Passwörter von Landtagsabgeordneten aus verschiedenen Bundesländern, ihre dienstlichen Mailadressen, aber auch persönliche Daten wie Wohnorte, Telefonnummern oder Standortdaten: All das ist laut einer Studie im Darknet auffindbar und wird dort teilweise zum Verkauf angeboten. 70 Prozent der geleakten Passwörter lagen unverschlüsselt vor, so die Untersuchung, die der Schweizer Sicherheitsanbieter Proton zusammen mit dem Cybersecurity-Unternehmen Constella Intelligence Ende 2024 durchgeführt hat.
Daten im Darknet: BW-Regierungsmitglieder von Datenlecks betroffen
Auch BW-Landtagsabgeordnete sind von den Daten-Leaks betroffen. Besonders brisant: Unter ihnen sind zwei Abgeordnete der CDU, die nach SWR-Informationen inzwischen hohe Funktionen in der grün-schwarzen Landesregierung haben. Von einer dieser Personen sind laut Sicherheitsanbieter Proton sieben Datensätze im Darknet gelistet - unter anderem drei unverschlüsselte Passwörter samt persönlichen Informationen wie Adresse oder Telefonnummer. Abfragen bei unabhängigen Diensten bestätigen die Datenlecks, die überwiegend aus dem Jahr 2021 stammen.
Mitarbeitende der Abgeordneten wollten das auf Anfrage nicht bestätigen. Auch der CDU-Fraktion lagen zunächst keine offiziellen Erkenntnisse vor. Nach SWR-Informationen sind allerdings entsprechende Vorgänge im Landtag bekannt. In unmittelbarer zeitlicher Nähe zu Berichten über bundesweit mehrere betroffene Landtage verschickte die Parlamentsverwaltung in Stuttgart eine E-Mail mit Hinweisen zur Passwort-Sicherheit an die Abgeordneten. Auch in Rheinland-Pfalz gab es entsprechende Empfehlungen.
Studie zeigt große Unterschiede zwischen den Bundesländern
Und wie viele Landtagsabgeordnete betroffen sind, unterscheidet sich stark von Bundesland zu Bundesland: Sind in Rheinland-Pfalz 48 Prozent der Landtagsabgeordneten und in Sachsen-Anhalt sogar 67 Prozent von Datenlecks betroffen, so schneidet Baden-Württemberg mit einer Quote von 14 Prozent vergleichsweise gut ab. Ein Problem bleibt der offenbar zu lockere Umgang mit dienstlichen Mailadressen und Datensicherheit mancher Landtagsabgeordneter dennoch.
Viele Abgeordnete nutzten ihre dienstlichen Mailadressen offenbar, um sich zum Beispiel bei Anbietern zu registrieren, die erst mal nichts mit ihrer politischen Arbeit zu tun haben. Der Landesdatenschutzbeauftragte Tobias Keber sagt dazu: "Gerade bei Abgeordneten ist es von besonderer Bedeutung, im Hinblick auf mögliche Gefahren im Umgang mit ihren Daten zu sensibilisieren und auf die Bedeutung von IT-Sicherheitsmaßnahmen hinzuweisen." Neben allgemeinen Hinweisen zu Zugangsdaten und Passwortsicherheit käme bei Landtagsabgeordneten eine "systemische Verwundbarkeit" hinzu. Sie ergebe sich daraus, dass sie in ihrer Funktion Zugang zu sensiblen Informationen erhalten könnten, etwa Regierungsinformationen sowie als Verschlusssachen eingestufte Dokumente.
Cyberkriminelle könnten mit erbeuteten Daten Erpressungsversuche starten
Cyberkriminelle machen mit solchen - aus Hacks bei großen Social-Media-Plattformen wie LinkedIn oder Cloud-Services wie Dropbox - erbeuteten Daten ein gutes Geschäft. Wer persönliche Daten und Passwörter findet oder kauft, kann damit zum Beispiel versuchen, die betreffende Person zu erpressen. Wenn die Daten wegen der dienstlichen Mailadressen leicht Politikerinnen und Politikern verschiedenster Funktionen zugeordnet werden können, macht das diese zu potenziell attraktiven Zielen. "Wenn diese Politiker die kompromittierten Passwörter auch für Regierungssysteme wiederverwendet haben, könnten diese ebenfalls gefährdet sein", so die Cybersicherheitsexperten in ihrer Auswertung.
Die betroffenen Politikerinnen und Politiker seien vor Veröffentlichung der Auswertung über die Datenlecks informiert worden, heißt es von Proton. Gelegenheit, die Passwörter zu ändern oder anderweitig bei der Datensicherheit nachzubessern, gab es also. Wie der "SPIEGEL" recherchiert hat, waren allerdings auch nicht alle im Darknet angebotenen Passwörter und Mailadressen richtig zugeordnet. Ebenso könnte es sich teils um mittlerweile veraltete Passwörter handeln. Nach Einschätzung des Landesdatenschutzbeauftragten Keber können Betroffene selbst Vorsorge treffen, indem sie private und dienstliche Accounts, Zugänge und Passwörter strikt voneinander trennen. Kompromittierte Zugangsdaten sollten sofort geändert werden.
Cybersicherheit: Braucht es strengere Vorgaben zum Schutz von Politikern?
Ob potenzielle Cyberkriminelle etwas mit solchen Daten anfangen könnten, hänge unter anderem von der Sorgfalt der von Datenlecks betroffenen Personen ab, sagt Stefan Leibfarth. Er ist Mitglied im renommierten Hacker-Verein Chaos Computer Club in Stuttgart und erklärt, worauf es außerdem ankomme: "Wurde für jeden Dienst ein einzigartiges Passwort verwendet? Ist Zwei-Faktor-Autorisierung verfügbar und aktiviert? Hat der betroffene Dienst die Passwörter nach dem Vorfall zurückgesetzt?"
Wenn beispielsweise für mehrere Dienste dasselbe Passwort verwendet wurde, könnten potenzielle Angreifer sich damit Zugang zum persönlichen oder auch dienstlichen Mailaccount verschaffen und mit den dort erbeuteten Informationen einen Erpressungsversuch starten. Für Amtsträgerinnen und Amtsträger wären deshalb aus seiner Sicht Vorgaben oder sogar eine Verpflichtung sinnvoll, einzigartige Passwörter - etwa mithilfe eines Passwortmanagers - und die Zwei-Faktor-Autorisierung zu nutzen, so Leibfarth.
"Cyber Security Conference" von Schwarz Digits in Heilbronn Immer mehr Erpressungen per Internet: Was Cyber-Experten sagen
Sie sind im IT-System, bevor es jemand merkt: Täter greifen online Privatpersonen ebenso an wie Unternehmen aus der Wirtschaft. Erpressung ist Alltag.
In Rheinland-Pfalz empfiehlt die Landtagsverwaltung den Abgeordneten mittlerweile, eine Alias-Mailadresse mit einer Umleitung zur eigentlichen Hauptadresse zu verwenden. Eine solche ist nicht öffentlich einsehbar und kann somit nicht so leicht ausgespäht werden. Der Landtag von Baden-Württemberg will dagegen keine konkreten Angaben zu Schutzmaßnahmen machen - aus Sicherheitsgründen, wie es heißt. Die Landtagsverwaltung teilt auf Anfrage mit, die Maßnahmen zur Cybersicherheit würden "laufend überprüft und den aktuellen Bedrohungslagen angepasst".
