Investigativ

Außenministerium voller Leaks

Alexander Surowiec
Außenministerium voller Leaks - Katynn - Adobe Stock - FoB
Außenministerium voller Leaks - Katynn - Adobe Stock - FoB

Das österreichische Außenministerium (BMEIA) steht erneut im Fokus einer Enthüllung, die das Sicherheitsrisiko durch unsachgemäßen Umgang mit dienstlichen E-Mail-Adressen aufzeigt. Die aktuelle Affäre um einen mittlerweile abberufenen Botschafter, der auf einem Blog mit expliziten Inhalten in Verbindung gebracht wird, ist nur die Spitze des Eisbergs. Wie eine Recherche von Fass ohne Boden (FoB) zeigt, ist die private Nutzung dienstlicher E-Mails durch Beamte und Gesandte des BMEIA seit Jahren gängige Praxis.

Inhalt anklicken

Die jüngste Enthüllung rund um den abberufenen „Sadomaso-Botschafter“ hat ein lange bekanntes, aber offenbar ignoriertes Sicherheitsproblem im Außenministerium mit voller Wucht offengelegt: die Nutzung privater E-Mail-Adressen auf dienstlichen Laptops und Handys sowie die private Verwendung dienstlicher E-Mail-Adressen.

- Digital Nakam Werbung -
Werbung - Digital NakamWerbung - Digital Nakam

Eine tiefgehende Analyse der Datenlecks der letzten Jahre zeigt nun das wahre Ausmaß dieses riskanten Verhaltens: Nicht nur einige wenige, sondern sage und schreibe von knapp 100 vorerst überprüften dienstlichen E-Mail-Adressen sind die von 46 BMEIA-Mitarbeiter in 27 kompromittierten Daten-Leaks aufgetaucht. Einige E-Mailadressen kamen sogar gleich in sechs verschiedenen Daten-Leaks vor. Die Spitzenreiterin kam auf neun verschiedene Leaks.

Methodik der Recherche

Zuerst wurden öffentliche Quellen wie Register und parlamentarische Anfragen sowie das Darknet durchforstet. Auf diese Weise entstand eine Liste von über 1000 Einträgen, die mit dem BMEIA in Verbindung stehen. Teilweise hatte ein Dokument mehrere Dutzend Seiten.

Mit dieser Liste hat die Redaktion dann jede einzelne Adresse mit dem renommierten Dienst „haveibeenpwned.com“ abgeglichen. Dieses Online-Tool des australischen Sicherheitsexperten Troy Hunt vergleicht E-Mail-Adressen mit einer riesigen, öffentlich zugänglichen Datenbank bekannter Datenlecks. Dieser Abgleich bestätigte, dass die E-Mail-Adressen von insgesamt 46 BMEIA-Mitarbeitern in verschiedenen Hacks und Datensammlungen der letzten Jahre enthalten waren.

„Library of Leaks“

Die Recherche stützte sich auch auf die Library of Leaks. Dabei handelt es sich um ein öffentlich zugängliches Suchportal, das von der Non-Profit-Organisation DDoSecrets (Distributed Denial of Secrets) betrieben wird. Dieses Portal dient als Suchmaschine für eine große Sammlung von gehackten und geleakten Dokumenten aus den unterschiedlichsten Quellen. DDoSecrets macht diese Daten oft der Öffentlichkeit zugänglich und wird von Journalisten und Forschern genutzt, um die Authentizität und den Umfang von Datenlecks zu überprüfen.

Chronologie der Kompromittierung

Die private Nutzung von BMEIA-E-Mail-Adressen hat dazu geführt, dass diese in einer Vielzahl von Datenlecks aufgetaucht sind, die sich über den Zeitraum von 2011 bis 2024 erstrecken. Unsere Recherche hat insgesamt 27 verschiedene Datenlecks identifiziert, in denen sich dienstliche E-Mail-Adressen von BMEIA-Mitarbeitern befanden.

Jedes einzelne dieser Lecks stellt eine ernsthafte Bedrohung für die nationale Sicherheit dar. Denn die kompromittierten Datensätze liefern Cyberkriminellen nicht nur E-Mail-Adressen, sondern oft auch Passwörter, aber auch Telefonnummer, Privatadressen und weitere sensible persönliche Daten.

