Wertvolle Daten erbeutet US-Behörden scheinen hilflos gegenüber Hackern

Beim Hackerangriff auf die oberste Personalbehörde der US-Regierung sind Millionen sensibler Daten kopiert worden. Ein Jahr lang hatten die Angreifer Zugriff - auch wegen gewaltiger Schlamperei in dem Amt.

Office of Personnel Management: Erfolgreich von Hackern attackiert
REUTERS

Office of Personnel Management: Erfolgreich von Hackern attackiert


Der Datenschatz, den die Angreifer an sich bringen konnten, enthält höchst private Informationen. Und zwar über etwa eine Million Angestellte und Subunternehmer von US-Behörden, die sich um eine Sicherheitsfreigabe beworben haben, um Geheiminformationen einsehen zu dürfen. Wer eine solche Freigabe möchte, muss dazu ein Formular namens SF-86 (PDF) ausfüllen.

Darin wird nicht nur der komplette Lebenslauf eines Bewerbers inklusive Freunden, Familie, Kontaktpersonen, Arbeitsstellen und Wohnorten abgefragt. Das Formular enthält auch Fragen nach der "psychischen und emotionalen Gesundheit" und solche wie diese: "Sind sie jemals einer Straftat im Zusammenhang mit Alkohol oder Drogen beschuldigt worden?" Ausführlich wird auch nach Kontakten im Ausland gefragt, nach möglichen Begegnungen mit Vertretern "ausländischer Geheimdienste, terroristischer, militärischer oder Sicherheitsorganisationen".

Netzwerk schon seit einem Jahr unterwandert

Wer im Besitz eines dieser 127 Seiten langen Formulare ist, weiß über den entsprechenden Bewerber wohl mehr als jeder andere - vorausgesetzt, es wurde wahrheitsgemäß ausgefüllt. Für Vertreter eines ausländischen Geheimdienstes dürften diese Daten von unschätzbarem Wert sein, immerhin betreffen sie Menschen, die sich um Arbeitsplätze in Geheimdiensten, beim Militär oder in Behörden bemühen. Diese Daten wurden offenbar kopiert, aus den Beständen des Office of Personnel Management (OPM), gewissermaßen der Personalabteilung der US-Behörden.

Der "Washington Post" zufolge war das Netzwerk schon im Juni oder Juli 2014 erfolgreich unterwandert worden. Ein zweiter erfolgreicher Angriff, der im April bekannt wurde und bei dem 4,1 Millionen Personaldatensätze kopiert worden sein sollen, begann dem Bericht zufolge im Dezember 2014. Mittlerweile scheinen sich die Ermittler sicher zu sein: Die Täter sollen aus China stammen.

"Es geht hier um die sensibelsten Informationen ohne Sicherheitseinstufung, auf die die Chinesen überhaupt Zugriff bekommen konnten", zitiert die "Washington Post" Stewart Baker, der früher einmal der Chefjustiziar der NSA war.

Gefälschte Webseiten als Quelle für Login-Daten

"Das war klassische Spionage, nur eben von einer Größenordnung, wie wir sie von einem traditionellen Gegenspieler noch nie gesehen haben", zitiert die "New York Times" einen "hochrangigen Beamten". Reuters berichtet, wiederum unter Berufung auf ungenannte Quellen, dass die Angreifer ein bestimmtes Werkzeug namens Sakula verwendet hätten, das auch schon bei einem weiteren Angriff auf ein US-Rechnernetz zum Einsatz gekommen sei.

Reuters benannte das erfolgreiche Eindringen in das Netzwerk der großen US-Versicherungsgruppe Anthem, früher bekannt als Wellpoint. In beiden Fällen bedienten sich die Angreifer beispielsweise gefälschter Websites, um an Login-Informationen von Nutzern zu kommen. Im einen Fall lautete die URL der Lockseite OPM-Learning.org, im anderen We11point.com. In beiden Fällen sei auch das gleiche gestohlene Sicherheitszertifikat benutzt worden.

Offiziell hat die US-Regierung China bislang nicht beschuldigt, die chinesische Staatsführung ließ aber schon einmal ausrichten, Anschuldigungen gegen das Land entbehrten jeder Grundlage und seien "verantwortungslos und unwissenschaftlich".

Eine Gruppe, viele Namen?

