IT-Spezialist hackt die FDP Schweiz – Anzeige statt Danke

Eines Sonntagabends im Oktober 2020 sass der IT-Spezialist Philipp Brügger zu Hause am PC. Er war nichtsahnend auf der Suche nach einer Grafik im Internet. Doch stattdessen stösst er auf einen Cloudspeicher der FDP Schweiz und darin auf eine Präsentation über deren Website. Doch nicht nur das.

In der Präsentation findet Brügger das Admin-Passwort zur FDP-Website. Plötzlich könnte er Inhalte manipulieren und zum Beispiel unliebsame Botschaften im Namen der FDP platzieren. Oder er könnte gar Mitgliederrechnungen verschicken und das Bankkonto auf sein eigenes abändern, wie er in einem Post auf Linkedin schreibt.

Brügger unternimmt auf der Webseite nichts Illegales, wie er sagt, stattdessen meldet er seinen Fund dem Generalsekretariat der Partei. Zusammen mit der Anfrage, ob er für seinen Fund nicht einen Finderlohn in Höhe von 50 Franken in Form eines Gutscheins für einen Onlineshop bekommen könne.

Doch statt eines Dankes droht ihm die Partei scharf mit rechtlichen Schritten. «Es wurde darauf hingewiesen, dass ich mich strafbar gemacht haben könnte und ein Bundesgerichtsurteil als Link dem Mail hinzugefügt», sagt er enttäuscht zu 20 Minuten. Marco Wölfli, Mediensprecher der FDP Schweiz, bestätigt die Darstellung auf Anfrage, präzisiert aber: «Im Oktober 2020 standen wir mit ihm in einem Dialog und er fragte für eine Entschädigung an. Als Vergleich nannte er die Post, die in ähnlichen Fällen 5000 Franken bezahlen würde. Von einem simplen Gutschein war keine Rede.» Diese finanzielle Forderung habe die FDP «selbstverständlich abgelehnt».

Brügger hätte sich ein vorbildlicheres Verhalten der FDP gewünscht, wie er weiter sagt. «Mein erster Gedanke war: Beim nächsten Mal würde ich mich nicht nochmal bei der FDP melden.»

Erst als er diese Woche seinen Post auf Linkedin stellt, kommt es gemäss Brügger zum Happy End. FDP-Vizepräsident Andri Silberschmidt meldete sich plötzlich bei ihm: «Gestern Abend erhielt ich eine liebe Nachricht von Andri Silberschmidt, er hat mir umgehend einen 100-Franken-Gutschein meines gewünschten Onlineshops geschickt.» Der verlangte Finderlohn wurde somit vom FDP-Vize gleich noch verdoppelt.

Und auch FDP-Sprecher Wölfli findet versöhnliche Worte: «Er hat uns auf das öffentlich zugängliche Passwort aufmerksam gemacht, wofür wir dankbar sind. So konnten wir die Lücke schnell schliessen.»

Weiter beschwichtigt Wölfli: «Sensible Daten wie Personendaten oder Ähnliches waren durch den Vorfall nie zugänglich.» Wie das zusammenpasst mit Brüggers Behauptung, dass er den Mitgliedern Fake-Rechnungen hätte schicken können, sei dahingestellt.

Doch wieso postet Brügger den Vorfall zweieinhalb Jahre später auf Linkedin? Die Häufung von Hackerangriffen in den letzten Wochen auf grosse Schweizer Unternehmen hätten ihn aufgeschreckt, sagt er. «Ich wollte zeigen, dass es für einen Hack nicht immer High-Tech braucht.» Manchmal reicht auch ein Passwort in einer vergessenen Online-Datei.