Was sagen uns eigentlich die 40.000 Mails aus dem EU-Parlaments-Hack?

Wir hatten letzten Donnerstag kurz erwähnt, dass im Europaparlament Mailaccounts gehackt wurden. Zu diesem Zeitpunkt wusste man noch nicht viel mehr über die Konsequenzen. Am Freitag wurde Martin Ehrenhauser, einem fraktionslosen EU-Parlamentarier, auf einem USB-Stick eine Liste mit circa 40.000 Mails zugespielt, die vermutlich aus dem Hack hervorgingen. Aufgeführt waren Mails von Parlamentariern, aus dem Deutschen Bundestag, der EU-Kommission, von Parteien und Lobbyisten.


netzpolitik.org - unabhängig & kritisch dank Euch.

In der Liste enthalten sind Angaben zu Betreff, Datum, Absender, Empfänger und der Name von Anhängen. Laut Ehrenhauser reiche die Spannweite an Betreffen von Geburtstagsgrüßen bis zu Infos aus den Koalitionsverhandlungen und unter den Anhängen seien sowohl Einladungen zu Championsleaguespielen und als auch Aufforderungen zum Abstimmungsverhalten von Lobbyisten enthalten.

Das schürt Befürchtungen, wird aus Ehrenhausers Statement deutlich:

Aufgrund dieser Metadaten ist es durchaus möglich, dass – sofern E-Mails veröffentlicht werden – ein großer Lobbyskandal ausbricht. Vor allem die Verbindungen zwischen konservativen EU-Abgeordneten und Lobbyverbänden ist auffällig.

Vielleicht kommt jetzt, mit der Angst vor der persönlichen Betroffenheit, auch bei den Vorratsdatenspeicherungs-Freunden an, dass Metadaten nicht ganz so harmlos sind, wie man das gerne darstellen will (auch wenn bei der VDS Betreff und Anhänge nicht gespeichert werden). Und als kleiner Hinweis: Auch Verschlüsselung hätte den Betroffenen hier nicht unbedingt weitergeholfen, denn der Betreff wird immer im Klartext übertragen.

9 Kommentare
  1. tja, überwachung mal umgekehrt. bestimmt ist man aber „sehr entrüstet“, beim popeligen wahlvieh ist das natürlich völlig uninteressant wenn es überwacht wird, hautpsache er macht sein kreuzchen richtig.
    soclhe sachen müssten viel mehr auf den tisch, so dass cameron auf seinem eiland den kasper kriegt.

  2. Ich weiß jetzt schon, wie die Verteidigungsstrategie aussehen könnte (und bin fast bereit, darauf zu wetten): Die Daten wurden illegal erlangt und illegal veröffentlicht und es sei dabei keineswegs sichergestellt, dass das, was sich aus den Metadaten ergäbe, a) nicht verändert worden sei (denn schließlich haben Kriminelle ja die Daten erbeutet und ein politischer Gegner veröffentlicht sie) und b) seien die Daten unter Verstoß gegen das Gesetz erlangt worden und deswegen umbeachtlich. Außerdem stammten sie c) aus der parlamentarischen Arbeit und deswegen privilegiert und das, was unter Verstoß gegen dieses Privileg erbeutet worden sei, dürfe nicht verwendet werden.

    Danach dann: weiter im Text als sei nichts passiert. Verdammtes elendes Pack.

    1. du sprichst mir aus der seele. ich verstehe ja frau biselli und auch herrn beckedahl. ohne diesen blog und vielleicht noch heise würden wir ganz schön im dunkeln tappen und noch mehr verarscht werden von der sog. „regierung“.
      aber irgendwas läuft total falsch in der zurwehrsetzung…siehe „demonstration gegen überwachung in berlin..250 teilnehmer“……..“demonstration gegen pkk-verbot in berlin…5000 teilnehmer“

      1. Weil es dem Rest einfach egal ist?
        Ich will das nicht anprangern, immerhin hat auch jeder ein Recht darauf das ihm etwas egal ist…

