Alle Artikel über "SwissLeak"

Leaking Switzerland – 8 Millionen sind erst der Anfang

- - Allgemein, IT, Web
  1. Hacking Switzerland: Dataleaks
  2. Alles über Schweizer Passwörter
  3. Die Schweiz in der Anti Public Combo List
  4. Leaking Switzerland – 8 Millionen sind erst der Anfang

Seit über einem Jahr sammelt und analysiert SwissLeak.ch nun geleakte Schweizer Accounts. Nach über 8  Millionen geleakten Schweizer Accounts ist es Zeit für einen kurzen Rückblick.

Am Anfang stand Dropbox

Begonnen hat SwissLeak mit den Datensätzen aus dem Dropbox-Leak. Mittlerweile sind Datensätze von mehr über 3000 Leaks in SwissLeak enthalten; Als Anmerkung – es werden nur solche gelistet, die auch Schweizer Accounts enthalten bzw. auf Schweizer Benutzer zurückgeführt werden können.

Effektiv sind es also wesentlich mehr – oder in Zahlen ausgedrückt; mehrere Milliarden von durchsuchten Datensätzen. Und es werden nicht weniger.

Im Gegenteil: Waren es anfangs vor allem geleakte Services aus den USA oder Asien, geraten vermehrt auch Services aus der DACH – Region ins Fadenkreuz.

SwissLeak hat mittlerweile neben den grossen und bekannten Datenleaks auch viele kleine, lokale aber nicht minder gefährliche Datensätze im Repertoire.

SwissLeak History

Anzahl und Zeitlicher Verlauf der importierten Accounts / Quellen. (Live-Grafik: swissleak.ch/history)

Die Kernidee

Wir haben SwissLeak mit der Idee aufgeschaltet, um zu zeigen dass Datenleaks auch die Schweiz in starkem Masse betreffen. Mit Absicht haben wir nur Organisationen von breitem, öffentlichem Interesse publiziert – wenn gleich private und KMUs im gleichen Massen betroffen sind.

Durch die Konzentration auf „nur ein Land“ (und erst noch ein verhältnismässig kleines) hat SwissLeak maximale Tiefe und Genauigkeit. Wo andere Millionen von Datensätzen einfach importieren, kann sich SwissLeak erlauben fehlerhafte oder unvollständige Leaks zu korrigieren und mit Metadaten anzureichern.

Ein weiterer Grund für die Realisation von SwissLeak ist das, was der Bund generell als Versorgungssicherheit bezeichnet. Wir bunkern Material, Öl, Waffen und Lebensmittel – Daten verteilen wir aber grosszügig in der ganzen Welt. Was dabei zu denken gibt ist nicht etwa das Auslagern von Daten sondern vielmehr unser Umgang mit dem Bereich IT.

Wir sind versucht insbesondere im Sicherheitsbereich nur noch auf Inputs von anderen Ländern zu reagieren – was und wie viel uns dabei mitgeteilt wird bleibt im Ungewissen. Dass solche Ideen keine Utopie sind und diese Inputs tatsächlich manipuliert werden zeigen diverse Vorkommnisse der jüngsten Verhangenheit (z.B: „WannaCry„).

Wenn wir uns also schon selbst als „digitales Land“ feiern sollten wir uns auch mit der Kehrseite der Medaille befassen – denn die hat es in sich…

Ein tieferes Verständnis von Datenleaks

Ein Datenleak ist nicht einfach ein Passwort und eine Emailadresse, welches durch Zufall ins Netz gelangt.

In der Summe sind sie ein Abbild des digitalen Lebens eines jeden einzelnen. Man kann dadurch nicht nur bestehende Interessen, Vorlieben und Schwächen eines Benutzer erkennen sondern auch zukünftige Verhalten erahnen.

Viele Benutzer können oder wollen die kurz-, mittel- und langfristigen Konsequenzen eines Datenleaks aber nicht verstehen – mitunter ein Grund, dass viele Schweizer Benutzer / Passwortkombinationen auch nach einem bzw. mehreren Leaks immer noch Gültigkeit haben.

Auf Organisationsebene scheint der Wille, die Datensicherheit zu erhöhen bzw. das Benutzerverhalten zu korrigieren nur in der IT- oder PR – Abteilung vorhanden zu sein. Der bereits im Artikel Hacking Switzerland: Dataleaks erwähnte Grundsatz  „Dementieren, Entschärfen, Vergessen“ findet auch hier rege Anwendung.

SwissLeak verhindert das nicht bzw. drängt weder die Organisation noch den Benutzer dazu, entsprechende Massnahmen zu treffen und entfernt den öffentlich zugänglichen Eintrag unkompliziert und ohne grosse Formalitäten. Da dieses Entfernen aber einer Kenntnisnahme gleichkommt, behält sich SwissLeak natürlich vor, in einem Ernstfall die entsprechenden Stellen auch nachträglich zu informieren.

Medien und Berichterstattung

Gerade in letzter Zeit gibt es vermehrt Medienmitteilungen, Zeitungsberichte und Onlinereportagen die über Datenleaks und die Schweiz berichten.

Praktisch alle Artikel sind relativ flach, schüren Ängste und sind in erster Linie purer Populismus.

Die Aussagekraft entsprechender Artikel tendiert gegen Null – wenn überhaupt werden alte und oftmals auch halbwahre Behauptungen aufgestellt bzw. einfach „nachgeplappert“.

Dazu auch ein Beispiel: SwissLeak.ch hatte im Jahr 2017 eine Anfrage eines grösseren Schweizer Medienhauses, welche mit folgender Einleitung begann:  „Um einschätzen zu können, ob sich ein Bericht darüber lohnt…“

Eigentlich sollte die erste Frage eines Journalisten in so einem Fall sein „Stimmt der Unsinn den ihr da verbreitet überhaupt und könnt ihr das beweisen?“ und nicht „Wieviel Publicity bekommen wir denn damit?“

So viel dazu. Generell weiss man in der Schweiz manchmal nicht so recht, nach welchen Kriterien die Berichterstattung erfolgt.

Zwar wurde lang und breit über die vom Dropbox-Leak betroffenen Politiker berichtet oder aber ein Wirbel um die 21’000 Userdaten in der COMBO-Liste von MELANI gemacht – Details zu den fast 800’000 Schweizer Accounts aus der Anti – Public Combo List scheinen den Medien aber entgangen zu sein.

Oder ist das etwa, weil man 20 geleakte Politiker besser verkaufen kann, als ein paar Millionen geleakte Accounts von Steuerzahlern?

Bund, Kantone und Gemeinden

Zugegeben – in der Schweiz „lästern“ wir auf hohem Niveau. Es gibt aber in letzter Zeit immer wieder die Tendenz, dass Bund, Kantone und Gemeinden Aufgaben übernehmen die sie weder etwas angehen noch eigentlich in ihren Aufgabenbereich gehören.

Entsprechend üppig fällt der ganze Behördenapparat mittlerweile aus – und findet sich zu einem nicht unbeträchtlichen Teil auch wieder in der Datenbank von SwissLeak.

Tatsächlich haben wir in der Schweiz mit MELANI gerade in diesem Bereich sogar eine staatliche Organisation, deren Aufgabe unter anderem der Schutz von Informationsdienstleistungen ist.

Wenn wir ehrlich sind – MELANI scheint diesbezüglich in der Schweiz sogar die einzige, offizielle Anlaufstelle.

Abgesehen von der sicher nicht immer einfachen Anspruchsgruppe, dem für ihren Aufgabenbereich viel zu tiefen Budget und der häufig fehlenden Anerkennung ist MELANI für die Schweiz so etwas wie die „letzte Bastion“, der letzte Schutzwall gegen Aussen.

