IT-Angreifer hatten Zugriff auf britisches Wählerverzeichnis
Unbekannte hatten mehr als ein Jahr lang Zugriff auf Daten der britischen Wahlkommission. Namen und Adressen von etwa 40 Millionen Personen könnten gestohlen worden sein.
Bei der britischen Wahlkommission handelt es sich um ein unabhängiges Gremium, das unter anderem über Fristen im Zusammenhang mit Wahlen in Großbritannien informiert. Es überwacht auch laufende Wahlen, veröffentlicht anschließend Berichte und gibt Empfehlungen zur Verbesserung. Wie das Gremium am Dienstag mitteilte, hatten Unbekannte seit August 2021 Zugriff auf die Server des Gremiums, auf denen Kopien des Wahlregisters, E-Mail-Systeme und nicht näher spezifizierte Kontrollsysteme lagen.
Entdeckt wurde der Vorfall aber erst mehr als ein Jahr später, im Oktober 2022. Daraufhin sei die britische Datenschutzbehörde innerhalb von 72 Stunden informiert worden. Auch die zuständige National Crime Agency wurde hinzugezogen – die Öffentlichkeit wurde aber erst in dieser Woche informiert. Die Wahlkommission erklärte hierzu, bevor der Vorfall öffentlich gemacht werden konnte, mussten zunächst das Ausmaß untersucht und Sicherheitsmaßnahmen ergriffen werden. Wer hinter dem Angriff steckt, sei nicht bekannt.
Wahlregister mehrerer Jahre betroffen
Die Kopien des Wahlregisters enthielten die Namen und Adressen aller Personen, die sich zwischen den Jahren 2014 und 2022 für Wahlen in Großbritannien registriert hatten. Diese Daten speichert die Kommission nach eigenen Angaben zu Forschungszwecken und, um die Zulässigkeit von politischen Spenden zu überprüfen. In einigen Fällen sei zusätzlich das Datum enthalten gewesen, an dem eine Person das Wahlalter erreicht hatte – woraus sich das Geburtsdatum errechnen lasse.
Die Wahlkommission geht der BBC zufolge davon aus, dass in dem Register für jedes Jahr die Daten von etwa 40 Millionen Bürgerinnen und Bürgern enthalten sind. Auch die Namen von Wählerinnen und Wählern im Ausland seien dort gespeichert, allerdings nicht deren Anschriften.
Zusätzlich hatten die Angreifer Zugriff auf das E-Mail-System der Wahlkommission. Dort hätten außer Namen, E-Mail-Adressen und Anschriften auch Telefonnummern und die Inhalte der an die Kommission gesendeten Nachrichten kompromittiert werden können.
Unklar ob Daten kopiert wurden
Ob die Angreifer die Daten aber tatsächlich gestohlen haben, bleibt unklar: Die Wahlkommission erklärte, sie wisse zwar, dass die Angreifer Zugriff hatten. Ob sie die Daten auch gelesen oder entwendet haben, konnte jedoch nicht festgestellt werden. Auch gebe es bisher keine Hinweise darauf, dass die Daten veröffentlicht wurden.
Nach Einschätzung der Wahlkommission stellen die womöglich entwendeten Daten kein hohes Risiko für Betroffene dar. Allerdings sei es möglich, dass sie mit anderen öffentlich zugänglichen Daten kombiniert werden, um etwa Profile über Personen zu erstellen. Auch die britische Bürgerrechtsorganisation Privacy International weist auf diese Möglichkeit hin: “Auch wenn die Daten für sich genommen kein hohes Risiko für Betroffene darstellen, können sie dennoch mit anderen Daten kombiniert werden, um Rückschlüsse auf Personen zu ziehen oder Profile zu erstellen.”
Informationen über Spenden an Parteien und Politiker werden laut Wahlkommission auf einem anderen System gespeichert und sind von dem Angriff nicht betroffen. Auch habe der Sicherheitsvorfall keine Auswirkungen auf den Wahlprozess gehabt.
Professor Alan Woodward, Spezialist für IT-Sicherheit an der Universität Surrey, erklärte gegenüber der britischen Zeitung The Guardian: “Das Hauptproblem ist die Schädigung des Ansehens der Wahlkommission und des Vertrauens der Menschen in das demokratische System.” (js)