Kampagnenstatistiken
Eine zweistufige OSINT Untersuchung – passive Aufklärung im Januar 2026, gefolgt von aktiver API Aufzählung und Datenerfassung am 25. Februar 2026 – die auf die digitale Infrastruktur der albanischen Regierung abzielte, ergab die folgenden Ergebnisse.
Kontext: Albaniens ehrgeiziger digitaler Staat
Albanien hat das letzte Jahrzehnt damit verbracht, eine der ehrgeizigsten digitalen Regierungsinfrastrukturen Osteuropas aufzubauen. Die Nationale Agentur für Informationsgesellschaft – AKSHI (Agjencia Kombëtare e Shoqërisë së informacionit) – verwaltet ein Netzwerk, das 220 Regierungsinstitutionen verbindet, hostet 380 Regierungswebsites, betreibt über 600 elektronische Dienste für Bürger und unterhält ein spezielles CSIRT für Cybersicherheitsoperationen. Albanien wurde gerankt 14. weltweit im GovTech Maturity Index 2025 und erhielt UN-Anerkennung als Vorbild für die digitale Transformation.
Das Land ist außerdem NATO-Mitglied und strebt aktiv eine EU-Mitgliedschaft an. Als Beitrittsdatum wird das Jahr 2030 angestrebt. Brüssel hat stets Korruption als Haupthindernis identifiziert. Die Reaktion Albaniens im September 2025 bestand darin, den ersten KI-Minister der Welt zu ernennen.
Diella – benannt nach dem albanischen Wort für „Sonne“ – ist ein KI-System, das von AKSHI unter Verwendung von Microsoft Azure und OpenAI entwickelt wurde. Premierminister Edi Rama ernannte sie zur Staatsministerin für künstliche Intelligenz mit einer erklärten Mission: „Öffentliche Ausschreibungen werden zu 100 Prozent frei von Korruption sein.“ Im Oktober 2025 gab Rama bekannt, dass Diella „mit 83 digitalen Assistenten schwanger“ sei, die jedem Parlamentsmitglied der Regierungspartei zugewiesen würden, um die Legislaturperioden zu überwachen.
„Die Agentur, die Albaniens KI zur Korruptionsbekämpfung aufgebaut hat, war selbst ein kriminelles Unternehmen. Ihr Generaldirektor und ihr Stellvertreter wurden drei Monate nach Diellas Ernennung verhaftet und beschuldigt, eine strukturierte kriminelle Gruppe betrieben zu haben, um staatliche Ausschreibungen zu manipulieren.“
Die Geschichte
Diese Untersuchung begann im Januar 2026 als passive Aufklärung: Kartierung der Infrastruktur von AKSHI und Diella, Identifizierung von Subdomains über Zertifikatstransparenz, Untersuchung öffentlich zugänglicher Systeme. Die erste Schlussfolgerung war klar: Die Infrastruktur der albanischen Regierung war im regionalen Vergleich gut gesichert. WAFs auf den Hauptdomänen, WordPress API erfordern eine Authentifizierung, keine offengelegten Anmeldeinformationen im Frontend-JavaScript-Bundle von Diella.
Im Februar 2026 änderte sich die Einschätzung völlig. Als sich die Auszählung an das albanische Parlament wandte – die Institution, die Diellas 83 KI-„Kinder“ überwachen sollten – ergab sich ein anderes Bild. Das Parlament (parlament.al) stellt eine einseitige React-Anwendung bereit, die oberflächlich betrachtet eine Sackgasse zu sein schien: Sie gibt HTTP 200 für alle Pfade zurück, ein klassisches SPA-Allheilmittel. Aber das Haupt-JavaScript-Bundle erzählte eine andere Geschichte.
Beim Abrufen des 355-KB-JS-Pakets und Ausführen der Zeichenfolgenextraktion wurde eine fest codierte API-Basis-URL angezeigt: https://kuvendiapi.azurewebsites.net/api. Eine weitere Extraktion aus minimierten Webpack-Variablen ergab sieben OData-Entitätsnamen. Jeder Endpunkt antwortete auf nicht authentifizierte GET-Anfragen. Keine Token, keine Ratenbegrenzung, keine Zugangskontrollen jeglicher Art.
Das gesamte Backend des albanischen Parlaments API war weit offen.
