Unbekannte hatten über ein Jahr Zugriff auf personenbezogene Daten zu mehr als 40 Millionen Menschen, die sich zwischen 2014 und 2022 für Wahlen in Großbritannien im Inland und in Übersee registriert haben. Das hat die dortige Wahlkommission jetzt eingestanden, neun Monate nachdem der Einbruch im Oktober 2022 entdeckt wurde. Der Zugriff habe dann bis auf einen Einbruch im August 2021 zurückgeführt werden können, heißt es weiter. Etwa 14 Monate waren die Angreifer also unerkannt in dem System. Einsehen konnten sie demnach die vollen Namen, Adressen und E-Mail-Adressen von Wählern und Wählerinnen, sowie weitere Informationen zu Personen, die Kontakt zur Wahlaufsicht hatten. Der Angriff habe keinen Einfluss auf Wahlen gehabt, versichert die Electoral Commission.

Kein "hohes Risiko"

In dem jetzt publik gemachten Statement entschuldigt sich die Wahlkommission und versichert, dass man um die Sorgen wisse, die damit verbunden seien. Sie versichert, dass mit dem Zugriff kein "hohes Risiko" für Individuen verbunden sei. Gleichzeitig gesteht sie aber ein, dass man dort nicht weiß, ob die Daten tatsächlich eingesehen oder gar kopiert wurden. Man wisse lediglich, dass die Daten für die Unbekannten zugänglich waren. Die Daten sind laut dem Guardian auch nicht per se nicht öffentlich, die Öffentlichkeit kann aber jeweils nur lokal Einsicht in einen kleinen Teil nehmen, wobei nur handschriftliche Notizen erlaubt sind. Ein Zugriff auf das komplette Register ist ein komplett anderes Kaliber. Man kann beantragen, nicht in diesem Register aufgeführt zu werden.

Bislang gebe es keinen Hinweis darauf, dass die einsehbaren Daten irgendwo online veröffentlicht wurden, schreibt die Wahlkommission in einer FAQ zu dem Einbruch. Auch hätten weder Individuen noch Staaten für den Einbruch Verantwortung übernommen. Die Wahlkommission spricht aber von "feindlichen Akteuren". Als Konsequenz wurde demnach überarbeitet, wie man sich im Netzwerk der Wahlkommission anmelden kann, das Überwachungs- und Warnsystem verbessert sowie die Firewall-Richtlinien aktualisiert. Wie genau der ursprüngliche Einbruch im Spätsommer 2021 gelungen ist, geht aus den Mitteilungen nicht hervor.

Inzwischen haben Sicherheitsforscher aber ermittelt, dass die Wahlkommission einen selbst gehosteten Exchange-Server betreibt, bei dem sich nachträglich ermitteln lässt, dass der bis zum September 2022 online und zu dem Zeitpunkt auch vollständig gepatcht war, schreibt Techcrunch. Ende September waren damals aber Zero-Day-Lücken in Microsoft Exchange Server bekannt geworden, die erst kurz vor Weihnachten gepatcht werden konnten. Die Electoral Commission war also wie viele andere monatelang für ProxyNotShell angreifbar und ein Zusammenhang ist möglich. Der Sicherheitsforscher Kevin Beaumont kritisiert, dass der Konzern die Betroffenen damals so lange allein gelassen hat. Es brauche einen Notfallmechanismus.