Besonders alarmierend ist die Tatsache, dass mehrere Beamte auch nach dem öffentlich bekannt gewordenen Cyberangriff auf das Außenministerium im Jahr 2019 auf 2020 weiterhin ihre dienstliche E-Mail-Adresse für private Zwecke genutzt haben. Dies wirft die drängende Frage auf, warum die Lektion aus dem Angriff offenbar nicht gelernt wurde und wie es möglich war, dass diese Praxis auch nach einem so schwerwiegenden Sicherheitsvorfall ungestraft fortgesetzt wurde.

  • Stratfor (2011): Dieser Leak war einer der frühesten, bei dem dienstliche E-Mail-Adressen in den Datensätzen auftauchten. Hier wurden 860.000 Benutzerkonten kompromittiert, einschließlich E-Mail-Adressen und „gehashten Passwörtern“. Gehashte Passwörter sind Passwörter, die in eine Zeichenfolge umgewandelt werden, sodass sie nicht mehr im Klartext gespeichert sind und nur durch Abgleich überprüft werden können.
  • Bitly (2014): In diesem Datenleck wurden 9,3 Millionen E-Mail-Adressen, Benutzernamen und gehashte Passwörter offengelegt.
  • LinkedIn (2016): Ein massiver Hack aus dem Jahr 2012, der 2016 bekannt wurde, legte 164 Millionen E-Mail-Adressen und Passwörter offen, die ohne Salt gehasht waren und somit leicht zu knacken waren.
  • Anti Public Combo List & Exploit.In (2016): Diese beiden „Combo-Listen“ umfassten zusammen über eine Milliarde einzigartige E-Mail-Adressen, die für sogenanntes „Credential Stuffing“ verwendet wurden. Hier könnten auch BMEIA-Adressen betroffen gewesen sein, wenn Mitarbeiter ihre Dienst-E-Mail für private Konten mit denselben Passwörtern verwendet haben.
  • Onliner Spambot & River City Media (2017): Diese Leaks, die sich hauptsächlich auf E-Mail-Adressen für Spam-Zwecke konzentrierten, umfassten zusammen über eine Milliarde E-Mail-Adressen, von denen viele mit Passwörtern verbunden waren.
  • Apollo, Exactis, Netlog & Trik Spam Botnet (2018): Das Jahr 2018 war besonders produktiv für Datenlecks. In den Lecks von Apollo (126 Millionen E-Mail-Adressen), Exactis (132 Millionen E-Mail-Adressen), Netlog (49 Millionen E-Mail-Adressen und Passwörter) und dem Trik Spam Botnet (43 Millionen E-Mail-Adressen) könnten sich ebenfalls BMEIA-E-Mail-Adressen befunden haben.
  • Verifications.io, Evite & Collection #1 (2019): Diese Lecks legten eine gigantische Menge an Daten frei: 763 Millionen E-Mail-Adressen bei Verifications.io, 101 Millionen bei Evite und 773 Millionen bei Collection #1.
  • Nitro & Cit0day (2020): Nitro exponierte 70 Millionen E-Mail-Adressen und Passwörter, während Cit0day 226 Millionen E-Mail-Adressen mit Passwörtern preisgab.
  • LinkedIn Scraped Data (2021): Das LinkedIn-Scraping von 2021 war zwar kein klassisches Datenleck, aber die 125 Millionen E-Mail-Adressen, die in den öffentlich zugänglichen Profilen gefunden wurden, stellen ein erhebliches Sicherheitsrisiko dar, da sie für gezielte Angriffe genutzt werden können.
  • Twitter (2023): Auch hier wurden über 200 Millionen E-Mail-Adressen von öffentlichen Twitter-Profilen abgegriffen.
  • Combolists Posted to Telegram (2024): Das aktuelle Leak umfasst 361 Millionen einzigartige E-Mail-Adressen und Passwörter.