Trotzdem gehören sensible Benutzerdaten von Einwohnern genauso wenig in die Hand einer staatlich kontrollierten Organisation wie in die eines ausländischen Nachrichtendienstes. Das hat nichts mit Misstrauen gegenüber einzelnen Mitarbeitern zu tun, sondern mit einem gesunden Argwohn gegenüber dem System „Staat“ an sich.

Gerade in Bezug auf das neue Nachrichtendienstgesetz der Schweiz bzw. den „natürlichen Austausch verschiedener Stellen untereinander“ ist es nur eine Frage der Zeit bis solche Datensätze auch von anderen Stellen angefordert und genutzt werden.

Gleichgültigkeit

Mit SwissLeak Research haben wir eine Erweiterung ins Leben gerufen, welche die Betroffenheit jeder Schweizer Gemeinde von Datenleaks zeigt.

Mittlerweile sind über 3800 Organisationen mit geleakten Accounts, über 1400 Gemeinden und total über 8,3 Millionen geleakter Schweizer Accounts in der Masterdatenbank von SwissLeak.

Anmerkung: Sollten Organisationen oder Gemeinden auf SwissLeak.ch nicht aufgeführt sein liegt das nicht an fehlenden Rohdaten sondern daran, dass diese noch nicht zugewiesen sind (beinahe der grösste Aufwand…)

Entsprechend dürfte man doch annehmen, dass obige Publikationen eine Reaktion provozieren, oder?

Weit gefehlt. Zwar haben sich einige Organisationen gemeldet, verglichen mit der Anzahl Betroffener aber ein schlechter Witz.

In einen ähnlichen Bereich gehört „die fehlende Bereitschaft zuzuhören„.  Originalaussagen wie „ich bin jetzt seit 20 Jahren in der IT und wir hatten noch nie Probleme mit Datenleaks…“ mögen vor 20 Jahren Gültigkeit besessen haben – heute sind sie  in Anbetracht von IoT, Cloud und Socialnetworking einfach nur falsch!

Automatische Suche

In diversen Gesprächen wurden Aussagen gemacht, dass man „Leaks auch automatisch suchen kann“.

Es gibt genau zwei Gründe, wann dies tatsächlich automatisch funktioniert:

  • Die Daten werden von einem Fremdanbieter in bereits aufbereiteter Form importiert („Resale…“)
  • Es wird nur nach Emailadressen gesucht (ohne Zusammenhang oder Metadaten)

Beide Varianten sind ungenau (was importieren wir eigentlich?), nicht aktuell und lassen die interessanten Informationen (Passwörter, Metadaten) weg.

SwissLeak nutzt – bis auf wenige Ausnahmen – ausschliesslich Rohdaten die manuell geprüft, analysiert, bereinigt, angereichert und importiert werden.

Dazu vielleicht auch noch als weitere Klarstellung – es gibt keine zentrale Datenbank, wo jeder „seine Leaks“ in einer schön formatierten „Excel – Tabelle“ hochlädt (bei Datensätzen von 5GB+ sowieso ein Ding der Unmöglichkeit…)

Leaks werden gehandelt, getauscht und – wen überrascht es – geleakt.

Die Datensätze die man erhält bzw. findet sind von „formatiert“ bis hin zum „absoluten Chaos“ immer unterschiedlich aufgebaut. Damit zumindest eine grundlegende Übersicht entstehen kann, müssen diese manuell vereinheitlicht und analysiert werden – etwas das (noch) kein System automatisch hinbekommt.

Quo vadis?

Wohin wir bezüglich Schweiz und Datenleaks steuern ist ungewiss – weder kennen wir die ganzen Dimensionen („8 Mio sind erst der Anfang“) noch die langfristigen Auswirkungen.

Gewiss hingegen ist, dass wir weder genügend darauf vorbereitet sind noch dass wir auch nur im Ansatz genügend Sorgfalt mit unseren Onlineaccounts und Passwörtern walten lassen.

In bisherigen Beiträgen haben wir immer wieder einen Ausblick in die Zukunft gewagt. Teile davon sind bereits eingetroffen (z.B. Phishingmails im Namen von Behörden; Woher stammen wohl die Emailadressen?) – andere Zukunftsszenarien sind noch ausstehend.

Was wir heute machen ist nicht nachhaltig; Weist man einen Benutzer auf ein Datenleak hin, wird er dort sein Passwort ändern müssen – vielleicht ändert er sein Passwort auch noch bei einem zweiten oder dritten Account mit demselben, neuen Passwort – ganz sicher aber wird er nicht einen halben Tag aufwenden nur um sämtliche Passwörter zu ändern.

Ähnlich verhält es sich mit den Tools um Online zu prüfen ob man betroffen ist; in den meisten Fällen überwiegt die Erleichterung, dass man nicht betroffen ist der Tatsache, dass dieses Tool nur einen Ausschnitt von möglichen Leaks zeigt.

Das Problem ist die ihr zugrunde liegende Annahme: Wir gehen davon aus, dass nur einige Benutzer von Datenleaks betroffen sind.

Eigentlich ist es aber genau anders. Nur einige Benutzer sind nicht von Datenleaks betroffen!

Entsprechend liefern solche Tools auch nicht die Gewissheit, dass man nicht betroffen, sondern nur, dass man definitiv betroffen ist. Oder vereinfacht formuliert: Die Chance, dass zumindest ein persönlicher Account geleakt wurde ist höher, als dass man bis jetzt noch von keinem Leak betroffen ist.

 

Deutschland in der Anti Public Combo List

- - IT, Web

Dieser Artikel ist ein Folgeartikel zu Die Schweiz in der Anti Public Combo List und beschäftigt sich analog mit Accounts aus „dem grossen Kanton“.

Vielleicht gleich zu Beginn: Dieser Leak bzw. dessen Handhabung ist ein Paradebeispiel für ein Grundproblem im Netz. Der Leak selbst ist seit mindestens Anfang Mai 2017 bekannt (vgl. auch Die Schweiz in der Anti Public Combo List). Interessiert hat es in Europa (dazu zählen Deutschland aber auch die Schweiz …) keinen; in der Schweiz wurde bis heute nicht öffentlich über diesen Leak berichtet.

In Deutschland erfolgt die Veröffentlichung durch das BKA 2 Monate zu spät; die Medien nahmen es auf, bauschten es auf (aus 43 Millionen werden „gut 50 Millionen“…) und führten dem gewöhnlichen Benutzer vor „wie unsicher er doch ist“. Nach zwei Tagen war der Spuk vorbei – das Thema Datensicherheit auf den Titelblättern wird wieder durch die üblichen B-Promis ersetzt, die Passwörter bleiben grössenteils diesselben.

Dieser Ablauf war analog bei den Leaks von Dropbox, LinkedIn… – die kurzfristige mediale Aufmerksamkeit zählt mehr als ein nachhaltiges Umdenken.

In Kürze

  • Die Anti Public Combo List enthält 43’819’502 Accounts mit der Endung .de
  • Die Combo List enthält nur Emailadressen und dazu passende Passwörter im Klartext
  • Es sind gemischte Kombinationen von verschiedenen Quellen (also nicht nur Emailpasswörter!)
  • Es ist nicht möglich zuverlässig zu bestimmen wie viele deutsche Benutzer tatsächlich in der Combo List sind (z.B. solche mit Email wie @gmail.com, @hotmail.com)
  • Es ist fraglich ob alle Emails mit Endungen .de auch tatsächlich Benutzern aus Deutschland gehören

Trotz dieser Einschränkungen ist Anti Public Combo List aber ein interessanter Indikator um die Betroffenheit von Leaks in Deutschland abzuschätzen.