Reuters zufolge gehen Ermittler davon aus, dass hinter den Angriffen auf Anthem und weitere Versicherer und der erfolgreichen Infiltration des OPM-Netzes die gleiche Gruppe steckt. Mehrere Unternehmen aus der Branche hatten schon mit der mutmaßlichen Gruppe zu tun. Die Firma CrowdStrike nennt sie "Deep Panda", RSA Security "Shell Crew".

Die "Washington Post" zitiert ungenannte Beamte mit den Worten, China habe in den vergangenen 12 bis 18 Monaten damit begonnen, "für die Zwecke der Gegenspionage riesige Datenbanken mit persönlichen Informationen über Amerikaner" anzulegen.

Dass die Angreifer dabei so erfolgreich waren, hatte offenbar nicht zuletzt mit den schwachen Sicherheitsvorkehrungen der US-Behörden zu tun. Schon bei einer Überprüfung im vergangenen Jahr hätten sich gravierende Sicherheitslücken in den Systemen diverser Einrichtungen gezeigt, berichtet die "New York Times", von der Steuerbehörde IRS über die Regulierungskommission für Atomkraft, das Energieministerium und die Börsenaufsicht SEC bis hin zum Department of Homeland Security selbst. Das ist eigentlich für die Absicherung der kritischen Netze des Landes zuständig. Mindestens die IRS wurde ebenfalls vor Kurzem zum Opfer eines erfolgreichen Hackerangriffs. Auch hier war später von gravierenden Sicherheitsmängeln die Rede.

"In Sachen Cybersicherheit sind wir nicht da, wo wir sein sollten", zitiert die "New York Times" Lisa Monaco, Beraterin des US-Präsidenten für Heimatschutz.

Dem jetzt im Fokus stehenden OPM hatte ein interner Bericht schon im vergangenen November ein miserables Sicherheitszeugnis ausgestellt, wie die "New York Times" berichtet. Die Behörde habe nicht einmal eine Inventarliste besessen, die Auskunft über die Anzahl der Rechner und Server mit Zugriffsrechten aufs eigene Netzwerk hätte geben können. Zugriffsrechte waren mit veralteten Methoden geschützt, schwächer als die, die jedermann etwa fürs Onlinebanking benutzt, es gab keine regelmäßigen Sicherheitsüberprüfungen.

Die "New York Times" zitiert angesichts der Schwächen einen Beamten mit den Worten: "Das Rätsel ist nicht, wie sie von den Chinesen abgegrast wurden. Das Rätsel ist, warum die Chinesen so lange dafür gebraucht haben."

cis

insgesamt 41 Beiträge
Alle Kommentare öffnen
Seite 1
kasam 21.06.2015
1. Oh , wie traurig.
Das es denen überhaupt aufgefallen ist. Wenn sie noch mehr Daten sammeln, springen Arbeitsplätze daraus. Oder viele Jahre Bearbeitungszeit. In dieser Zeit sind die Infos einfach überflüssig. Nur aktuelle Infos kann man wirklich ausschöpfen. Und wenn dann auch noch geklaut wird, wird man auch noch selber überwacht. Das finde ich irgendwie passend
altmannn 21.06.2015
2. Vielleicht
mal in der Nachbarschaft beim NSA nachfragen. Die sammeln doch alles.
marxtutnot 21.06.2015
3. What goes around, comes around
Nun,liebe US-Regierung, nehmt einfach an,dass dies jemand zu eurem Besten, i.e. Sicherheit, macht.Da will jemand nur verhindern, dass euch die bösen Terroristen wieder heimsuchen,gelle? Also merkt auf, überall den Big Brother geben hat was, nur das Spiel andersherum, macht doch nicht so wirklich Spaß. Ich bin auch garantiert nicht schadenfreudig---bruhahaha.
bauerbob 21.06.2015
4. Danke, NSA!
Egal wer den Angriff durchgeführt hat, die NSA ist schuld daran, dass es heute keine sichere Software gibt, denn die NSA hat beispielsweise Standardisierungsgremien unterwandert um Fehler in Software unter zu bringen.
AlbertGeorg 21.06.2015
5. Wie Du mir, so ich Dir!
Keine Aufregungen von den USA bitte. Alles normal und geheim. Wir sind doch alle Freunde.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.