Die Ironie sitzt tief. AKSHI-Generaldirektorin Mirlinda Karçanaj und ihre Stellvertreterin wurden im Dezember 2025 – nur drei Monate nach Diellas Ernennung – verhaftet und beschuldigt, eine strukturierte kriminelle Gruppe innerhalb der Behörde geleitet zu haben, die den KI-Antikorruptionsminister aufgebaut hatte. SPAK (Albaniens spezielle Antikorruptionsstruktur) identifizierte zwölf Ausschreibungsverfahren, die systematisch manipuliert worden waren. Das Parlament API war mindestens seit Januar 2022 geöffnet. Und Diella – integriert in die e-Albania-Plattform mit Zugriff auf über 36.000 Regierungsdokumente – sah nichts davon.
Kritische Feststellung 1 – Albanisches Parlament: Nicht authentifiziert API
Öffnen Sie API Endpunkte
| Endpunkt | Aufzeichnungen | Größe | Inhalt |
|---|---|---|---|
| /anetaret | 236 | 138 KB | MP-Datensätze – voll PII |
| /strukturat | — | 274 KB | Parlamentarische Ausschüsse |
| /aktet | — | 3,1 MB | Gesetzgebungsakte, Interpellationen |
| /lajmet | — | 19,8 MB | Parlamentarische Nachrichtenartikel |
| /mbledhjet | — | 2,2 MB | Sitzungs- und Besprechungsaufzeichnungen |
| /dokumentet | 54.545 URLs | 30,2 MB | Dokumentkatalog mit direkten Azure Blob-URLs |
| /YouTube/search | — | 8 KB | YouTube-Videosuch-Proxy |
| /abonimet | — | 401 | Nur geschützter Endpunkt |
MP PII Exposed – 236 Datensätze
Jeder der 236 Abgeordnetendatensätze im /anetaret Die Antwort enthält die folgenden personenbezogenen Daten:
- Vollständiger gesetzlicher Name (Vorname, Name des Vaters, Nachname)
- Geburtsdatum und Geburtsort
- Offizielle E-Mail-Adresse (@parlament.al)
- Parteizugehörigkeit und Wahlkreis
- Profilfoto-URL (gehostet auf Azure Blob Storage)
- Social-Media-Links (Facebook, Twitter/X, LinkedIn)
- Aktiver/inaktiver Parlamentsstatus
Hierbei handelt es sich um ein vollständiges, strukturiertes Dossier über jede Person, die in der albanischen Legislative tätig ist – einschließlich persönlicher Kennungen, Kontaktinformationen und politischer Zugehörigkeit. Die Daten wurden erfasst, ohne dass eine Authentifizierung oder Zugriffskontrolle umgangen wurde.
Azure Blob Storage – 54.545 öffentliche Dokumente
Der /dokumentet Endpoint gibt einen 30,2 MB großen JSON-Katalog zurück, der alle Dokumente im Parlamentsarchiv auflistet. Containerliste auf kuvendiwebfiles.blob.core.windows.net/webfiles/ ist deaktiviert – aber jede URL kann direkt über die API-Antwort aufgezählt werden, und für alle einzelnen Blobs ist der öffentliche Lesezugriff aktiviert.
| Dateityp | Zählen |
|---|---|
| 32,627 | |
| JPEG / JPG | 18,289 |
| JFIF | 1,768 |
| DOCX | 885 |
| DOC | 397 |
| XLSX | 392 |
| PNG | 208 |
| XLS | 117 |
Unter den wiederhergestellten Dokumenten: Gehaltstabellen für Abgeordnete (PAGA DEPUTETE) und Aufzeichnungen über MP-Leistungen (PERFITIME DEPUTETE) deckt 2018–2020 auf monatlicher Basis ab; Die Lobbyistenregister (Regjistri elektronik i Lobisteve); FOIA-Anfrage- und Antwortprotokolle Zeitraum 2018–2021; Haushaltsausgabentabellen und Daten zu öffentlichen Reservefonds; die albanische Verfassung, das Wahlgesetz und das Abgeordnetenstatusgesetz; und parlamentarische Jahresberichte von 2013 bis 2019.
Das JavaScript-Bundle enthält außerdem eine hartcodierte interne API-Referenz unter http://134.0.63.165:5000/public – eine interne IP-Adresse, die über das öffentliche Internet nicht erreichbar ist, was bestätigt, dass über die öffentlich zugängliche hinaus zusätzliche Backend-Infrastruktur existiert.
