Die Piratepartei und einige Medien verbreiten Angst und Schrecken über geklaute Passwörter beim Staat. Außer grandiosen Schlagzeilen verbirgt sich jedoch weder Neues noch Erstaunliches dahinter.
Es war ein Artikel der „Zeitung vum Lëtzebuerger Vollek“ vom 5. März, der den Abgeordneten Marc Goergen (Piratepartei) dazu bewegte, eine dringende parlamentarische Anfrage an die Minister Meisch und Bettel zu stellen. Darin wurde behauptet, die Plattform „education.lu“ sei gehackt und Passwörter gestohlen worden. Dies, weil einige Nutzer*innen Erpressungs-E-Mails erhielten, die scheinbar von ihrer eigenen Adresse gesendet wurden. Am 6. März legte das „Luxemburger Wort“ nach und berichtete von einem „gigantischen Datenleck“, das „zehntausende Nutzer“(*innen) gefährdete.
Beim Stein des Anstoßes handelt es sich um eine Form der Cyberkriminalität, die in den letzten Monaten besondere Beliebtheit erfuhr. Möchtegern-Erpresser*innen versenden Mails, in denen behauptet wird, man habe den Computer des Opfers infiltriert und es mittels der eigenen Webcam bei der Masturbation und dem Besuchen von Pornoseiten gefilmt. Dieses Video werde an alle Bekannten weitergeleitet, falls man nicht eine hohe Summe in Form der Kryptowährung Bitcoin an den Absender sende. Natürlich existieren diese Videos nicht – schon seit Monaten wird vor diesen Mails gewarnt, auch vom luxemburgischen Circl, das im August eine Warnung herausgab.
Wie aber kann es sein, dass man selbst der*die Absender*in der Mail ist? Das ist ein einfacher technischer Trick namens Email spoofing. Die Absenderadresse lässt sich mit gängigen Mailprogrammen leicht verändern. Es gibt zwar Maßnahmen, die E-Mailprovider dagegen ergreifen können, dies wird jedoch in der Praxis selten genutzt – auch deswegen, weil es legitime technische Gründe gibt, auf Spoofing zurückzugreifen. Demnach irrt die „Zeitung“, wenn sie die erpresserischen Mails als Beweis für einen Hack sieht.
Auch die Behauptung, das eigene Passwort bei education.lu sei nicht änderbar, stimmt nicht. Das Passwort für das Office365-Konto lässt zwar nicht in dem Microsoft-Dienst, zu dem neben Office-Applikationen auch der E-Mail-Dienst Outlook gehört, selbst ändern, sondern lediglich im „IAM-Portal“ von education.lu. IAM steht übrigens für „Identity and Access Management“, was auch auf education.lu dokumentiert ist. Für unbedarfte Nutzer*innen kann das durchaus verwirrend sein.
Ein Sicherheitsproblem ist jedoch, dass die Office365-Dienste (im Gegensatz zu anderen Diensten die im schulischen Umfeld genutzt werden) nicht durch eine Zweifaktor-Authentifizierung gesichert werden können. Das ist ein System, mit dem neben dem Passwort auch noch ein temporärer Code eingegeben werden muss, der etwa auf einer App angezeigt wird. Dadurch ist es Angreifer*innen deutlich schwerer, ein Konto zu hacken – auch wenn sie ein Passwort erbeutet haben, können sie sich nicht einloggen.
Hinter den großartigen, bedrohlichen Schlagzeilen des „Wort“ versteckt sich zwar keine Falschmeldung, aber auch nichts Neues: Immer wieder werden Listen mit Tausenden oder gar Millionen Nutzer*innendaten veröffentlicht. Darunter sind – natürlich, möchte man beinahe sagen – auch welche von luxemburgischen Nutzer*innen. Diese Daten sind, wie das Wort ebenfalls schreibt, oft nicht sehr aktuell und niemand weiß, ob die Passwörter auch zu den E-Mail-Konten passen.
Wer beispielsweise von einem „Leak“ beim Cloud-Dienst Dropbox betroffen war, hat dort als Nutzer*innenname seine E-Mailadresse (eventuell mit der Endung @education.lu) verwendet. Das heißt jedoch nicht, dass das geleakte Passwort auch Zugang zum education.lu-Konto verschafft.
Bei unvorsichtigen Nutzer*innen, die stets das gleiche Passwort verwenden, ist das Risiko natürlich höher. Wer vorsichtig im Netz unterwegs sein will, sollte ohnehin einen Passwortmanager verwenden und sich nicht mit der beruflichen E-Mailadresse privat bei Online-Diensten anmelden.
Die Dringlichkeit der parlamentarischen Anfrage der einst als Internetpartei wahrgenommenen Piratepartei wurde indessen nicht anerkannt. Und obwohl die Panik, die manche Akteur*innen hier verbreiten wollten, wohl übertrieben war, ist es sicherlich keine schlechte Idee, sich Gedanken um die eigene Passwortsicherheit zu machen.