Vorausgesetzt, das Verhalten von Deutschen und Schweizern ist zumindest im Internet ähnlich, kann man mittels der Datensätze von SwissLeak.ch die ungefähre Anzahl von betroffenen Deutschen im Ganzen hochrechnen:

In Leak enthaltenAnteilTotal
Schweiz (Anti Public Combo List) 782'2124.893'825'420
Deutschland (Anti Public Combo List)43'819'5024.89214'299'959
Schweiz (Dropbox)378'81710.093'825'420
Deutschland (Dropbox)2'987'47210.0932'563'444

Es zeigt sich aber schnell, dass diese Hochrechnung für Deutschland nicht funktioniert. Eine Hochrechnung aufgrund der Anti Public Combo List würde 214 Millonen betroffener deutsche Accounts ergeben, gemäss dem Leak von Dropbox.com etwas mehr als 32 Millionen…

Realistisch betrachtet werden in Deutschland etwa 40 – 50 Millonen Benutzer (nicht Accounts!) von Leaks betroffen sein.

Der Umkehrschluss der Hochrechnung aber bedeutet, dass in der Schweiz verglichen mit Deutschland überdurchschnittlich viele Benutzer betroffen sind.

Die häufigsten Passwörter der deutschen Benutzer

PasswortVorkommen ComboVorkommen SwissLeak.ch
1234560.55470.6561
1234567890.43390.1178
iloveyou0.3943
123456780.37750.0932
passwort0.36990.0330
12345670.36530.0409
1111110.35950.0461
1231230.3594
abc1230.3584
12345678900.3571

Abbildung: Die häufigsten Passwörter der deutschen Benutzer in der Anti Public Combo List im Vergleich mit Daten aus SwissLeak.ch

Die Verteilung der häufigsten Passwörter ist ähnlich aber nicht identisch mit der Schweiz. Interessanterweise gibt es tatsächlich nationale Unterschiede in der Passwortverteilung (z.B. „iloveyou“) – die Top Passwörter 123456 bzw.123456789 bleiben aber gleich…

Betroffenheit deutscher Benutzer

Betroffen ist ähnlich wie in der Schweiz grundsätzlich jeder deutsche Benutzer. Von Staats – und Bundesbetrieben über Versicherungen bis hin zum privaten Rentner ist eigentlich alles vorhanden.

DomainVorkommen Combo
web.de25.20
gmx.de20.12
yahoo.de15.74
lycos.de11.89
epost.de11.79
yaho.de3.21
t-online.de2.63
freenet.de2.45
live.de1.51
arcor.de0.79

Abbildung: Die am häufigsten betroffenen deutschen Domains in der Anti Public Combo List.

Ein Viertel (25.20 %) aller betroffenen Accounts läuft über den Provider Web.de, ein Fünftel über gmx.de.

Es liegt nahe, dass viele, technisch weniger versierte Benutzer Web.de als Emailprovider nutzen (vgl. bluewin.ch in der Schweiz).

 

Staatliche deutsche Behörden

Direkt vom Leak betroffene Benutzer des deutschen Staates (@**.bund.de) sind gerade einmal 747 Stück vorhanden.

Verglichen mit der Schweiz (1315 Stück) und in Anbetracht des wesentlich „grösseren“ Deutschen Staatsapparates ist das erstaunlich.  Blocken die deutschen Behörden vielleicht Social Media Plattformen oder sind die deutschen Beamten einfach vorsichtiger im Umgang mit Ihren Daten?

Kommunale deutsche Behörden

Wenn man sich die Mühe macht und die gesamte Anti Public Combo List nach Domains von deutschen Städten und Orten absucht, findet man etwas über 18’000 Accounts. Die Top40 gestalten sich in etwa wie folgt:

DomainAnteilAccounts
berlin.de14.652687
hamburg.de13.092401
koeln.de13.012386
muenster.de6.901265
wolfsburg.de5.40991
bremen.de1.88344
list.de0.78143
bremerhaven.de0.69127
muenchen.de0.69126
schwerte.de0.63116
eschweiler.de0.58107
schwaebisch-hall.de0.5398
mannheim.de0.4379
bonn.de0.2954
stuttgart.de0.2750
freudenberg.de0.2750
oppenheim.de0.2444
solingen.de0.2241
schiltach.de0.2139
wiesbaden.de0.2138
pfaffenhofen.de0.1935
heidelberg.de0.1732
harsefeld.de0.1731
saarbruecken.de0.1630
bruchsal.de0.1630
potsdam.de0.1629
goettingen.de0.1528
bochum.de0.1528
eppendorf.de0.1527
langenfeld.de0.1425
vaterstetten.de0.1425
fulda.de0.1324
dresden.de0.1324
darmstadt.de0.1323
leipzig.de0.1323
kiel.de0.1222
vegesack.de0.1222
gelsenkirchen.de0.1121
halle.de0.1121
jena.de0.1121
augsburg.de0.1121

Abbildung: Top40 der enthaltenen Städte mit prozentualem Anteil an deutschen Städten sowie der Anzahl Accounts

Selbstverständlich ist die Liste unvollständig – im Gegensatz zu SwissLeak.ch wurde nur eine sehr grobe Suche durchgeführt (bei 43 Millionen Accounts verständlich…)
Auch nicht berücksichtigt wurde, dass diverse deutsche Städte anscheinend „ihre Domain“ als private Email anbieten (z.B. Berlin). Diesen Service haben wir in der Schweiz nicht…

Passwortlänge

DeutschlandDeutschland (bereinigt)Schweiz
Staat8.93 Stellen8.728.21 Stellen
Alle9.37 Stellen9.058.07 Stellen

Abbildung: Durschnittliche Passwortlänge der deutschen Accounts sowie Vergleich zur Schweiz

Die durchschnittliche Passwörtlänge der deutschen Benutzer in der Anti Public Combo List beträgt 9.37 Stellen – ein Wert der nur bedingt realistisch ist.

Filtert man die diversen Hash-Werte (= noch nicht entschlüsselte Passwörter), Emailadressen und sonstige, klar nicht passenden Passwörter erhält man ein durchschnittliche Passwortlänge von 9.05  Stellen für deutsche Accounts.

Verglichen mit den Benutzer aus der Schweiz (8.07 Stellen) ist das auf diese Menge immer noch erstaunlich.

 

PS: Arbeiten Sie bei der deutschen Telekom? Interessenshalber – was genau steht in DOC-383006 ?

Die Schweiz in der Anti Public Combo List

- - Allgemein, IT
  1. Hacking Switzerland: Dataleaks
  2. Alles über Schweizer Passwörter
  3. Die Schweiz in der Anti Public Combo List
  4. Leaking Switzerland – 8 Millionen sind erst der Anfang

Datenleaks? Schon wieder? Nun – wenn fast eine halbe Milliarde (458’000’000…) Benutzeraccounts geleaked werden, ist das schon einen Artikel wert, nicht?

Für Besucher aus Deutschland: Anscheinend hat das Deutsche BKA die „Liste“ mittlerweile auch gefunden (2 Monate später…)
Der Folgeartikel Deutschland in der Anti Public Combo List findet man hier.

Anti Public Combo List

Im eigentlichen Sinne handelt es sich dabei nicht um einen Leak sondern viel mehr eine direkte Folge von Leaks. Eine sogenannte „Combo List“ ist nicht anderes als zusammengefasste und aufbereitete Datenleaks in Form von Benutzername oder Email und Passwort. Das sieht dann in etwa so aus:

Anti Public Combo List Schweiz[email protected]:ultrasupergeheim
[email protected]:meinpasswort
….

 

Die Daten dafür stammen aus den unterschiedlichsten Leaks und werden so „ready-to-use“ bereitgestellt.

