Das Nationale Zentrum für Cybersicherheit (NCSC) hat den SHV über ein Datenleck informiert. Das Leck wurde sofort geschlossen. Der SHV hat unter Beizug von Spezialisten die notwendigen Massnahmen getroffen und die Mitglieder informiert. Folgende Daten waren ersichtlich: SHV-Nummer, E-Mail-Adresse, verschlüsseltes Passwort. Untersuchungen deuten sehr stark darauf hin, dass das Datenleck unerkannt blieb. Da wir dies aber nicht vollständig ausschliessen können, empfehlen wir unseren Mitgliedern, das Passwort zu ändern.
Die NCSC ist zufällig auf das Leck gestossen. Die Daten waren «versteckt» und schwierig zu finden. Sie befanden sich auf einer «technischen» Entwicklerumgebung. Die Daten wurden Ende Januar 2016 im Rahmen einer Webseiten-Entwicklung verwendet und fälschlicherweise auf öffentlich gestellt. Betroffen sind also Daten der SHV-Aktivmitglieder von Ende Januar 2016.
Positiv ist, dass es in den vergangenen 6 Jahren keine Probleme und Unregelmässigkeiten gab. Zudem haben wir sofort einige Tests durchgeführt und konnten keine Hacks feststellen. Das deutet darauf hin, dass die Daten unerkannt blieben.
Dennoch gibt es Gefahren. Jemand könnte eine Kopie der Daten gemacht haben. Mit Hacking-Tools könnte ein beträchtlicher Anteil der verschlüsselten Passwörter entschlüsselt worden sein. Somit können wir nicht ausschliessen, dass sich jemand missbräuchlich einloggt. Auch in andere Online-Dienste, wenn das gleiche Passwörter mehrfach verwendet wird.
Wir empfehlen den Mitgliedern daher, das Passwort auf der SHV-Webseite zu ändern. Zudem empfehlen wir, dieses Passwort nicht mehr zu verwenden. D.h. überall dort zu ändern, wo es noch in Gebrauch ist. Gemäss NCSC ist es ohnehin ratsam, für jeden einzelnen Online-Dienst ein anderes Passwort zu verwenden.
Wir bedauern diesen Vorfall ausserordentlich und entschuldigen uns dafür in aller Form. Wir ergreifen Massnahmen, damit sich ein solcher Vorfall nicht wiederholt.
SHV-Team