        „Realität – Friss oder Stirb“

        Meiner einzel Meinung nach wird sich daran auch nichts ändern, erst wenn der Staat, 1) sein Parlament verliert – 2) Die Freiheit aufgegeben wurde – 3) Minderheiten getötet wurden und 4) ein Krieg verloren wurde…

        Danach ist dann wieder etwas Ruhe und die Augen gehen wieder auf, aber das hält dann auch nicht lange an…

  3. Und als kleiner Hinweis: Auch Verschlüsselung hätte den Betroffenen hier nicht unbedingt weitergeholfen, denn der Betreff wird immer im Klartext übertragen.

    Sicher? Wenn ich das Beispiel aus http://en.wikipedia.org/wiki/STARTTLS richtig interpretiere, steht das Initiieren der Verschlüsselung ganz am Anfang des SMTP-Dialogs, und nur so ist es ja auch sinnvoll. Dito bei SMTP mit SSL.

    Der Betreff kommt erst weit später im DATA Teil des SMTP-Dialogs.

    Selbst Sender und Empfänger (MAIL FROM und RCPT TO) sollten erst nach einer eventuellen Verschlüsselung des E-Mails Dialogs übermittelt werden.

    Der Betreiber eines WLAN Hotspots, der den Verkehr über sich laufen lässt, sollte also lediglich die IP-Adressen des Senders (oder Empfängers bei POP3/IMAP, die ähnlich wie SMTP verschlüsseln können), des zugehörigen Mail-Servers und den Timestamp kennen, solange er nicht aktiv in den Datenverkehr eingreift und versucht, die Aushandlung von STARTTLS zu verhindern (was immer noch keinen Erfolg bringt, wenn Client und/oder Server dies erzwingen oder SSL verwenden).

    Oder sehe ich da irgendwas ganz falsch?

    1. Ja und nein, ich habe mich nicht ganz klar ausgedrückt. Ich habe an eine Ende-zu-Ende-Verschlüsselung der Mail via PGP gedacht (abgesehen davon, dass die Europaparlamentarier keine Software zum Verschlüsseln ihrer Mails installieren dürfen). Bei PGP-Verschlüsselung von Mails wird „nur“ der Inhalt der Mail verschlüsselt.

      Was du meinst ist die Verbindungsverschlüsselung. Das heißt, die Leitung zwischen Sender und Empfänger(-server) ist verschlüsselt – bei der Ende-zu-Ende-Verschlüsselung oben tritt das Datenpaket schon verschlüsselt in die Leitung ein. Problem bei der Verbindungsverschlüsselung ist, dass die Sicherheit von HTTPS/STARTTLS/etc. auf der Vertrauenswürdigkeit von Zertifikaten basiert. Fälscht man die, kann man mitlesen. Dagegen sollten eigentlich die Zertifizierungsbehörden helfen, aber wer schon mal eine Warnung à la „Zertifikat abgelaufen“ oder „Zertifikat nicht vertrauenswürdig“ weggeklickt hat, kann sich denken, wie wirksam das am Ende ist. Ich vermute mal, so etwas wird auch bei dem Hack passiert sein, sodass der Hacker den Klartext mitlesen konnte.

      1. Ja und nein, ich habe mich nicht ganz klar ausgedrückt. Ich habe an eine Ende-zu-Ende-Verschlüsselung der Mail via PGP gedacht…

        Ah, okay, dann passt das Statement. :)

        Problem bei der Verbindungsverschlüsselung ist, dass die Sicherheit von HTTPS/STARTTLS/etc. auf der Vertrauenswürdigkeit von Zertifikaten basiert.

        Ja, das ist ein ziemliches Trauerspiel. Aber solange ein Angreifer sein Zertifikat nicht von einer bekannten CA signiert bekommt, würde/sollte ein Client immerhin eine Warnung ausspucken. Keine Ahnung, ob das in diesem Fall zutraf. Aber andererseits ist die Bereitschaft der User, Dialoge und Warnungen ungelesen wegzuklicken, ziemlich unerschütterlich…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.