Nicht nur ÖVP: "Verheerende" Lücken bei IT-Sicherheit der Parteien
Von Barbara Wimmer
Der ÖVP-Hack hat in den letzten Wochen für Aufregung gesorgt. Die Webseite der Partei war daraufhin einige Tage offline, noch immer sind einige Seiten nicht im Netz. „Für uns heißt das: Panikreaktion. Man entdeckt einen Hack und schaltet alles an Angriffsfläche ab, was man nicht mehr unmittelbar braucht“, sagt Sebastian Bicchi, Geschäftsführer und Gründer der Sec-Research GmbH im Gespräch mit der futurezone. Der Sicherheitsforscher hat sich das System der ÖVP „von außen“ angesehen, ganz ohne Auftrag und ohne irgendetwas Illegales dabei zu tun.
Nachdem Bicchi bei der ÖVP veraltete Systeme und ungesicherte Webseiten ohne sichere Konfiguration entdeckt hatte, wollte er wissen, wie es um die Sicherheit der anderen Parteien in Österreich steht. „Schließlich geht es um unsere Demokratie“, sagt der Sicherheitsforscher.
So schneiden die Parteien ab
Das Ergebnis ist erschreckend: „Wir haben bei allen Parteien mehr oder minder schwere Sicherheitslücken gefunden“, so Bicchi. Er hat seine Ergebnisse in einem 16-seitigen Testbericht zusammengefasst, der der futurezone vorliegt und den SEC-Research mittlerweile auch veröffentlicht hat. Von manchen Ergebnissen sei er persönlich überrascht gewesen, wie etwa davon, dass die FPÖ von außen betrachtet Angreifern relativ wenig Angriffsfläche bietet, obwohl die Partei ähnlich groß wie die ÖVP und SPÖ sei. Am besten schneidet die „Liste Jetzt“ ab. „Das liegt daran, dass IT-Fehler vor allem im Laufe der Zeit entstehen.
Oft wird vergessen, Systeme, die man nicht mehr braucht, abzuschalten. Deshalb ist es logisch, dass die jüngste Partei die kleinste Angriffsfläche bietet“, erklärt der Forscher. Hier fanden sie allerdings auch etwas: eine „Nextcloud“, über die Angreifer mitlesen können, wenn sich jemand von den Verantwortlichen im lokalen Netz einloggt.
SPÖ am schlechtesten
Am schlechtesten schneidet bei dem Test die IT-Infrastruktur der SPÖ ab. Dort waren am meisten Schwachstellen zu finden, weil die SPÖ auf ein eigenes Netzwerk setzt, unter dem alles zusammenläuft. „Das hat den Vorteil, dass es leichter gewartet werden kann“, erklärt Bicchi.
„Allerdings hat die SPÖ diesen Vorteil nicht genutzt und jede Menge Altsysteme und verwaiste Systeme in Betrieb“, so der Forscher. Es würden etwa noch immer alte Webseitenvon Christian Kern zu finden sein, heißt es. „Für Angreifer bedeutet diese Zentralisierung, dass man recht schnell ein Bild von Systemen bekommt, die man als Einfallstor nutzen könnte.“
Nachbessern nötig
Auch bei den NEOS und Grünen waren jede Menge alte Systeme und schlechte Verschlüsselung bei den Webseiten zu finden, über die sich relativ einfach Phishing-Attacken platzieren lassen. Das bedeutet, dass Angreifer die Inhalte der Webseiten ändern und damit Nutzer in die Falle locken könnten.
Die von den Sicherheitsforschern entdeckten Schwachstellen stellen für die Parteien eine Gefährdung dar. „Wir sehen unseren Bericht als Aufforderung, dass die Parteien ihre Systeme dem technischen Stand anpassen. Sie haben hier etwas aufzuholen, damit künftig kein Wahlkampf mehr von so etwas überschattet wird“, meint Bicchi. Der Forscher betont allerdings, dass noch genauere Sicherheitschecks notwendig seien, um ein vollständiges Bild zu erhalten. Dies sei lediglich ein „erster Einblick in die verheerende Lage“.