Wertvolle Daten erbeutet US-Behörden scheinen hilflos gegenüber Hackern
Office of Personnel Management: Erfolgreich von Hackern attackiert
Foto: © JAMES LAWLER DUGGAN / Reuters/ REUTERSDer Datenschatz, den die Angreifer an sich bringen konnten, enthält höchst private Informationen. Und zwar über etwa eine Million Angestellte und Subunternehmer von US-Behörden, die sich um eine Sicherheitsfreigabe beworben haben, um Geheiminformationen einsehen zu dürfen. Wer eine solche Freigabe möchte, muss dazu ein Formular namens SF-86 (PDF) ausfüllen.
Darin wird nicht nur der komplette Lebenslauf eines Bewerbers inklusive Freunden, Familie, Kontaktpersonen, Arbeitsstellen und Wohnorten abgefragt. Das Formular enthält auch Fragen nach der "psychischen und emotionalen Gesundheit" und solche wie diese: "Sind sie jemals einer Straftat im Zusammenhang mit Alkohol oder Drogen beschuldigt worden?" Ausführlich wird auch nach Kontakten im Ausland gefragt, nach möglichen Begegnungen mit Vertretern "ausländischer Geheimdienste, terroristischer, militärischer oder Sicherheitsorganisationen".
Netzwerk schon seit einem Jahr unterwandert
Wer im Besitz eines dieser 127 Seiten langen Formulare ist, weiß über den entsprechenden Bewerber wohl mehr als jeder andere - vorausgesetzt, es wurde wahrheitsgemäß ausgefüllt. Für Vertreter eines ausländischen Geheimdienstes dürften diese Daten von unschätzbarem Wert sein, immerhin betreffen sie Menschen, die sich um Arbeitsplätze in Geheimdiensten, beim Militär oder in Behörden bemühen. Diese Daten wurden offenbar kopiert, aus den Beständen des Office of Personnel Management (OPM), gewissermaßen der Personalabteilung der US-Behörden.
Der "Washington Post" zufolge war das Netzwerk schon im Juni oder Juli 2014 erfolgreich unterwandert worden. Ein zweiter erfolgreicher Angriff, der im April bekannt wurde und bei dem 4,1 Millionen Personaldatensätze kopiert worden sein sollen, begann dem Bericht zufolge im Dezember 2014. Mittlerweile scheinen sich die Ermittler sicher zu sein: Die Täter sollen aus China stammen.
"Es geht hier um die sensibelsten Informationen ohne Sicherheitseinstufung, auf die die Chinesen überhaupt Zugriff bekommen konnten", zitiert die "Washington Post" Stewart Baker, der früher einmal der Chefjustiziar der NSA war.
Gefälschte Webseiten als Quelle für Login-Daten
"Das war klassische Spionage, nur eben von einer Größenordnung, wie wir sie von einem traditionellen Gegenspieler noch nie gesehen haben", zitiert die "New York Times" einen "hochrangigen Beamten". Reuters berichtet , wiederum unter Berufung auf ungenannte Quellen, dass die Angreifer ein bestimmtes Werkzeug namens Sakula verwendet hätten, das auch schon bei einem weiteren Angriff auf ein US-Rechnernetz zum Einsatz gekommen sei.
Reuters benannte das erfolgreiche Eindringen in das Netzwerk der großen US-Versicherungsgruppe Anthem, früher bekannt als Wellpoint. In beiden Fällen bedienten sich die Angreifer beispielsweise gefälschter Websites, um an Login-Informationen von Nutzern zu kommen. Im einen Fall lautete die URL der Lockseite OPM-Learning.org, im anderen We11point.com. In beiden Fällen sei auch das gleiche gestohlene Sicherheitszertifikat benutzt worden.
Offiziell hat die US-Regierung China bislang nicht beschuldigt, die chinesische Staatsführung ließ aber schon einmal ausrichten, Anschuldigungen gegen das Land entbehrten jeder Grundlage und seien "verantwortungslos und unwissenschaftlich".
Eine Gruppe, viele Namen?
Reuters zufolge gehen Ermittler davon aus, dass hinter den Angriffen auf Anthem und weitere Versicherer und der erfolgreichen Infiltration des OPM-Netzes die gleiche Gruppe steckt. Mehrere Unternehmen aus der Branche hatten schon mit der mutmaßlichen Gruppe zu tun. Die Firma CrowdStrike nennt sie "Deep Panda", RSA Security "Shell Crew".
Die "Washington Post" zitiert ungenannte Beamte mit den Worten, China habe in den vergangenen 12 bis 18 Monaten damit begonnen, "für die Zwecke der Gegenspionage riesige Datenbanken mit persönlichen Informationen über Amerikaner" anzulegen.
Dass die Angreifer dabei so erfolgreich waren, hatte offenbar nicht zuletzt mit den schwachen Sicherheitsvorkehrungen der US-Behörden zu tun. Schon bei einer Überprüfung im vergangenen Jahr hätten sich gravierende Sicherheitslücken in den Systemen diverser Einrichtungen gezeigt, berichtet die "New York Times", von der Steuerbehörde IRS über die Regulierungskommission für Atomkraft, das Energieministerium und die Börsenaufsicht SEC bis hin zum Department of Homeland Security selbst. Das ist eigentlich für die Absicherung der kritischen Netze des Landes zuständig. Mindestens die IRS wurde ebenfalls vor Kurzem zum Opfer eines erfolgreichen Hackerangriffs. Auch hier war später von gravierenden Sicherheitsmängeln die Rede.
"In Sachen Cybersicherheit sind wir nicht da, wo wir sein sollten", zitiert die "New York Times" Lisa Monaco, Beraterin des US-Präsidenten für Heimatschutz.
Dem jetzt im Fokus stehenden OPM hatte ein interner Bericht schon im vergangenen November ein miserables Sicherheitszeugnis ausgestellt, wie die "New York Times" berichtet . Die Behörde habe nicht einmal eine Inventarliste besessen, die Auskunft über die Anzahl der Rechner und Server mit Zugriffsrechten aufs eigene Netzwerk hätte geben können. Zugriffsrechte waren mit veralteten Methoden geschützt, schwächer als die, die jedermann etwa fürs Onlinebanking benutzt, es gab keine regelmäßigen Sicherheitsüberprüfungen.
Die "New York Times" zitiert angesichts der Schwächen einen Beamten mit den Worten: "Das Rätsel ist nicht, wie sie von den Chinesen abgegrast wurden. Das Rätsel ist, warum die Chinesen so lange dafür gebraucht haben."