Speziell an der „Anti Public Combo List“ in dieser Hinsicht ist sicher die Grösse;  Mit fast einer halben Milliarde Accounts (6% der gesamten Weltbevölkerung, 14,3% der Weltbevölkerung mit Internetzugang…) handelt es sich doch um ein etwas umfassenderes „Werk“ in dem selbstverständlich auch Schweizer Benutzer wieder recht gut vertreten sind…

Die Schweiz in der Anti Public Combo List

Total Accounts aus der Schweiz oder Liechtenstein: 796’983 davon 663’558 einzigartige Emailadressen
Total Accounts aus der Schweiz:  782’212 davon 651’338 einzigartige Emailadressen
Total Passwörter im Klartext: 793’853
Total (noch) verschlüsselte Passwörter: 2’545 davon 183 bereits entschlüsselt
Durchschnittliche Passwortlänge: 8.08 Stellen

Die Anti Public Combo List enthält etwa 1315 Accounts des Bundes und mindestens 1768 Accounts von Kantonen.

Prozentual sind zwar „nur“ gerade 0,17 % der Liste Schweizer Benutzer – verglichen mit der Weltbevölkerung (Anteil Schweiz: 0,11 %) aber überdurchschnittlich viel. Nicht zu vergessen auch das generelle Interesse an der Schweiz (sehr hohes BIP = viel „Ertrag“ pro Account) das Schweizer Accounts überdurchschnittlich attraktiv macht.

Häufigste Passwörter

PasswortVorkommen ComboVorkommen SwissLeak.ch
1234560.34110.6561
1234567890.07740.1178
123450.06710.0811
123456780.06550.0932
12340.05830.0899
hallo0.02740.0336
passwort0.02620.0330
1111110.02620.0461
12345670.02550.0409
qwertz0.02390.0367

Abbildung: Prozentuale Verteilung der häufigsten Passwörter von Schweizer Accounts im Vergleich zur Datenbank von SwissLeak.ch

Die häufigsten Passwörter sind – nicht überraschend – ähnlich wie bereits im Artikel „Alles über Schweizer Passwörter“ beschrieben.

Hier muss man aber vielleicht auch einmal erwähnen, dass die interessanten Passwörter niemals unter den häufigsten zu finden sind…

Betroffenheit

Betroffen ist grundsätzlich jeder. In der Liste findet man vom grossen Finanzinstitut bis hin zur Pensionär eigentlich alles.
Unterschiedlich ist allerdings die Verteilung bzw. Betroffenheit pro Domain („das Ding nach dem @ in der Emailadresse…“).

DomainVorkommen ComboVorkommen SwissLeak.ch
bluewin.ch31.8127.85
gmx.ch22.4818.24
hispeed.ch3.783.34
sunrise.ch2.732.49
bluemail.ch2.702.13
freesurf.ch1.641.33

Abbildung: Prozentuale Verteilung der betroffenen Schweizer Accounts nach Domains im Vergleich zur Datenbank von SwissLeak.ch

Aus obiger Abbildung lassen sich eine Reihe von Schlussfolgerungen ziehen. Zum Einen liegt die Vermutung nahe, dass die „Anti Public Combo List“ echt ist. Die Verteilung der Domains ist zu ähnlich um von jemandem manuell zusammengebastelt worden zu sein.

Zum anderen zeigt sich aber auch, dass Benutzer mit Bluewin und GMX Emailadressen überdurchschnittlich oft in Datenleaks enthalten sind. Ein Grund ist sicher die hohe Verbreitung dieser Emailadressen in der Schweiz – vor allem unter Anwendern die sonst mit IT+EDV nicht viel am Hut haben.

Anti Public Combo List und SwissLeak.ch

Auf SwissLeak.ch haben wir Millarden von geleakten Daten durchsucht und die Schweizer Benutzer gefiltert und mit Metadaten angereichert. Dadurch sind viele der geleakten Benutzer aus der Anti Puplic Combo List bereits in SwissLeak vertreten (allerdings in etwas ausführlicher Form…).

Konkret findet man nur 44’563 oder 6.7%  neue Schweizer Benutzer in der Anti Public Combo List.

Vergleicht man aber die einzigartigen, neuen Passwörter so haben diese mit der Anti Public Combo List für Schweizer Benutzer um 72’415 Stück zugenommen. Oder anders ausgedrückt; Zu 27’852 bereits betroffenen Schweizer Benutzern sind neue Passwörter hinzugekommen.

Auswirkungen auf die Schweiz

Anders als bei einem herkömmlichen Leak müssen bei einer Combolist nicht mühsam die Daten extrahiert und Passwörter entschlüsselt werden – alles hat bereits jemand erledigt („Fastfood – Leak“…).

Automatisierte Angriffe

Eine solche „ready-to-use“ Liste zieht erheblich mehr Personen an, die diese Daten nutzen und ermöglicht eine wesentlich speditivere Verarbeitung.

Die Swisscom hat das – gemäss Ihrem Security Report 2017 (Seite 11) – am eigenen Leib erfahren als nur an einem Tag über 10’000 verdächtige (aber erfolgreiche…) Logins auf Emailkonten erfolgten (…10,000 suspicious yet successful logins on Bluewin e-mail servers). Bemerkt wurde das nur, da die Angreifer die Zugriffe lediglich mittels einer IP-Adresse ausführten(…from one single foreign IP address“).

Hand auf Herz – wer glaubt allen Ernstes, dass Personen mit etwas ernsteren Absichten in Zeiten des „Machine Learning“ nicht ein simples Skript schreiben können, welches solche Zugriffe zufällig aber kontinuierlich erhöht – mit unterschiedlichen IP-Adressen? Und wieso nur 10’000? Alleine in der Public Combo List sind über 250’000 Bluewin Adressen mit Passwort enthalten…

Solche automatisierten, massentaugliche Angriffe auf Schweizer Benutzer werden massiv zunehmen; Sofern sie mit etwas Kreativität durchgeführt werden, wird ein Grossteil der Benutzer diese Angriffe nicht einmal bemerken – bzw. erst wenn es zu spät ist.

Kombinierte Angriffe

Die Schweiz befindet sich mitten im digitalen Umbruch; Versicherungen, Steuern, Rechnungen – alles wird immer stärker digitalisiert und ein Austausch erfolgt vermehrt auf elektronischem Weg.

Zwar mögen entsprechende Schnittstellen „sicherer“ sein – die betreuenden Benutzer (z.B. Bank – und Versicherungsangestellte, Beamte…) sind es definitiv nicht und genauso von Leaks betroffen. Wer das nicht glaubt, kann einfach auf SwissLeak.ch einmal nach solchen Organisationen suchen.

Abgesehen von den sensiblen Daten die durch solche gelakten, „hochwertigen“ Benutzer zugänglich sind ergeben sich wesentlich mehr Gefahren, wenn man Sie auch noch als Köder nutzt. Bereits auf herkömmliche Phishing – Emails fallen immer wieder Benutzer herein – wie hoch wird die Erfolgsquote sein, wenn ein falsches Email vom richtigen Ansprechpartner kommt?

Sensible Quellen

Was man gerne vergisst – alleine in SwissLeak stammen fast 100’000 Schweizer Benutzer aus sensiblen Quellen – viele auch mit der Emailadresse des Arbeitgebers. Dementsprechend wird für diese Benutzer simple Erpressung das effizienteste Mittel sein – im Sinne von „Ich weiss, wo du dich letzten Sommer herumgetrieben hast…“.

Im Gegensatz zu Ransomware ist das Druckmittel nicht das Sperren von Daten sondern das Blossstellen des persönlichen Images – wahrscheinlich für viele wesentlich wichtiger als reine Daten.

Umdenken

Gerade in letzter Zeit liest man viel über „Sicherheitskonzepte“ oder wie sich gewisse Organisation vor Hackerangriffen schützen möchten.