Kritisches Ergebnis 2 – AKSHI-Korruptionsskandal
Die Ironie in Zahlen
| Diellas erklärtes Ziel | Wirklichkeit |
|---|---|
| „Öffentliche Ausschreibungen werden zu 100 % korruptionsfrei sein“ | AKSHI-Führung wegen Ausschreibungsmanipulation verhaftet |
| AI-Minister soll Korruption für den EU-Beitritt bekämpfen | Agenturdirektor drei Monate nach seiner Ernennung verhaftet |
| KI-Kinder überwachen die Gesetzgebungstätigkeit jedes Abgeordneten | Parlament API offen, keine Authentifizierung, Daten aller Abgeordneten offengelegt |
| Integriert in über 36.000 Regierungsdokumente | Dokumente, auf die im Rahmen dieser Untersuchung ohne Anmeldeinformationen zugegriffen wurde |
Ergebnis 3 – Diella AI Frontend-Analyse
Die technische Sicherheit der eigenen Frontend-Infrastruktur von Diella ist isoliert betrachtet kompetent. Azure Static Web Apps, laufzeitinjizierte Konfiguration, ordnungsgemäßes IAM über Keycloak, segmentierte interne Infrastruktur. Doch die von Diella aufgeworfenen Sicherheitsfragen sind nicht in erster Linie technischer Natur: Sie sind institutioneller Natur. Die Behörde, die die Trainingsdaten, den Systemzugriff und die Betriebsparameter von Diella kontrolliert, wurde 2022 von iranischen Staatshackern kompromittiert und agierte bis Dezember 2025 als kriminelles Unternehmen. Wie wurde Diella mit Daten aus kompromittierten Systemen aufgebaut? Wer hat die Anti-Korruptions-KI überwacht, während ihre Entwickler Ausschreibungen manipulierten?
Ergebnis 4 – Offenes Datenportal
Datensätze verfügbar
| Datensatz | Quelle | Volumen |
|---|---|---|
| Gesundheitszentren | AKSHI | 400 Zentren mit GPS |
| Apotheken und Medikamente | AKSHI | 2.289 Datensätze |
| Handelsregister (Rechtsform) | QKB | Daten 2025 + 2026 |
| Handelsregister (Eigentum) | QKB | Daten 2025 + 2026 |
| Handelsregister (Region) | QKB | Daten 2025 + 2026 |
| Nationales Schuldenregister 2024 | Finanzministerium | 4 vierteljährliche Dateien |
| Treasury-Daten | Finanzministerium | 900 tägliche Ausschüttungen |
| Öffentliche Investitionen | Finanzministerium | Monatliche Daten |
| e-Albanien-Statistik 2023 | AKSHI | 12 Monatsberichte |
| e-Albania-Benutzer 2013–2024 | AKSHI | Jährliche Registrierungsstatistiken |
| Flughafenpostfluss 2025 | Zivilluftfahrt | Monatliche Statistiken |
Umfassenderer Scan der albanischen Regierung
Im Februar 2026 wurden siebzehn Domänen der albanischen Regierung untersucht. Die Mehrheit ist gehärtet: Incapsula WAF, 403/404 Antworten, keine zugänglichen Admin-Panels. Eine Zertifikatstransparenzaufzählung der .gov.al Der Domänenraum über crt.sh erzeugte 832 Domänen und erhöhte die bekannte Subdomänenzahl von AKSHI von 50 (Januar) auf 110 (Februar), wodurch Jira, Rancher, Wiki und interne Testumgebungen enthüllt wurden – alles hinter nur internen DNS, nicht zugänglich über das öffentliche Internet.
| Domain | Ergebnis | Juristische Person |
|---|---|---|
| e-albania.al | 200 (gehärtet) | Wichtigste E-Government-Plattform |
| akshi.gov.al | WordPress, WAF | Nationale IT-Agentur |
| parlament.al | Reagieren Sie SPA – API OFFEN | Albanisches Parlament |
| kryeministria.al | Incapsula WAF | Büro des Premierministers |
| president.al | 403 Verboten | Büro des Präsidenten |
| bankofalbania.org | 403 Verboten | Zentralbank |
| klsh.org.al | WordPress, 401 gehärtet | Oberste Rechnungskontrollbehörde |
| pp.gov.al | RUNTER | Generalstaatsanwaltschaft |
| policia.al | RUNTER | Staatspolizei |
| mbrojtja.gov.al | RUNTER | Verteidigungsministerium |
| financat.gov.al | RUNTER | Finanzministerium |
| drejtesia.gov.al | Incapsula WAF | Justizministerium |
| arsimi.gov.al | Incapsula WAF | Ministerium für Bildung |
| tatime.gov.al | RUNTER | Steuerbehörde |
| dogana.gov.al | RUNTER | Zollbehörde |
| dpshtrr.gov.al | 415 (Fahrzeugregister) | Führerschein |
| instat.gov.al | 404 (sauber) | Statistikinstitut |
Durch die Aufzählung crt.sh wurden vier GIS-Portale entdeckt: geoportal.asig.gov.al (nationales Geoportal), instatgis.gov.al (Statistik WebGIS), webgis.arrsh.gov.al (Straßenbehörde) und webgis.atp.gov.al (Gebietsplanung). Keiner stellt zugängliche GeoServer- oder WFS-Datenendpunkte zur Verfügung – alle sind reine Frontend-Anwendungen.