Ranghohe Beamte kompromittiert

Das BMEIA-Sicherheitsdilemma zieht sich durch alle Hierarchieebenen. So tauchten auch die dienstlichen E-Mail-Adressen von Außenminister Alexander Schallenberg (alexander.schallenberg@bmeia.gv.at) und dem Beamten Thomas Oberreiter (thomas.oberreiter@bmeia.gv.at) in Datenlecks auf. Alexander Schallenberg, der vor seiner Zeit als Außenminister Kabinettschef im BMEIA war, ist in gleich zwei Leaks zu finden: „Data Enrichment Exposure From PDL Customer“ und „Verifications.io“. Beide Lecks sind das Ergebnis von unsicheren Datenbanken, die persönliche Daten wie Namen, E-Mail-Adressen, aber auch geografische Standorte und Berufsbezeichnungen öffentlich zugänglich machten.

Die E-Mail-Adresse von Thomas Oberreiter, dessen Fall bereits in einem früheren Bericht von Fass ohne Boden aufgedeckt wurde, ist im „Cit0day“-Leak von 2020 zu finden. Dieser Leak umfasste eine riesige Sammlung von über 23.000 kompromittierten Webseiten, wobei E-Mail-Adressen oft im Klartext zusammen mit Passwörtern offengelegt wurden.

Was der Leak aber bestätigt, ist die Tatsache, dass Oberreiter seine dienstliche E-Mail-Adresse auf einer der kompromittierten Websites genutzt hat. Dabei wurden seine dienstliche E-Mail-Adresse und das dazugehörige Passwort offengelegt, in vielen Fällen sogar im Klartext.

Konsequenzen und Reaktionen

Die von Meinl-Reisingers sicherheitspolitischem Berater Thomas Starlinger geleitete Kommission hat am 14. August 2025 ihre Arbeit aufgenommen. Das Team, bestehend aus IT-Spezialisten, Vertretern des Abwehramts und von Nachrichtendiensten sowie internen und externen Juristen, soll IT-Sicherheit und interne Abläufe im BMEIA untersuchen. Bis Oktober wird ein Bericht mit Empfehlungen zur Verbesserung der Sicherheitsvorkehrungen erwartet. Und wie es aussieht, dürfte die Kommission noch viel Arbeit vor sich haben.

Die Vielzahl der Leaks macht deutlich, dass das Außenministerium nicht nur mit einem Einzelfall, sondern mit einem systemischen Problem konfrontiert ist. Die private Nutzung dienstlicher E-Mails untergräbt die IT-Sicherheit und macht die Mitarbeiter, und somit auch das Ministerium, angreifbar für Phishing, Angriffe mit gestohlenen oder wiederverwendeten Zugangsdaten und gezielte Spionage.

Das eigentliche Problem liegt nicht nur in der technischen Kompromittierung, sondern im verantwortungslosen Verhalten der BMEIA-Mitarbeiter selbst. Wer seine dienstliche E-Mail-Adresse bei LinkedIn, X oder sogar einer öffentlichen Bücherei einträgt, missachtet jede Grundregel von Sicherheit und Vertraulichkeit. Damit wird nicht nur die eigene Privatsphäre gefährdet, sondern auch die Integrität des gesamten Ministeriums. Es ist ein eklatanter Bruch mit professionellen Standards, der zeigt, dass im BMEIA nicht nur das Bewusstsein für Sicherheit fehlt, sondern auch die Disziplin und Kultur, sie konsequent umzusetzen.

Quelle: Redaktion

Liste der Leaks

  1. Anti Public Combo List
  2. Apollo
  3. Bitly
  4. Cit0day
  5. Collection #1
  6. Combolists Posted to Telegram
  7. Covve
  8. Data Enrichment Exposure From PDL Customer
  9. Dropbox
  10. Evite
  11. Exactis
  12. Exploit.In
  13. Kayo.moe Credential Stuffing List
  14. Nitro
  15. LinkedIn Scraped Data (2021)
  16. LinkedIn
  17. Netlog
  18. Onliner Spambot
  19. River City Media Spam List
  20. ShareThis
  21. Stratfor
  22. Ticketcounter
  23. Trik Spam Botnet
  24. Twitter (200M)
  25. Verifications.io
  26. Wiener Büchereien
  27. You’ve Been Scraped
Share This Article
Keine Kommentare

Gönn dir diese Artikel