Können Unbefugte Passwörter von Bettel und Co. abgreifen? Der Radiosender 100,7 meldete am 15. März, dass sich ein Whistleblower an die Redaktion gewandt hatte. Die Person behauptete, auf eine Sicherheitslücke auf einer staatlichen Plattform aufmerksam machen zu wollen. Angeblich war es ihr „mit ein wenig Informatik-Kenntnissen“ sowie einem Zugang zu der Plattform möglich gewesen, unverschlüsselte Passwörter von mehr als 1.000 Nutzern einzusehen, darunter die von Regierungsmitgliedern, Chamberabgeordneten, Journalisten und Beamten. „Mit den Kennwörtern hätte die Person möglicherweise auch in andere staatliche und nicht-staatliche Netze eindringen können“, schreibt 100,7.
Mit seinen Kenntnissen habe sich der „Hacker“ an den staatlichen IT-Sicherheitsdienst gewandt – also an GovCert. Aber da dieser ihm keine Freiheit vor Strafverfolgung garantieren konnte, habe er sein Wissen für sich behalten.
Person nahm 2016 Kontakt mit GovCert auf
Wie Kommunikationsminister Xavier Bettel (DP) am Donnerstag bestätigt, hat es tatsächlich eine Kommunikation mit GovCert und einem potenziellen Whistleblower gegeben. Allerdings war die offenbar wesentlich umfangreicher. Laut Bettel hat die Person bereits im 2016 Kontakt mit GovCert aufgenommen und behauptet, über eine Sicherheitslücke Bescheid zu wissen. Der Sicherheitsdienst bestätigt das gegenüber dem Tageblatt: „Die Person hat sich im Januar 2016 bei uns gemeldet und gesagt, sie wolle eine Sicherheitslücke melden“, erklärt Laurent Weber von GovCert. „Als Beweis präsentierte sie uns einen Hashwert.“
Hashwerte würden von mathematischen Verfahren generiert, um Daten zu verifizieren, sagt Weber. Datenbanken nutzten die Methode auch, um Passwörter zu verschlüsseln. Aber: Die IT-Cracks konnten den übermittelten Hashwert auf keinem staatlichen Server finden. „Wir haben versucht, das Problem zu finden – mit den Leuten, die die verschiedenen Systeme betreiben“, sagt Weber. Es sei nahezu „unmöglich“, einen Wert zu entdecken, ohne genau zu wissen, woher er ursprünglich stammt. „Wir konnten nicht überprüfen, ob eine Sicherheitslücke möglich war oder nicht“, sagt Weber.
Kein Schutz für Whistleblower
Im Jahr 2018 hat sich der Hacker erneut an den Staat gewandt, erklärt Minister Bettel. Erneut konnten ihm die Institutionen aufgrund der in Luxemburg geltenden Gesetzeslage nicht zusagen, dass er von Strafverfolgung verschont bleibt. Daraufhin wandte sich der vermeintliche Whistleblower offenbar an 100,7. „Journalisten haben wenigstens einen gewissen Schutz, den andere nicht haben“, zitiert der Radiosender die Person.
In der Tat genießen Informanten in Luxemburg keine besondere Absicherung, wenn es nicht um „große Fälle von Korruption“ geht, wie Xavier Bettel erklärt. Der ehemalige PwC-Angestellte und LuxLeaks-Whistleblower Antoine Deltour genoss aus eben diesem Grund keinen Sonderstatus als Whistleblower. Eine Neuauflage des entsprechenden Luxemburger Whistleblower-Gesetzes, die seit 2015 im Gespräch ist, hat die Regierung offenbar vertagt. „Die Regierung arbeitet an einem Gesetzentwurf, der die Initiative der Europäischen Kommission einbinden soll“, sagt Bettel. Dieser EU-Vorschlag soll spätestens im Frühjahr 2019 verabschiedet werden.
An der Informatik ass Lëtzebuerg eng Banane Republik. Den Chaos Computer Club hat zu dësem Fall sech schonn am März opgereecht, wéi et méichlech ass, dat Regierungscomputer mat brisanten Informationen einfach esou am Internet hänkt? Esou Computer dierfen guet keen Zougang zum Internet an an engem egenen Netzwierk lafen, wann iwwerhaapt. A well et haut Moud ass als Politiker mol all Gedanken per Twitter ze verschécken, brauch ee sech net ze wonneren, d‘Passwierder ze kréien, well Twitter déi bis lo onkodéiert gespäichert huet.
Vun aanere Betrieber kréien esou Leit direkt eng Aarbechtsplaz offeréiert wann se eppes kënnen. Beim Staat mussen se mat enger Uklo rechnen. Menger Meenung no keng Art a Weis déi zukunftsfäheg ass.