geleakt oder in die falschen Hände geraten ist, ohne deine echte E-Mail-Adresse oder andere Aliasse zu beeinträchtigen.
- Verwende einen Passwort-Manager – Ein Passwort-Manager mag nicht verhindern, dass Dienste Passwörter im Klartext leaken, aber er kann sicherstellen, dass jedes deiner Konten mit einem starken, zufälligen, einzigartigen Passwort geschützt ist. Ein guter Passwort-Manager sollte auch das Teilen und Verwalten von Passwörtern erleichtern, sodass du weniger wahrscheinlich ein Passwort durch Aufschreiben preisgibst.
- Verwende Dark Web-Überwachungsdienste – Du kannst alles richtig machen und trotzdem, durch eine Nachlässigkeit eines Unternehmens, deine Informationen online exponiert bekommen. Aber wenn du Dark Web-Überwachung hast, wirst du informiert, sobald deine Informationen erkannt werden, sodass du deine E-Mail-Adresse (oder idealerweise deinen E-Mail-Alias) und Passwort ändern kannst, bevor Angreifer sie verwenden können.
Proton Pass kann all diese Probleme lösen. Wenn du unseren Proton Pass Plus-Plan wählst, erhältst du:
- Unbegrenzte hide-my-email-Aliasse
- Ein Passwortgenerator
- Unterstützung für Passkeys
- Einen integrierten Zwei-Faktor-Authentifizierungscode-Generator
- Pass Monitor, der dich warnt, wenn deine Proton Mail-E-Mail-Adressen oder Aliasse im Dark Web erscheinen
- Proton Sentinel, der dein Proton-Konto gegen Übernahmeangriffe schützt
Übernimm die Kontrolle über die Sicherheit deines Kontos (und, falls du ein Parlamentarier bist, hilf, einen nationalen Skandal abzuwenden), indem du dich noch heute für einen Proton Pass Plus-Plan anmeldest.