Organisationen mit Kompromissen
Historischer Kontext: Ein Jahrzehnt der Belichtung
Die Exposition des Parlaments API existiert nicht isoliert. Albanien wurde in den letzten fünf Jahren systematisch auf jeder Ebene seiner digitalen Infrastruktur kompromittiert.
| Datum | Vorfall | Skala |
|---|---|---|
| April 2021 | Wählerdatenbank durchgesickert | 910.000 Datensätze (∼33 % der Bevölkerung) |
| Dezember 2021 | Gehaltsdatenbank geleakt (WhatsApp) | 637.138 Datensätze (22 % der Bevölkerung) |
| Mai 2021 | Die iranische Heimatjustiz erhält ersten Zugang zu AKSHI | 14 Monate stilles Beharren |
| Juli 2022 | Zerstörerischer Angriff: ROADSWEEP-Ransomware + ZeroCleare-Wipe | Albanien zwingt Regierungsdienste zum Abschalten |
| September 2022 | Albanien bricht die diplomatischen Beziehungen zum Iran ab | Die NATO verurteilt den Angriff |
| Oktober 2022 | Verdächtige Datenbank der Polizei per Telegram durchgesickert | ∼100.000 Datensätze, 1,7 GB |
| Dezember 2023 | Parlament + One Albania Telekom angegriffen | 2 Petabyte angeblich zerstört |
| Januar 2024 | Verstoß gegen das Statistikinstitut INSTAT | Über 100 TB sollen exfiltriert worden sein |
| September 2025 | Diella zum KI-Minister ernannt | — |
| Dezember 2025 | AKSHI-Generaldirektor wegen Korruption verhaftet | 12 Angebote werden geprüft |
| Februar 2026 | Das Parlament API hat festgestellt, dass diese Untersuchung noch nicht abgeschlossen ist | 54.545 Dokumente, 236 Abgeordnete“ PII |
Die vom iranischen Staat geförderte Gruppe HeimatLandgerechtigkeit (MITRE ATT&CK C0038, von FBI, CISA, NATO und UK NCSC dem iranischen Ministerium für Geheimdienste und Sicherheit zugeschrieben) hat AKSHI durch Ausnutzung verletzt CVE-2019-0604 (Microsoft SharePoint). Der erste Zugang wurde im Mai 2021 hergestellt – vierzehn Monate vor dem verheerenden Angriff im Juli 2022. In diesem Zeitfenster exfiltrierte der CHIMNEYSWEEP-Infostealer Daten von der Agentur, die später den albanischen KI-Minister aufbauen sollte.
Dateninventar
Gesamtsammlung: 251 MB verteilt auf 1.309 Dateien, wiederhergestellt von öffentlich zugänglichen, nicht authentifizierten Endpunkten und Azure Blob Storage-URLs.
OSINT Methodik und rechtlicher Hinweis
Alle Daten in dieser Untersuchung wurden durch passive und aktive OSINT-Techniken wiederhergestellt, die auf öffentlich zugängliche, nicht authentifizierte API-Endpunkte und Azure Blob Storage-URLs angewendet wurden. Es wurde keine Authentifizierung umgangen. Es wurden keine Anmeldeinformationen getestet oder verwendet. Es wurden keine Zugangskontrollen umgangen. Das API des albanischen Parlaments antwortete auf Standard-GET-Anfragen von HTTP, ohne dass irgendeine Form von Identifizierung oder Token erforderlich war.
Dieser Bericht folgt der Standardmethodik von ODINT: Die öffentlich zugängliche Infrastruktur wird gezählt, dokumentiert und gemeldet. PII, gesammelt aus dem offenen APIs, wird in aggregierter oder redigierter Form präsentiert. Rohdatensätze PII unterliegen einem eingeschränkten Zugriff und werden nicht öffentlich veröffentlicht. Auf Anfrage kann autorisierten Journalisten, Forschern und betroffenen Regierungsstellen Zugriff auf eingeschränkte Datensätze gewährt werden.