Bei grösseren Organisationen und Staatsbetrieben werden Unsummen in Sicherheitsprodukte investiert, die man nicht aus Wissen und Erfahrung sondern aus Angst kauft. Angst vor Angriffen, Angst vor Unsicherheit – aber vor allem aus Angst vor Verantwortung.  Es könnte ja der Vorwurf laut werden – man habe nicht alles erdenkliche getan…

Auf der anderen Seite die typischen KMUs. Die bereits in anderen Artikeln angesprochene „Mich triffts schon nicht“ – Haltung führt dazu, dass – wenn Sicherheitsprodukte überhaupt vorhanden sind, diese als reine Alibiprodukte fungieren. Eine spezifische und individuelle Anpassung fehlt meistens.

Diese beiden typischen Einstellungen werden lediglich durch kurze, mediale Aufschreie unterbrochen (z.B. „WannaCry“, Dropbox Datenleak). Einzelne Punkte werden daraufhin vielleicht verbessert – meistens jedoch wieder durch das Prinzip „Hoffnung“ ersetzt.

Den effizientesten Sicherheitsfaktor vergisst man dabei oft. Ein aufgeklärter, selbständig denkender und kritisch hinterfragenden Benutzer ist mehr wert als jedes noch so ausgeklügelte Sicherheitskonzept oder Software. Selbstverständlich setzt das ein Minimum an Interesse des Benutzers voraus – doch gerade dass scheint immer mehr verloren zu gehen.

Man möchte „neue Technologien“ zwar nutzen, interessiert sich aber überhaupt nicht dafür wie diese funktionieren.

Es braucht ein Umdenken; Weniger künstliche und mehr „echte Intelligenz“ würde Datenleaks nicht verhindern – zumindest aber die Auswirkungen und Risiken drastisch reduzieren.

Alles über Schweizer Passwörter

- - IT
  1. Hacking Switzerland: Dataleaks
  2. Alles über Schweizer Passwörter
  3. Die Schweiz in der Anti Public Combo List
  4. Leaking Switzerland – 8 Millionen sind erst der Anfang

Kennen Sie die am häufigsten genutzten Passwörter der Schweiz? Alles über Schweizer Passwörter in diesem Artikel.

Dieser Artikel unterscheidet sich von anderen Artikeln über Schweizer Passwörter, wo „so nebenher“ noch schnell auf die Schweiz geschlossen wird.
Die Basisdaten stammen ausschliesslich aus der Datenbank vom SwissLeak.ch und beziehen sich damit explizit auf Schweizer Benutzer.

 

Die prozentual häufigsten Passwörter der Schweiz

 

Top 20 Schweizer Passwörter

Top 20 Schweizer Passwörter (Grafik wird täglich aktualisiert)

Nicht überraschend – die Kombinationen 1234… sind auch in der Schweiz sehr beliebte Passwörter. Überdurchschnittlich oft werden diese Passwörter für Internetforen verwendet, den dort werden Passwörter nicht immer auf ihre Komplexität geprüft.

Das Pendant zum weltweiten Top-Passwort qwerty ist in der Schweiz das Passwort qwertz. Den Grund erkennt man, wenn man einen Blick auf die ersten sechs Buchstaben der Tastatur wirft (und z.B. mit einer Tastatur aus den USA vergleicht).

Ähnlich verhält es sich mit dem Wort passwort. Anscheinend sind wir Schweizer noch nicht vollständig amerikanisiert und verwenden zumindest in dieser Hinsicht den deutschen Begriff (das englische Gegenstück folgt aber kurz darauf.)

Überaus interessant ist das Passwort soleil. Dieses wird vor allem auch gerne mit Zahlen und zusätzlichen Worten kombiniert (auch das deutsche Passwort sonne scheint beliebt zu sein…)

Bemerkung: Quellenspezifische Passwörter wie etwa adobe123 werden bei obiger Grafik herausgefiltert.

Vornamen und Automarken

Lässt man die Top100 hinter sich und schaut sich die  Top 500 Passwörtern der Schweiz etwas genauer an, stechen zwei Kategorien hervor – Vornamen und Automarken.

Passwoerter Vornamen Autos

Ausriss aus den Top 500 Passwörtern der Schweiz

Selbstverständlich verwendet ein Grossteil der Benutzer nicht einfach das Wort „porsche“ sondern hängt auch noch einige Ziffern an.

Für das Grundpasswort „porsche“ machen das etwa 722 Benutzer – die häufigsten Kombinationen dazu sind:

  • porsche911
  • porscheboxter
  • porscheRS
  • porsche924
  • porsche993
  • porsche1234

Ähnliches Verhalten lässt sich mit allen anderen Top500 Passwörtern feststellen.

Jahrgänge und Postleitzahlen

Besonders beliebte Passwortergänzungen der Schweizer sind Jahrgänge und Postleitzahlen. Da hier eine hohe Streuung (jeder wohnt woanders und hat an einem anderen Datum Geburtstag…) vorliegt, gibt es wenig gleiche aber viele gleich aufgebaute Passwörter. Dazu einige Beispiel:

Häufigste Zweistellige Zahlenkombinationen in Schweizer Passwörtern

ZahlHäufigkeit (relativ)Anzahl (absolut)
124.95 %14132
013.99 %11377
113.81 %10860
142.78 %7925
132.74 %7825
102.57 %7327
992.43 %6945
772.21 %6306
692.21 %6306
221.99 %5681

Interpretation (Beispiel): Unter allen Passwörtern die eine zweistellige Zahlenkombination enthalten, haben 14132 Benutzer die Zahl 12 gewählt.

Wenn man alle zweistelligen Kombinationen aus den Passwörtern extrahiert ist jede Zahl von 00 bis 99 enthalten – ohne Ausnahme. Überdurchschnittlich oft sind aber Jahresendzahlen der letzten Jahre (10-14) sowie Jahrgänge (z.B. 77, 99) vorhanden.

Obwohl die typischen Jahrgänge (70 – 88) in dieser Grafik fehlen, kommen Sie alle unter den Top100 vor (weniger häufig da breitere Streuung).

Häufigste Vierstellige Zahlenkombinationen in Schweizer Passwörtern

ZahlHäufigkeit (relativ)Anzahl (absolut)
12344.67 %5217 Benutzer
20002.66 %2975 Benutzer
20102.09 %2341 Benutzer
20111.69 %1893 Benutzer
19910.82 %925 Benutzer
19800.81 %908 Benutzer
20010.80 %898 Benutzer
20120.80 %897 Benutzer
19880.78 %871 Benutzer

Interpretation (Beispiel): Unter allen Passwörtern die eine vierstellige Zahlenkombination enthalten, haben 5217 Benutzer die Zahl 1234 gewählt.

Ähnlich wie bei den zweistelligen Kombinationen verhält es sich mit den vierstelligen Kombinationen. Dominierend sind die letzten Jahre als Zahl sowie Jahrgänge. Wiederum folgen die restlichen Jahrgänge praktisch ausnahmslos unter den Top100.

Kantonale Beliebtheit der Postleitzahlen

Kanton mit PLZHäufigkeit (relativ)Anzahl (absolut)
Bern14.48 %400 Benutzer
Waadt12.30 %340 Benutzer
Zürich8.50 %235 Benutzer
Aargau7.27 %201 Benutzer
Fribourg6.22 %172 Benutzer

Interpretation (Beispiel): Unter allen Passwörtern die eine Postleitzahl einer Schweizer Gemeinde enthalten, haben 400 Benutzer eine Berner Postleitzahl gewählt.

Eventuelle Überschneidungen mit allgemein häufigen Passwörtern sind in dieser Grafik möglich (1234 ist etwa die Postleitzahl von Vessy GE). Trotzdem hebt sich der Kanton Bern (als „Hauptkanton“) eindeutig von den restlichen ab.

