Internet-Sicherheit Große Lücken bei US-Bundesbehörden

Erst kürzlich wurde das US-Heimatschutzministerium heftig für mangelnde Internet-Sicherheitsmaßnahmen kritisiert. Nun sind Bundesbehörden wie das FBI an der Reihe. Auch sie seien höchst unzureichend auf die Risiken aus dem Netz vorbereitet, so ein offizieller Bericht.


US-Präsident Bush: Bundesbehörden im Netz schutzlos
REUTERS

US-Präsident Bush: Bundesbehörden im Netz schutzlos

Die US-Bundesbehörden haben ihre liebe Not mit dem Internet. Seit Jahren wird von verschiedenen Seiten gemahnt und gewarnt, die Computer in den Amtsstuben seien nicht sicher, Beamte und Angestellte nicht ausreichend auf die Gefahren des globalen Datenverkehrs vorbereitet.

Erst kürzlich bescheinigte das Government Accountability Office (GOA), eine dem Bundesrechnungshof vergleichbare Behörde, ausgerechnet dem nach dem 11. September 2001 gegründeten Heimatschutzministerium fast vollständiges Versagen auf dem Gebiet der Cyber-Sicherheit. Ein neuer Bericht des GOA lässt jetzt auch die großen US-Bundesbehörden gar nicht gut aussehen. Die Steuerbehörde IRS, das Innenministerium, Zollbehörden und selbst das FBI versäumen es demnach, sich und ihre Mitarbeiter auf die Gefahr aus dem Netz vorzubereiten.

"Viele Behörden haben sich im Rahmen ihrer Informationssicherheitsprogramme nicht umfassend mit den Risiken sich entwickelnder Cyber-Sicherheitsbedrohungen beschäftigt", heißt es in dem Bericht. Es mangele an Risikoabschätzungen, Sicherheitsprogrammen und Trainingsangeboten für Mitarbeiter. Obwohl ein eigenes Gesetz, der Federal Information Security Management Act aus dem Jahr 2002, diese fordere, gebe es keine etablierten Verfahren für die Entdeckung von Sicherheitslücken und die Reaktion darauf. Die ebenfalls gesetzlich verfügte Pflicht, solche Zwischenfälle zu melden, werde ignoriert.

Phishing in den Gewässern des FBI

Besonders der letzte Vorwurf sei aber nicht den Behörden allein anzulasten - sondern einem Mangel an Führung. "Regierungsweite Richtlinien, die klarstellen, über welche Zwischenfälle zu berichten ist, und wie und an wen berichtet werden soll, sind nicht herausgegeben worden."

Als konkrete Beispiele für solche sicherheitsrelevanten Ereignisse nennt der GAO-Bericht Spam-Mails, Phishing und Spyware. IRS und FBI seien beispielsweise schon gezielt mit Phishing-Mails attackiert worden. Spam gehört, wie überall auf der Welt, natürlich auch für US-Beamte zum Büroalltag. Nur, was so eine Spam-Mail alles transportieren kann, weiß man bei den US-Behörden offenbar nicht. 24 Behörden wurden zum Thema befragt - aber "nur eine Behörde nannte das Risiko, das Spam durch die Übermittlung von Phishing, Spyware und anderen Bedrohungen für die hauseigenen Systeme und die Angestellten darstellt". 19 der 24 Behörden betrachten Spam ausschließlich als Belästigung und Ressourcenverschwendung.

Auch auf die Phishing-Welle hat man die Angestellten in den US-Regierungsbehörden offenbar nicht vorbereitet: "Von den 24 Behörden, die wir überprüften, berichteten 13, dass sie planen, in diesem Haushaltsjahr Trainings zum Thema Phishing zu implementieren, oder das bereits getan haben, drei berichteten über Pläne, solche Trainings in Zukunft zu implementieren, drei hatten nicht die Absicht, solche Trainings zu implementieren."

Gefahr für Regierungsrechner durch geklaute Passwörter

Phishing-E-Mails, die angeblich von Banken und anderen Unternehmen stammen, sollen Nutzer auf Internetseiten locken, damit sie dort ihre Passwörter und Benutzernamen eingeben. Sie bedrohen nicht nur die Konten der Beamten: Denn viele Internetnutzer gebrauchen die gleichen Passwörter für berufliche und private Zwecke. Ein unachtsamer Beamter könnte einem erfolgreichen "Phisher" somit ungewollt Zugang zu Regierungsrechnern verschaffen.

Noch schlechter sind die Behörden auf Spionagesoftware vorbereitet, die Daten auf Regierungsrechnern ausspähen könnten: "Unsere Analyse der Zwischenfall-Reaktionspläne aller 24 Behörden zeigte, dass sich keiner spezifisch mit Spyware oder Phishing befasst." Bei einer Behörde war man laut dem Bericht gar der Meinung, Spyware stelle kein Sicherheitsrisiko dar, das einen Bericht an übergeordnete Stellen notwendig mache.

Diese Lücken könnten sich als fatal erweisen. Erschnüffelte Informationen könnten Regierungsbeamte beispielsweise erpressbar machen, geheime Informationen könnten in die falschen Hände geraten, polizeiliche Untersuchungen könnten torpediert werden, wenn Betroffenen sich bequem online über den Stand der Ermittlungen informieren können.

Für die US-Regierung, die seit dem 11. September 2001 kontinuierlich im Namen der Terrorbekämpfung Gesetze verschärft und Bürgerreichte einschränkt, ist der neue GAO-Bericht mehr als peinlich. Das umstrittenste der neuen Gesetze, der sogenannte Patriot-Act, der auch "Cybersecurity-Bewusstsein und -Bereitschaft" stärken soll, heißt ausgeschrieben übrigens "Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act". Zumindest, was das Netz angeht, scheinen die "angemessenen Werkzeuge" noch nicht so recht zu funktionieren.

Christian Stöcker



© SPIEGEL ONLINE 2005
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.