US-Regierung ist kein Vorbild bei IT-Sicherheit

Neuer Bericht des Rechnungshofes findet noch größere Schwachstellen als früher

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Als Bill Clinton am 7. Januar 2000 seinen Nationalen Plan für den Schutz von Informationssystemen präsentierte, sollte der Öffentlichkeit gezeigt werden, wie sehr sich die US-Regierung der Gefahr durch Hacker, Cracker und andere "Terroristen" angenommen hat. Immerhin waren die zuständigen Institutionen schon im Mai 1998 mit der präsidialen Direktive 63 ins Leben gerufen worden. Sie hatten also fast zwei Jahre Zeit, einen umfassenden Plan zu entwickeln und die IT-Sicherheit der Regierungssysteme zu verbessern. Ursprünglich sollten Einrichtungen wie z.B. das National Infrastructure Protection Center (NIPC) sogar für den Schutz sämtlicher Informationssysteme der USA zuständig sein, indem sie ständig den Internet-Verkehr auf elektronische Einbrüche überwachen und dies an zentraler Stelle auswerten (US-Regierung plant ein umfassendes Überwachungssystem).

Nachdem die privaten Infrastrukturbetreiber sich aber dagegen verwahrten, dass FBI-Mitarbeiter ihnen auf die Festplatten und in die Datenleitungen schauten , konzentrierte sich die Regierung stärker auf die Sicherung ihrer eigenen Computersysteme. Clinton spricht in seinem persönlichen Vorwort zum "Nationalen Plan" davon, dass der Staat "ein Modell für Informationssicherheit" bieten sollte. Man wollte also der Privatwirtschaft zeigen, wie IT-Sicherheit aussehen muss.

Insgesamt 2,3 Milliarden Dollar sollen im nächsten Jahr dafür bereitgestellt werden, und schon jetzt beschäftigt sich ein kaum noch überschaubares Geflecht staatlicher Behörden, Ministerialabteilungen und Sonderbeauftragter mit der Abwehr von Hackern - oder "Cyberterroristen", je nach Geschmack: Das NIPC arbeitet für das FBI, aber tauscht auch Daten mit dem Abhörgeheimdienst National Security Agency aus, diese wiederum kooperiert mit der Joint Task Force-Computer Network Defense des Pentagon, daneben gibt es noch den speziellen Koordinator für Terrorismusabwehr und Infrastruktursicherheit, der von einem Planungsstab beraten wird, und so weiter: insgesamt mindestens 50 verschiedene Behörden und andere Einrichtungen.

Wie jetzt bekannt wurde, hat diese Mühe nicht viel geholfen. Ein neuer Bericht des General Accounting Office (GAO) des US-Kongresses wirft der Regierung schwere Fehler in der Sicherung der eigenen Datensysteme vor. Computer und Datenbestände in allen staatlichen Bereichen, vom Innenministerium über das Finanzministerium bis zum Pentagon, waren angreifbar oder sogar offen zugänglich. Die Prüfer des GAO stellten zum Beispiel im Februar dieses Jahres fest, dass die Finanzbehörden die Daten von Millionen von Steuerzahlern nicht ausreichend geschützt hatten.

Auch dem Pentagon, das bereits in den vergangen Jahren Gegenstand heftiger Kritik von Seiten der Prüfer war, werden zwar einige Anstrengungen bescheinigt, aber die Sicherheitslücken sind noch immer sehr groß. So erlangten die Mitarbeiter des GAO durch eine Datei, die offen im Internet verfügbar war, Zugriff auf Sozialversicherungsnummern, Adressen und Gehaltsinformationen von Angehörigen der US-Streitkräfte. Ebenfalls ohne Passwort und Identifikation wurden Informationen über militärische Projekte und Finanzpläne über das Internet zur Verfügung gestellt. Auch die Umweltschutzbehörde EPA erhielt von den Prüfern eine Liste mit mehr als 100 Empfehlungen, wie sie ihre Datensicherheit verbessern sollte. Einige der schwerwiegenden Probleme der EPA-Computer waren zum Ärger der GAO-Mitarbeiter bereits seit 1997 bekannt, ohne dass Abhilfe geschaffen worden wäre.

Auch die menschliche Seite der IT-Sicherheit wurde offenbar nicht genügend beachtet. So konnten in verschiedenen Fällen normale Benutzer auf Daten mit höchster Sicherheitsstufe zugreifen, diese ändern oder löschen. Vielfach wurde einfach allen Benutzern der volle Zugriff gestattet. Auch die Rechte von Subunternehmern oder Zeitarbeitern wurden nach dem Ende ihrer Verträge nicht immer gelöscht. In einer Behörde waren immerhin 7.500 von 30.000 Benutzern auch nach 160 Tagen völliger Inaktivität nicht aus dem Computersystem entfernt oder zumindest gesperrt worden. Weitere Probleme betrafen mangelnde Tests von Software-Updates, unklare Kompetenz- und Aufgabenverteilungen oder fehlende Notfallpläne.

Der Bericht des GAO stützt sich auf mehr als 50 andere Berichte, die zwischen Juli 1999 und August 2000 von verschiedenen Bundesbehörden erstellt worden waren. Im Vergleich zu einer älteren Studie schneidet die Regierung sogar noch schlechter ab: Waren 1998 noch in 17 Fällen behördenweite Mängel bei den Sicherheitsprogrammen und -plänen festgestellt worden, so waren es mittlerweile 21. Auch die Bereiche, die 1998 noch nicht untersucht worden waren, erwiesen sich offenbar vollständig als mangelhaft.

Ralf Bendrath ist Mitbegründer der Forschungsgruppe Informationsgesellschaft und Sicherheitspolitik (FoG:IS) und betreibt die Mailingliste Infowar.de.