Wie sind die Passwort-Leaks österreichischer Staatsbediensteter einzuschätzen?

Addendum titelt "Passwörter von Politikern frei im Netz". Und hat damit vollkommen recht, ohne Übertreibung. Untersucht wurde hier nämlich die "Collection #1 - #5", einer der größten Passwort-Leaks, die es bis jetzt gegeben hat.

Rund 900 Gigabyte an Daten hat der gesamte Leak. Er ist frei im Internet herunterladbar. Und unter den 2,2 Milliarden E-Mail Adressen und Passwörtern befinden sich 7.800 E-Mail Adressen und Passwörter von Staatsbediensteten, und ca. 350 Politiker.

So weit zur Story von Addendum.

Seilseil

Gefährlich wird das Ganze nur, wenn die jeweiligen User ihre Passwörter auch auf anderen Plattformen – oder gar organisationsintern – so oder in einer sehr ähnlichen Ausführung verwenden. Besonders brisant ist dies natürlich für Mitglieder der Regierung.

Das Threat-Model eines Ministers, einer Ministerin enthält zweifelsohne fähigere "Gegner", als das eines einfachen Staatsbediensteten.

Auch wenn das Passwort im Leak nicht das richtige ist – mit ein paar Mutationen lassen sich sehr schnell sogenannte "Wordlists" bilden, mit denen man das eine oder andere Passwort dann doch erraten könnte. Die Klassiker hier sind:

• Jahreszahlen (oder generell Zahlen) nach oben zählen: Urlaub2018 statt Urlaub2017
• Einzelne Buchstaben rotieren: "heilheil" statt "seilseil"
• Ein Rufzeichen oder eine 1 anhängen

Konfrontiert mit den Daten wird entweder abgestritten, oder bestätigt. Nur Einer der von Addendum befragten Politiker verwendet inzwischen einen Passwortmanager.

Antifragilität

Ich habe vor Kurzem das Buch "Antifragility" von Nassim Nicholas Taleb gelesen. Eine zentrale These hier ist, dass es Systeme gibt, die von Chaos und Unordnung profitieren. Unser Finanzsystem ist zum Beispiel keines davon.

Der Leak der Passwörter lässt sich für mich ganz klar unter Antifragilität einstufen:

Je mehr Leaks es gibt, desto besser werden die Methoden der Angreifer.

Man kennt es aus den Erpressungsversuchen, bei denen das Opfer vermeintlich über die Webcam gefilmt wurde. Zur Untermauerung wird das echte Passwort dieser Person in der E-Mail angehängt.

Wir haben inzwischen gelernt, Spam ein wenig auszusortieren. Wenn dann echte persönliche Daten darin enthalten sind – und das Bewusstsein für diese Datenleaks nicht da ist – ergibt sich eine sicher vervielfachte "Conversion Rate" der Erpresser.

Passwortmanager-Pflicht?

Wo wir uns sicher sein können ist: diese Angriffe und Leaks werden definitiv nicht aufhören. Und mit den Passwortmanagern existiert bereits eine Lösung, die sogar noch bequemer als die unsichere Alternative ist!

Eigentlich sollte das für Staatsbedienstete – oder zumindest die Regierungsmitglieder – zur Pflicht werden. Natürlich nehmen wir unsere persönlichen Schwächen (und wir Menschen sind einfach nicht gut beim Thema Passwörter) in unsere Ämter und Berufe mit.

Da fehlt, wie mir scheint, aber noch einiges an Aufklärungsarbeit.