Die britische Wahlkommission hat die Bevölkerung des Landes über einen Cyberangriff auf ihre Systeme informiert. Im Zuge der Datenschutzgrundverordnung sei man verpflichtet, betroffene Personen zu benachrichtigen, wenn ihre Daten exponiert worden seien, schreibt sie in einem Statement.

Der Vorfall sei im Oktober 2022 festgestellt worden. Man habe verdächtige Aktivitäten in den Systemen entdeckt. Eine Untersuchung habe gezeigt, dass feindliche Akteure erstmals im August 2021 auf die Systeme zugegriffen hätten. "Während des Cyberangriffs hatten die Täter Zugang zu den Servern der Kommission, auf denen E-Mails, Kontrollsysteme und Kopien der Wählerverzeichnisse gespeichert waren", so das Statement.

Warum die Öffentlichkeit erst so spät informiert werde, will ein User auf Twitter wissen. "Wir mussten die Akteure und ihren Zugang zu unserem System entfernen, das Ausmass des Vorfalls bewerten, uns mit dem National Cyber Security Centre (NCSC) und der Datenschutzstelle ICO in Verbindung setzen und zusätzliche Sicherheitsmassnahmen ergreifen, bevor wir den Vorfall öffentlich machen konnten", schreibt die Kommission als Antwort.

Namen, Wohn- und E-Mail-Adressen exponiert

Wer hinter dem Angriff steckt, ist noch nicht bekannt. Die Wahlkommission habe den Vorfall dem zuständigen NCSC gemeldet. Bislang habe sich niemand zum Vorfall bekannt, schreibt die Kommission auf Twitter.

Der Mitteilung zufolge hatten die Angreifer Zugriff auf Referenzkopien der Wählerverzeichnisse, die von der Kommission zu Forschungszwecken und zur Überprüfung von politischen Spenden aufbewahrt werden. Potenziell betroffen sind laut der Mitteilung alle Personen, die mit der Kommission in Kontakt standen oder zwischen 2014 und 2022 als Wähler registriert waren. Im Jahr 2020 waren knapp 47 Millionen Einträge in den Parlamentsregistern vermerkt.

Die Meldung erfolge aufgrund der grossen Menge an personenbezogenen Daten, die während des Cyberangriffs möglicherweise eingesehen oder entfernt wurden, schreibt die Kommission. Dazu gehören Namen, E-Mail-Adressen, Wohnanschrift, Telefonnummern sowie das Datum, an dem eine Person das Wahlalter erreicht. Informationen über Spenden oder Darlehen an Parteien würden in einem anderen System gespeichert und seien nicht betroffen.

"Geleakte Informationen stellen kein hohes Risiko dar"

Nach einer Risikobewertung geht die Wahlkommission davon aus, dass das Leck kein grosses Risiko für Einzelpersonen darstellt. Es sei aber möglich, dass die Daten mit anderen öffentlich zugänglichen Informationen kombiniert werden. So könnten Einzelpersonen identifiziert und Verhaltensmuster erkannt werden. Potenziell Betroffene sollten auf die unbefugte Nutzung ihrer personenbezogenen Daten achten, so der Rat der Kommission.

Obwohl die in den Registern enthaltenen Informationen beschränkt und ein Grossteil davon bereits öffentlich zugänglich sei, verstehe man die Besorgnis der Öffentlichkeit, sagte Kommissionsdirektor Shaun McNally. Die Kommission wolle sich bei den Betroffenen entschuldigen. Man habe Massnahmen ergriffen, um die Systeme gegen künftige Angriffe zu schützen, etwa durch die Aktualisierung der Anmeldeanforderungen, des Warnsystems und der Firewall-Richtlinien.