Passworthäufigkeit nach Organisationsgruppen

Wie stehen denn die verschiedenen Organisationen der Schweiz im Vergleich da? Gibt es „sichere“ Organisationen?

Hinweis: Die Zuweisung der einzelnen Organisationen zu Organisationsgruppen ist analog zu SwissLeak.ch

BrancheHäufigstes PasswortHäufigkeit (relativ zur Organisation)
Schweizer Bundesbehörden1234560.9 %
Schweizer Gemeinden1234560.5 %
Schweizer Spitäler und Kliniken1234560.18 %
Kantonale Behörden1234560.68 %
Schweizer Schulen und Universitäten1234561.1 %
Unternehmen von öffentlichem Interesse1234560.43 %
Restliche (KMUs, Private...)1234560.84 %

Interpretation (Beispiel): Unter sämtlichen entschlüsselten Accounts der Benutzer der Schweizer Bundesbehörden verwenden 0.9 % das Passwort 123456.

Interessanterweise gibt es bei keiner Organisationsgruppe einen Ausreisser um den Kandidaten des häufigsten Passwortes – 123456 ist der ungeschlagene Favorit.

Anders sieht es hingegen bei der Häufigkeit aus – so wird das Passwort 123456 bei den Bundesbehörden gut fünfmal so häufig genutzt wie bei Schweizer Spitälern und Kliniken (!).

Der Schweizer Durchschnitt von etwa 0.83 % (vgl. Grafik „Top20 Schweizer Passwörter“) wird vor allem durch Universitäten und Schulen angehoben – allerdings nicht im positiven Sinne.

Kantonale Verteilung des Passwortes 123456

Kantonale Unterschiede in den Passwörtern sind durchaus vorhanden (v.a. Sprachregional). Interessanterweise schwankt aber auch die Nutzung der Standardpasswörter stark von Kanton zu Kanton. Am Beispiel 123456 ergibt sich folgende Grafik für die Top15 Kantone:

KantonPasswortVerteilungNutzer
ZH12345622.02938
BE12345612.71704
VD12345610.51403
AG1234569.61281
GE1234565.6748
SG1234564.5597
LU1234563.8510
BS1234563.3440
TI1234563.3440
BL1234562.8377
SO1234562.8371
FR1234562.3313
NE1234562.3307
TG1234562.3301

Interpretation (Beispiel): 22 % aller Nutzer die das Passwort 123456 verwenden, stammen aus oder arbeiten im Kanton Zürich.

 

Relationen

Die Chancen, „Ihr persönliches Passwort“ unter den Top20 zu finden ist zwar hoch, hingegen ist (hoffentlich) nicht davon auszugehen, dass diese Passwörter auch im produktiven Umfeld genutzt werden. Vielmehr sind Sie eine Zwischenlösung für die „schnelle Anmeldung“ zwischendurch.

Problematischer ist der oftmals ähnliche Aufbau der Passwörter (z.B. Name + PLZ), das Nutzen „ganzer“ Wörter als Passwortbestandteil (z.B. Porsche) und vor allem – das Nutzen immer desselben Standardpasswortes.

Anmerkungen

  • Gemäss NET-Metrix Base gibt es in der Schweiz etwa 5.8 Millionen Internetnutzer
  • SwissLeak.ch enthält am 25.02.2016 Daten von etwa 2.77 Millionen  Schweizer Accounts
  • Selbst bei Annahme, dass 30 % davon mehrfach vorhanden sind und 10% falsch zugeordnet sind ergibt sich immer noch eine repräsentative Anzahl.

Hacking Switzerland: Dataleaks

- - Allgemein, IT
  1. Hacking Switzerland: Dataleaks
  2. Alles über Schweizer Passwörter
  3. Die Schweiz in der Anti Public Combo List
  4. Leaking Switzerland – 8 Millionen sind erst der Anfang

Die Schweizer nutzen gerne und oft Webservices wie Dropbox, Linkedin, Badoo, Facebook und ähnliches. Gerade in dieser Hinsicht werden aber immer mehr und immer grössere Leaks bekannt – d.h. das Abgreifen von sensiblen Benutzerdaten im grossen Stil. Doch wie stark sind Schweizer Behörden,Spitäler, Schulen und Unternehmen von diesen Leaks betroffen?

Um was geht es?

Im November 2016 berichteten diverse Schweizer Medien darüber, dass die Dropbox-Accounts von Schweizer Politikern gehackt wurden (z.B. Tagesanzeiger, Blick).

Die Reaktionen darauf waren (politisch) selbstverständlich; Dementieren, Entschärfen, Vergessen…

In Bezug auf die Schweiz interessieren aber die Politiker nicht einmal besonders; Viel interessanter ist der mittlerweile „recht umfangreiche“ Staatsapparat mit all seinen Behörden, Kommissionen und Delegationen aber auch bundesnahe Unternehmen, Spitäler und Kliniken oder Bildungseinrichtungen.

Und genau das ist die Grundidee von SwissLeak.ch.

SwissLeak

SwissLeak listet Behörden, Schulen, Kliniken und bundesnahe Unternehmen der Schweiz, deren Benutzer von einem Datenleak betroffen sind.

Was wäre, wenn man die grösseren Leaks der letzten Zeit gezielt nach Mitglieder von Schweizer Behörden, Schulen,Kliniken und Unternehmen absucht? Sie geografisch darstellt? Ihre Passwörter – wo möglich – entschlüsselt?

Intro zu Datenleaks

Damit man das volle Ausmass der Daten in den richtigen Zusammenhang stellt, braucht es ein kurzes Intro zu den bereits erwähnten Leaks. Wenn Sie bereits wissen um was es geht – hier gehts direkt zu SwissLeak im Detail

Irrtum 1: Datenleaks enthalten Passwörter im Klartext

Oftmals wird irrtümlich angenommen, dass ein Datenbank-Leak bedeutet, dass sämtliche Passwörter der Benutzer bekannt sind. Das ist nicht korrekt.

Passwörter werden in Datenbanken in der Regel nicht als Klartext sondern als sogenannte Hashes gespeichert (anstelle von „MeinPasswort“ also z.B. „1de0d5e5c412890d4071af8ecd8c8ad7“). In den meisten Fällen wird dieser Hash zusätzlich mit einem Salt versehen, sodass es sehr schwierig ist, das Passwort aus dem Hash zu entschlüsseln.

Bei einigen der grössten Leaks der letzten Zeit wurde aber genau das nicht gemacht, d.h. die Passwörter können mit relativ wenig Aufwand als Klartext aus dem Hash berechnet werden.

Gehashtes Passwort aus dem Dropbox-Leak

Gehashtes Passwort eines Mitarbeiters des Bundesamtes für Gesundheit aus dem Dropbox-Leak

Irrtum 2: Datenleaks enthalten nur Passwörter und Emails

Wird ein Onlineservice gehackt, denkt man in erster Linie nur an die Passwörter. Oftmals vergessen werden dabei, dass auch andere sensible Angaben in diesen Leaks enthalten sind. Beliebte Angaben sind:

  • Passworthinweise
  • Geburtsdatum
  • Gewicht
  • Alter
  • „Vorlieben“

Bei speziellen Leaks (z.B. „Partnerbörsen“) kann auch bereits nur das Vorhandensein des entsprechenden Benutzers kompromittierend wirken.

Berndeutscher Passworthinweis aus Leak

Der Berndeutsche Passworthinweis spricht Bände…

Irrtum 3: Benutzer verwenden immer andere Passwörter

Das Verhalten der gehackten Onlineservices ist immer ähnlich; Der Benutzer wird relativ unauffällig zum Ändern seines Passwortes aufgefordert. In den wenigsten Fällen wird erwähnt, wieso das notwenig ist (kein Service gibt gerne zu, dass Benutzerdaten abhanden gekommen sind…).

