Datendiebstahl bei US-Geheimdienst CIA-System offenbar besorgniserregend schlecht geschützt

Anfang 2017 lieferte WikiLeaks Enthüllungen zum Hacking-Arsenal der CIA. Ein interner Bericht dazu legt nahe: Ohne die Veröffentlichungen wäre der massive Datenverlust vielleicht nie bemerkt worden.
US-Geheimdienst CIA: Gut gebaute Cyberwaffen schlecht gesichert

US-Geheimdienst CIA: Gut gebaute Cyberwaffen schlecht gesichert

Foto: Dennis Brack/ DPA

Knapp vier Jahre waren seit Veröffentlichung der ersten Snowden-Dokumente vergangen, da stellte WikiLeaks die CIA bloß: Unter dem Schlagwort Vault 7 gab das Enthüllungsportal Anfang 2017 über Wochen hinweg Einblick in zahlreiche Digitalwaffen des US-Geheimdienstes. Medien weltweit, darunter der SPIEGEL, berichteten über die Enthüllungen. Für die CIA waren die WikiLeaks-Veröffentlichungen einerseits eine Blamage, anderseits ein Ärgernis, da nun Hackergruppen und potenzielle Zielpersonen weltweit erfuhren, wie die Amerikaner vorgehen und was für Software sie einsetzen.

Die Frage, wie die Daten überhaupt zu WikiLeaks gekommen waren, ist bis heute im Detail ungeklärt. Es gab zwar eine Anklage gegen den Ex-CIA-Mitarbeiter Joshua Adam Schulte. Im Prozess gegen ihn wurden sich die Juroren bei den Anschuldigungen, die den Diebstahl und die Weitergabe geheimer Daten betrafen, im März 2020 aber nicht einig: Ein Schuldspruch zu diesem Thema blieb aus.

In diesen Tagen geistert die Vault 7-Kontroverse trotzdem noch einmal durch die US-Medien. Anlass ist ein Brief des demokratischen US-Senators Ron Wyden an den Koordinator der US-Geheimdienste, John Ratcliffe. Wyden zeigt sich darin besorgt über die IT-Sicherheit bei den Geheimdiensten - das für die Öffentlichkeit eigentlich Spannende an seinem hier lesbaren Brief ist aber dessen Anhang .

Die Sicherheitspraktiken waren "jämmerlich lasch"

Darin finden sich Auszüge aus einem internen CIA-Bericht aus dem Oktober 2017, den damals eine WikiLeaks-Taskforce für den Geheimdienst verfasst hatte. Die Auszüge, die Wyden seinem Brief beigefügt hat, sind zwar an vielen Stellen geschwärzt. Doch lässt auch der verbliebene Text erahnen, dass die Taskforce damals offenbar auf ziemlich bedenkliche Zustände stieß.

Das sind einige Kernaussagen des Berichtes:

  • Die Autoren sprechen im Zuge der Vault 7-Dokumente vom "größten Datenverlust in der CIA-Geschichte": Sie vermuten, dass ein CIA-Mitarbeiter im Frühjahr 2016 mindestens 180 Gigabyte, vielleicht auch bis zu 34 Terabyte an Informationen gestohlen hat. Diese Datenmenge entspreche ungefähr 11,6 Millionen bis zu 2,2 Milliarden Microsoft-Word-Seiten, heißt es. Wie viele Interna genau abhandenkamen, ist unbekannt.

  • Gestohlen wurden demnach unter anderem Informationen zu Digitalwerkzeugen der Abteilung Center for Cyber Intelligence (CCI), die in einem Netzwerk für die Software-Entwicklung lagerten. In jenem Netzwerk habe es seinerzeit keine Überwachung der Benutzeraktivitäten gegeben, schreiben die Autoren.

  • Zum CCI heißt es, die Abteilung habe das Entwickeln von Cyberwaffen priorisiert - zulasten der Absicherung der eigenen Systeme. Die alltäglichen Sicherheitspraktiken seien "jämmerlich lasch" geworden. Die Rede ist etwa von Nutzern, die sich Administrator-Passwörter teilten, und von historischen Daten, die Nutzern "unbegrenzt" zum Abruf bereitstanden. "Diese Unzulänglichkeiten waren sinnbildlich für eine Kultur, die sich im Laufe der Jahre entwickelt hat und die allzu oft Kreativität und Zusammenarbeit auf Kosten der Sicherheit in den Vordergrund stellte", heißt es.

  • Auch auf eine mögliche Enthüllung ihrer Cyberwaffen sei die Abteilung nicht vorbereitet gewesen, konstatieren die Autoren. Die CIA sei zu langsam darin gewesen, Schutzmaßnahmen zu ergreifen, von denen sie aufgrund anderer Vorfälle bei US-Regierungsbehörden wusste, dass sie wichtig wären. Ebenso habe eine Person gefehlt, die die Verantwortung dafür trägt, dass die Geheimdienstsysteme gut abgesichert werden und dies auch während der gesamten Einsatzdauer bleiben.

  • An der Stelle schreiben die Autoren, die CIA habe den Datendiebstahl überhaupt erst ein Jahr später bemerkt - weil WikiLeaks öffentlich ankündigte, fortan CIA-Daten zu veröffentlichen: "Wären die Daten zum Nutzen eines rivalisierenden Staates gestohlen und nicht veröffentlicht worden, hätten wir den Verlust vielleicht noch immer nicht bemerkt."

Professionell nach außen, nachlässig nach innen

Lesen lässt sich der Bericht so letztlich nur als Selbstanklage: Eine CIA-Einheit, die mit Cyberwaffen anderswo Sicherheitssysteme austricksen wollte, war offenbar nicht in der Lage oder ausreichend gewillt, einen Teil ihres eigenen Systems zeitgemäß zu schützen.

Ein CIA-Sprecher wollte sich auf eine Anfrage nicht zu dem Bericht äußern. Der Nachrichtenagentur AP zufolge sagte er nur, die CIA arbeite daran, die bestmöglichen Technologien einzusetzen, "um den sich ständig weiterentwickelnden Bedrohungen voraus zu sein und sich gegen sie zu verteidigen''.

Der ehemalige CIA-Mitarbeiter Sean Roche , der von 2015 bis 2019 für "digitale Innovation" des Geheimdienstes zuständig war, betonte AP zufolge, dass die CIA nur ein Problem mit einem ihrer Netzwerke gehabt habe: "Zu sagen, dass die Leute bei der CIA die Sicherheit nicht ernst nehmen, ist nicht zutreffend. Es ist völlig unzutreffend.''

Im Prozess gegen Joshua Adam Schulte hatte auch dessen Anwältin Sabrina Shroff die IT-Situation beim CCI für Schultes Verteidigung genutzt. Sie argumentierte, dass sich die Ermittler nicht sicher sein könnten, wer die Daten aus dem CIA-Netzwerk kopiert habe, weil jenes Netzwerk "denkbar weit davon entfernt war, sicher zu sein" und Hunderte Menschen dazu Zugang hatten.

Die Wiedergabe wurde unterbrochen.