Abo
  • Services:

Active Sync: Kinderleichter Hack von Mailaccounts im EU-Parlament

E-Mail-Accounts von EU-Parlamentariern sind offenbar über Monate gehackt worden. Möglich wurde dies durch eine Attacke auf die Microsoft-Anwendung Active Sync. Inzwischen sind Listen mit Metadaten aufgetaucht.

Artikel veröffentlicht am ,
Ort des Datenhacks: Das EU-Parlament in Straßburg.
Ort des Datenhacks: Das EU-Parlament in Straßburg. (Bild: Frederick Florin/AFP/GettyImages)

Ein unbekannter Hacker hat offenbar über Monate den E-Mail-Verkehr von EU-Parlamentariern und deren Mitarbeitern abgreifen können. Wie die französische Nachrichtenseite Mediapart berichtet, bediente sich der Unbekannte der Nutzung von Microsofts Datensynchronisation Active Sync. Mit der Attacke sollte vor allem bezweckt werden, auf die Bedeutung des Themas IT-Sicherheit vor der anstehenden Wahl des EU-Parlaments hinzuweisen. Dem österreichischen EU-Abgeordneten Martin Ehrenhauser wurde inzwischen eine Datei mit Metadaten von rund 40.000 E-Mails zugespielt.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Laut Mediapart hatte sich der Hacker in der Nähe des Straßburger Parlamentssitzes platziert und mit seinem Laptop einen WLAN-Access-Point eingerichtet. Damit startete er eine Man-in-the-middle-Attacke auf die Smartphones der Vorbeigehenden, wenn diese über die Active-Sync-App ihre Daten mit dem Exchange-Server des Parlaments synchronisierten. Dabei sei es ihm gelungen, die Zugangsdaten von sechs Parlamentariern, fünf Assistenten, einer Fraktionsmitarbeiterin und zwei IT-Mitarbeitern abzugreifen. Zwar reagiere die Synchronisation bei dem Verbindungsversuch über den eingerichteten Access Point mit einem Warnhinweis. Doch die meisten würden diese Warnung mit OK quittieren, ohne ihn jemals gelesen zu haben. "Es war ein Kinderspiel", sagte der Hacker der Internet-Zeitung. Er erhielt damit Zugriff auf die E-Mail-Postfächer, Adressenlisten und abgespeicherte Dateien. Auch ein EU-Abgeordneter der CDU ist laut Mediapart betroffen.

"Großer Lobbyskandal" möglich

Wie viele Daten dabei abgegriffen wurden, ist bislang unklar. Ehrenhauser berichtet, ihm sei auf einem USB-Stick eine 3.386-seitige Liste mit den Metadaten von rund 40.000 E-Mails zugespielt worden. Die angeführten E-Mails stammten großteils aus diesem Jahr und reichten bis November 2013. Der fraktionslose Abgeordnete vermutet, dass es sich um jene E-Mails handelt, die Mediapart in dem Bericht erwähnt habe. "Aus der Liste wird ersichtlich, dass der Parlaments-Hack wahrscheinlich weitaus umfangreicher ist als angenommen", sagte Ehrenhauser.

Aufgeführt seien E-Mails des EU-Parlaments, des deutschen Bundestages, der EU-Kommission sowie von Parteien und Lobbyverbänden. Auch deutsche und österreichische EU-Abgeordnete seien betroffen. In den Anhängen befänden sich unter anderem vertrauliche Diskussionspapiere von Lobbyorganisationen, Protokolle über die Kandidatenauswahl für politische Ämter, Einladungen zu Championsleague-Spielen oder Aufforderungen zum Abstimmungsverhalten von Lobbyisten. Bei der Veröffentlichung der E-Mails könnte "ein großer Lobbyskandal ausbrechen", sagte Ehrenhauser.

Verschlüsseln verboten

Mehrere Parlamentarier zeigten sich besorgt über die Mängel der IT-Sicherheit im Parlament. "Wir benutzen Microsoft-Software, ohne zu wissen, ob alle Datenschutzbestimmungen eingehalten werden oder ob da nicht doch Hintertüren eingebaut sind", sagte Jan Philipp Albrecht, Datenschutzexperte der Grünen, zu Spiegel Online. "Wir setzen uns schon seit zehn Jahren ein, Open-Source-Software zu nutzen, da kann man selbst weiterentwickeln." Bislang scheiterte das laut Albrecht an der Parlamentsverwaltung und den politisch Verantwortlichen. Dort herrsche "keinerlei Sensibilität für dieses Thema". "Seit Jahren wird auf Lücken der Kommunikationsinfrastruktur hingewiesen", sagte Ehrenhauser. Es sei "ein Skandal, dass man als EU-Abgeordneter seine E-Mails nicht verschlüsseln kann, weil das Parlament es nicht zulässt".



Anzeige
Top-Angebote
  1. (u. a. TomTom Via 135 M Europe Trafiic inkl. Free Lifetime Maps 109,99€)
  2. (aktuell u. a. AMD Athlon 220GE Prozessor 61,90€, Acer Iconia One 10 Tablet-PC 119,90€)
  3. (u. a. The Witcher 3 GOTY 14,99€, Thronebreaker 19,39€, Frostpunk 20,09€)
  4. (u.a. AMD Ryzen 5 2600 Prozessor 149,90€)

M.P. 25. Nov 2013

Naja, ob die Leute, die Code zu den Linux-Derivaten beitragen hauptsächlich in den USA...

burzum 25. Nov 2013

Eventuell solltest Du lieber mal den kompletten Sachverhalt dazu nachschlagen um Dich...

FoxCore 24. Nov 2013

Ja, Windows XP wird ab dem Zeitpunkt, wo es keine Support mehr gibt Hintertüren besitzen...

Smolo 24. Nov 2013

Es gibt ausreichend freie ActiveSync implementierungen das hat erstmal nichts mit der...

Kasabian 24. Nov 2013

Denn ansonsten wären die gleich in die freie Wirtschaft gegangen. Das war schon immer so...


Folgen Sie uns
       


Probefahrt mit dem Audi E-Tron - Bericht

Golem.de hat den neuen Audi E-Tron auf einem Ausflug in die Wüste von Abu Dhabi getestet.

Probefahrt mit dem Audi E-Tron - Bericht Video aufrufen
Europäische Netzpolitik: Schlimmer geht's immer
Europäische Netzpolitik
Schlimmer geht's immer

Lobbyeinfluss, Endlosdebatten und Blockaden: Die EU hat in den vergangenen Jahren in der Netzpolitik nur wenige gute Ergebnisse erzielt. Nach der Europawahl im Mai gibt es noch viele Herausforderungen für einen digitalen Binnenmarkt.
Eine Analyse von Friedhelm Greis


    Schwer ausnutzbar: Die ungefixten Sicherheitslücken
    Schwer ausnutzbar
    Die ungefixten Sicherheitslücken

    Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
    Von Hanno Böck

    1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
    2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
    3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

    Kaufberatung: Den richtigen echt kabellosen Bluetooth-Hörstöpsel finden
    Kaufberatung
    Den richtigen echt kabellosen Bluetooth-Hörstöpsel finden

    Wer sie einmal benutzt hat, möchte sie nicht mehr missen: sogenannte True Wireless In-Ears. Wir erklären auf Basis unserer Tests, was beim Kauf von Bluetooth-Hörstöpseln beachtet werden sollte.
    Von Ingo Pakalski

    1. Nuraphone im Test Kopfhörer mit eingebautem Hörtest und Spitzenklang
    2. Patent angemeldet Dyson soll Kopfhörer mit Luftreiniger planen

      •  /