Dementsprechend wird das Passwort durch den Benutzer oftmals nur angeglichen (z.B. aus Passwort1234 wird Passwort12345).

Gleichzeitig verwenden praktisch alle Benutzer dasselbe Passwort bei den unterschiedlichsten Services – das Motto „Seen one, seen ‚em all“ bekommt hier eine neue Bedeutung.

Irrtum 4: Benutzer ändern nach Bekanntwerden eines Leaks sämtliche Passwörter

Auch wenn Medien und IT-Verantwortliche nach Bekanntwerden eines Leaks darauf hinweisen, dass sämtliche (gleichen) Passwörter geändert werden sollten, wird das nur in den wenigsten Fällen auch wirklich gemacht. In der Datenbank von SwissLeak.ch gibt es genügend Beispiele von Benutzern, die von mehreren Leaks betroffen sind, aber immer wieder dasselbe Passwort verwenden.

Wenn wir ehrlich sind, ist es für uns mittlerweile auch fast nicht mehr möglich,  uns an alle Services zu erinnern wo wir diese Passwörter verwendet haben – geschweige denn, sämtliche Passwörter in annehmbarer Zeit zu ändern…

Irrtum 5: Passworthinweise sind sicher

Passworthinweise werden grundsätzlich nicht verschlüsselt gespeichert. Je nach Service können Sie bei einem fehlgeschlagenen Anmeldeversuch auch ganz einfach angezeigt werden.

Wer nun also sein Passwort als Passworthinweis nutzt (!!) muss damit rechnen, dass sich früher oder später jemand einloggt, der nicht dazu berechtigt ist. Etwa 5 – 15 % begehen diesen Fehler…

Selbstverständlich sollte der Hinweis in einem Passworthinweis auch immer nur subjektiv betrachtet ein Hinweis sein.  Einige Beispiel von für schlechte Passworthinweise („Echte Daten“):

  • OS aus dem Jahr 2000
  • Min name in Bärndütsch
  • Postleitzahl Wabern

Irrtum 6: Je länger das Passwort, umso sicherer

Die Passwortlänge spielt nur bei der Entschlüsselung mittels Brute-Force eine Rolle. Da aber praktisch kein einziger Benutzer ein zufällig generiertes Passwort aus Ziffern, Buchstaben und Sonderzeichen (z.B: d73C#H*0+) verwendet, sondern immer ein Wort als Grundlage nutzt (z.B. punkt1982),  sind Wörtebuch-Attacken wesentlich effizienter.

Verwendet ein Benutzer als Passwort also etwa „gartenlaube2016“ in der festen Überzeugung, damit ein sicheres Passwort (15 Stellen…) gewählt zu haben, liegt er leider falsch.

Die Passwortlänge spielt in solchen Fällen nur eine nebensächliche Rolle. Am sichersten ist also nicht ein möglichst langes, sondern ein möglichst einzigartiges Passwort zu nutzen (die „Einzigartigkeit“ steigt mit der Länge des Passwortes).

SwissLeak im Detail

Klarstellung

Zuerst noch einmal zur Klarstellung; SwissLeak listet keine „gehackten Organisationen“ sondern Organisationen, deren Benutzer von Datenleaks betroffen sind.

Beispiel:

  1. Max Müller, Mitarbeiter des BAKOM, hat sich mit seiner Emailadresse [email protected] bei einem Onlineservice angemeldet.
  2. Dieser Onlineservice wird gehackt bzw. ein Leak dieses Onlineservices wird publik.
  3. SwissLeak besorgt sich das Rohmaterial, analysiert dieses und entschlüsselt vorhandene Passwörter.
  4. Max Müller wird anonymisiert unter der Organisation BAKOM auf SwissLeak aufgeführt.

Bezug zur Organisation

Die gelistete Organisation hat also theoretisch kein direktes Datenleck. Praktisch stellen sich aber einige Fragen.

  • Wieso nutzen so viele Mitarbeiter Ihre „geschäftliche Emailadresse“ für Onlineservices?
  • Wieso wird die „geschäftliche Emailadresse“ für Services genutzt, deren Bezug ganz klar nichts mit dem geschäftlichen Tätigkeitsfeld zu tun haben?
  • Wenn schon dieselbe Emailadresse wie „geschäftlich“ verwendet wird; Wird auch dasselbe Passwort genutzt?
  • Wenn Geschäftliches und Privates bereits so vermischt wird – was findet sich in den „Privaten Bereichen“ ?
  • Wozu passen die Passwörter noch?

Da gerade Staatsangestellte Ihre Stelle verhältnismässig selten wechseln oder aber nur „in eine andere Organisationseinheit wechseln“ stellt sich folgende, zusätzliche Frage:

  • Wieviele Mitarbeiter nehmen Ihre Passwörter beim Wechsel in eine „andere Organisationseinheit“ mit?

Entschlüsselte Passwörter

Sämtliche auf SwissLeak.ch aufgeführten Datensätze werden – wo möglich – entschlüsselt. Das hat mehrere Gründe:

Bei Leaks wird generell nur von „entschlüsselbaren Hashes“ oder „unsicherer Verschlüsselung“ gesprochen – ein Entschlüsseln scheint also nur theoretisch möglich.

Diese theoretische Wahrscheinlichkeit führt aber zu einem komplett falschen Bild und ermöglicht die üblichen Ausreden:

  • Mein Passwort interessiert sowieso keinen…
  • Wer macht sich denn die Mühe, mein Passwort zu entschlüsseln…
  • Ich habe ein sicheres Passwort…(vgl. Irrtum 6)

Um diese Ausreden gleich von Beginn zu verhindern, sind sämtliche Passwörter, die auf SwissLeak.ch als entschlüsselt markiert sind effektiv entschlüsselte Passwörter.

Das Entschlüsseln bringt aber noch weitere „Vorteile“:

  • Generierung einer spezifischen Passwortliste für die Schweiz
  • Querverbindungen nutzen, um komplexe Verschlüsselungen effizienter zu entschlüsseln

Fehlende Hashes

Teilweise kann es vorkommen, dass ein Benutzer zwar in einem Leak enthalten ist, beispielsweise aber der Hashwert fehlt. Das kann folgende Gründe haben:

  • Technischer Fehler: der Hash ging während dem „Dump“ bzw. beim Import in SwissLeak verloren
  • Manuelles Entfernen: der Hash wurde manuell von jemandem entfernt („Eigenbedarf“…)

Die Möglichkeit, dass der Hashwert durch den betroffenen Onlineservice selbst entfernt wurde ist sehr gering, da kein Hash auch kein Passwort bedeutet – und damit grundsätzlich kein Grund für das weitere Aufbewahren des Accounts besteht.

Auch das „Anmelden“ aber nicht bestätigen eines Onlineaccounts ist kein logischer Grund für einen leeren Hashwert; den entweder hat der Benutzer das Passwort bereits bei der Registrierung angeben oder aber das Passwort wird automatisch generiert; In beiden Fällen wäre ein Hash vorhanden.

Präzision und Plausabilität

Gerade weil sich SwissLeak nur mit „Swiss Data“ beschäftigt, ist die Präzision im Gegensatz zu anderen Services höher. Es kann also durchaus vorkommen, dass SwissLeak mehr betroffene Accounts als andere Services anzeigen. Die Hauptgründe dafür:

  • „Alte Domains“ werden soweit möglich berücksichtigt (d.h. wenn die Organisation sich etwa umbenannt hat / neue Domain)
  • Evtl. Schreibfehler werden korrigiert (z.B. [email protected]c)
  • Bei inkonsistenten Quellen / Leaks werden die Daten rekonstruiert
  • Betroffene Benutzer werden nur auf die Schweiz eingeschränkt (Beispiel: Credit Suisse Schweiz enthält nur Schweizer Benutzer)
  • Als „Spassbenutzer“ erkenntliche Accounts werden gelöscht (z.B. [email protected])

Da SwissLeak nicht nur die Emailadressen sondern auch die Hashwerte, Passwörter und wo möglich persönlichen Details abgleicht, kann es selbstverständlich auch zu Duplikaten führen; diese werden aber wo immer möglich verhindert.

