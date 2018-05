Können Unbefugte Passwörter von Bettel und Co. abgreifen? Der Radiosender 100,7 meldete am 15. März, dass sich ein Whistleblower an die Redaktion gewandt hatte. Die Person behauptete, auf eine Sicherheitslücke auf einer staatlichen Plattform aufmerksam machen zu wollen. Angeblich war es ihr “mit ein wenig Informatik-Kenntnissen” sowie einem Zugang zu der Plattform möglich gewesen, unverschlüsselte Passwörter von mehr als 1000 Nutzern einzusehen, darunter die von Regierungsmitgliedern, Chamberabgeordneten, Journalisten und Beamten . “Mit den Kennwörtern hätte die Person möglicherweise auch in andere staatliche und nicht-staatliche Netze eindringen können”, schreibt 100,7.

Mit seinen Kenntnissen habe sich der “Hacker” an den staatlichen IT-Sicherheitsdienst gewandt – dem GovCert. Aber da dieser ihm keine Freiheit vor Strafverfolgung garantieren konnte, habe er sein Wissen für sich behalten.

Person nahm 2016 Kontakt mit GovCert auf

Wie Kommunikationsminister Xavier Bettel (DP) am Donnerstag bestätigt, hat es tatsächlich eine Kommunikation mit GovCert und einem potentiellen Whistleblower gegeben. Allerdings war die offenbar wesentlich umfangreicher. Laut Bettel hat die Person bereits im 2016 Kontakt mit GovCert aufgenommen und behauptet, über eine Sicherheitslücke Bescheid zu wissen. Der Sicherheitsdienst bestätigt das gegenüber dem Tageblatt: “Die Person hat sich im Januar 2016 bei uns gemeldet und gesagt, sie wolle eine Sicherheitslücke melden”, erklärt Laurent Weber von GovCert. “Als Beweis präsentierte sie uns einen Hashwert.”

Hashwerte würden von mathematischen Verfahren generiert, um Daten zu verifizieren, sagt Weber. Datenbanken nutzten die Methode auch, um Passwörter zu verschlüsseln. Aber: Die IT-Cracks konnten den übermittelten Hashwert auf keinem staatlichen Server finden. “Wir haben versucht, das Problem zu finden – mit den Leuten, die die verschiedenen Systeme betreiben”, sagt Weber. Es sei nahezu “unmöglich”, einen Wert zu entdecken, ohne genau zu wissen, woher er ursprünglich stammt. “Wir konnten nicht überprüfen, ob eine Sicherheitslücke möglich war oder nicht”, sagt Weber.

Kein Schutz für Whistleblower

Im Jahr 2018 hat sich der Hacker erneut an den Staat gewandt, erklärt Minister Bettel. Erneut konnten ihm die Institutionen aufgrund der in Luxemburg geltenden Gesetzeslage nicht zusagen, dass er von Strafverfolgung verschont bleibt. Daraufhin wandte sich der vermeintliche Whistleblower offenbar an 100,7. “Journalisten haben wenigstens einen gewissen Schutz, den andere nicht haben”, zitiert der Radiosender die Person.

In der Tat genießen Informanten in Luxemburg keine besondere Absicherung, wenn es sich nicht “große Fälle von Korruption” geht, wie Xavier Bettel erklärt. Der ehemalige PwC-Angestellte und LuxLeaks-Whistleblower Antoine Deltour genoss aus eben diesem Grund keinen Sonderstatus als Whistleblower. Eine Neuauflage des entsprechenden Luxemburger Whistleblower-Gesetzes, die seit 2015 im Gespräch ist, hat die Regierung offenbar vertagt. “Die Regierung arbeitet an einem Gesetzesentwurf, der die Initiative der Europäischen Kommission einbinden soll”, sagt Bettel. Dieser EU-Vorschlag soll spätestens im Frühjahr 2019 verabschiedet werden.