„Falsche Leaks“

Teilweise werden Leaks veröffentlicht, die gar keine sind. Oder anders ausgedrückt; jemand „bastelt“ sich aus vorhandenen oder erfundenen Datensätzen einen gefälschten Leak um Publicity zu bekommen. Für die entsprechenden Benutzer bzw. Organisation besteht aus diesem Leak also eigentlich gar keine Bedrohung.

Auch hier kann es in Einzelfällen vorkommen, dass „Falsche Leaks“ für SwissLeak verwendet werden. Wiederum kommt in diesem Fall aber die verhältnismässig kleine Datenmenge von SwissLeak der Präzision zugute, denn:

  • Die Chancen, dass für erfundene Leaks .ch – Adressen bzw.  Schweizer Organisationen genutzt werden sind sehr gering
  • Das Format (z.B. [email protected]) muss stimmen, ansonsten fällt das beim Upload auf
  • Falls die Emailadresse in einem erfundenen Leak tatsächlich existiert, ist die Chance hoch, dass der entsprechende Benutzer trotzdem betroffen ist (kopieren ist einfacher als erfinden…)

Insofern ist Aussagekraft von SwissLeak durch „falsche Leaks“ nicht beeinträchtigt.

Zweifaktor Authentifizierung

Die Zweifaktor Authentifizierung ist grundsätzlich eine gute Sache; durch die Identifikation mit etwas das man besitzt (z.B. Smartphone, Smartcard…) und etwas das man weiss (Passwort), scheint man relativ gut geschützt.

Anders sieht die Sache aus, wenn man zwar noch etwas besitzt, das Wissen aber mittlerweile auch anderen bekannt ist. Aus einer Zweifaktor Authentifizierung wird eine Einfaktor Authentifizierung.

Dazu kommen folgen Punkte:

  • Der zweite Faktor wird zu einem Grossteil über das Medium SMS abgewickelt. Dieses gilt seit einiger Zeit als unsicher.
  • Eine Rücksetzung des zweiten Faktors über persönliche Details (z.B. Geburtsdatum, Mail an Private Email…) ist oftmals möglich.

Vor allem in Bezug auf die Masse der geleakten Accounts ist eine Zweifaktor Authentifzierung damit allenfalls eine Hürde – ganz sicher aber keine Unüberwindbare.

Noch mehr Daten?

Die Schweiz verfügt über ein Milizsystem – das heisst öffentliche Aufgaben werden von Privatpersonen nebenberuflich ausgeübt. Dazu zählen etwa Mitgliedschaften in Geschäftsprüfungs-, Sicherheits- und Beratungskommissionen, Verbänden oder diversen Räten.

SwissLeak listet aber „nur“ die Betroffene, die Ihre „geschäftliche Emailadresse“ für Onlineservices verwenden.

Oder anders ausgedrückt; das Milizsystem wird bei SwissLeak vernachlässigt.

Nun ist es aber relativ einfach, interessante Personen und Ihre privaten Emailadressen auf den Webseiten der Organisationen zu finden und deren Daten dann mit den Leaks abzugleichen. Das dies auch praktisch funktioniert, zeigt die Kategorie Politik auf SwissLeak.ch…

Gerade im privaten Bereich werden diese Leaks häufiger auftreten und die Sicherheit (z.B. keine Zweifaktor Authentifizierung) wird wesentlich tiefer ausfallen.

Datenschutz

Dass geleakte Accounts vom Datenschutz her problematisch sind, versteht sich von selbst. Insbesondere die Frage nach dem Besitzer bzw. Inhaber eines Accounts scheint problematisch.

Erstellt beispielsweise der Mitarbeiter Max Müller einen Dropbox – Account mit seiner Firmen Emailadresse, stellt sich sofort die Frage wer denn nun der Besitzer dieses Dropbox – Accounts ist; Max Müller oder die Firma?

Was bei einem Dropbox – Account vielleicht noch unproblematisch scheint (da relativ unverfänglich), wir wesentlich anspruchsvoller, wenn sich Max Müller z.B. bei Ashley Madison oder einem ähnlichen Netzwerk angemeldet hat. Darf der Arbeitgeber (=Firma) in diesem Fall die entsprechende Quelle erfahren? Oder greift hier Art. 9b des Schweizer Datenschutzgesetzes (Einschränkung Auskunftspflicht aufgrund Interessen Dritter) ?

Um diese Diskussion gar nicht erst aufkommen zu lassen und weil in der Vergangenheit gewisse Schlaumeier das Gefühl hatten, gemäss EDÖB ein „kostenloses Auskunftsbegehren“ zu stellen , wird sie bei SwissLeak  von Beginn weg technisch verunmöglicht. SwissLeak speichert sowohl Email und entschlüsseltes Passwort nicht im Klartext sondern nur als sogenannte Fingerprints mit den jeweiligen Metainformationen.

Die „Rohdaten“ bleiben aber selbstverständlich erhalten und könnten auch erneut durchsucht werden…

Tendenz

Datenleaks werden in Zukunft vermehrt auftreten, gleichzeitig wird bei sämtlichen Organisationen eine Generation nachrücken, die mit der Nutzung von Onlineservices aufgewachsen ist.

Die Technik entwickelt sich weiter; Leistungsfähigere Geräte werden es ermöglichen, längere und komplexere Passwörter zu entschlüsseln.

Für den Administrator einer Organisation bieten sich nur relativ wenige Möglichkeiten, die Gefahr von Datenleaks zu vermindern; denn Benutzer die sich mit Organisationsadressen an externen, leakgefährdeten Onlineservices anmelden entziehen sich praktisch vollständig seiner Kontrolle.

Ohne ein (erzwungenes) Umstellen des Benutzerverhalten und innovative, technische Authentifizierungsmechanismen, die vielleicht sogar ohne Passwort auskommen, wird sich die Problematik also mittelfristig verschärfen.

Zukunft?

SwissLeak ist weder perfekt noch vollständig; Es zeigt aber den Trend der „Big Data Leaks“ und inwiefern die Schweiz davon betroffen ist zumindest im Ansatz auf.

Auch wenn einige in diesem Zusammenhang sicherlich gerne von „Einzelfällen“ sprechen würden – es geht nicht nur um einzelne Benutzer oder Accounts, sondern um die kreative Interpretation des „Grossen Ganzen“.

Was passiert etwa, wenn geleakte Daten mit bereits heute gängigen „Möglichkeiten“ kombiniert werden (E-Whoring, Ransomware, Phishing…)? Wenn Benutzer gezwungen werden, anstelle von Geld, Daten einer bestimmten Organisation zu liefern? Oder ganz einfach als „Köder“ für andere Ziele genutzt werden?

Organisationen, die mit sensiblen Informationen arbeiten und deren Benutzer in Leaks gefunden wurden, gibt es in der Schweiz zu Genüge.

Leider ist es aber utopisch, zu glauben, das „Darauf hinweisen“ oder „Bekannt machen“ von Leaks würde irgendetwas am Benutzerverhalten ändern.

Gerade in der Schweiz haben wir in diesen Belangen gerne einmal eine „lange Leitung“ und glauben, dass wir (schon) nicht davon betroffen sind.

Ob das historisch bedingt ist oder aufgrund unserer geografischen Lage; Fest steht, dass uns weder die Neutralität noch die Alpen vor Datenleaks und anderen digitalen Gefahren schützen…

Also – wie sicher ist die Schweiz?