Whistleblower: DOGE hat Daten zu allen Menschen in den USA in die Cloud kopiert
In der US-Sozialkasse haben Angestellte von DOGE laut einer Whistleblower-Beschwerde eine hochsensible Datenbank in die Cloud kopiert. Das Risiko sei enorm.
(Bild: Skorzewiak/Shutterstock.com)
Angestellte der vormals von Elon Musk geleiteten US-Regierungsorganisation DOGE haben im Juni eine äußerst sensible Datenbank mit Sozialversicherungsdaten zu so gut wie allen Menschen in den Vereinigten Staaten auf einen ungeschützten Cloud-Server gestellt. Das behauptet der Verantwortliche für die Datenverarbeitung der Sozialversicherungsbehörde SSA in einer Whistleblower-Beschwerde, die die New York Times öffentlich gemacht hat. Zwar gibt es demnach keine Hinweise auf einen unautorisierten Zugriff, ein solcher hätte aber katastrophale Folgen und würde die US-Regierung unter Umständen dazu zwingen, alle Sozialversicherungsnummern neu zu vergeben. Außerdem wären die Daten ideal für massenhaften Identitätsdiebstahl geeignet.
Hunderte Millionen Datensätze
Wie der CDO der SSA in der Beschwerde an den US-Kongress ausführt, geht es um eine Datenbank namens NUMIDENT, in der alle Daten zu Anträgen für eine Sozialversicherungsnummer der USA zusammengetragen sind. Darin stehe deshalb nicht nur die Nummer selbst, sondern auch der Name, Geburtsort und -datum, die Staatsbürgerschaft, die Ethnie, die Namen der Eltern sowie deren Sozialversicherungsnummern, die Telefonnummer, die Adresse und weitere personenbezogene Angaben. Weil es dabei um alle Personen geht, die jemals eine Sozialversicherungsnummer bekommen haben, dürfte sie insgesamt fast 550 Millionen Datensätze enthalten.
Videos by heise
Laut der Beschwerde wurde der Antrag auf die Überführung der Datenbank in eine Cloud-Umgebung Anfang Juni von einem DOGE-Angestellten gestellt. Das "Department of Government Efficiency" soll auf Geheiß von US-Präsident Donald Trump die Ausgaben der US-Regierung durchleuchten und kürzen, geleitet wurde es anfangs von Elon Musk. Der Antrag sei in der Folge mehrfach geändert worden, später habe es einen Bescheid gegeben, demzufolge das Vorhaben mit einem "hohen Risiko" verbunden sei. Nach einigem Hin und Her sei es trotzdem genehmigt worden, laut der Beschreibung des Vorgangs wohl ohne eine abschließende Prüfung.
Wozu die Live-Kopie der Datenbank auf dem Cloud-Server benötigt wurde, ist nicht ganz klar. Laut der Beschwerde haben die Verantwortlichen erklärt, dass sie den Datenaustausch zwischen Behörden verbessern wollten. Nach der Einrichtung der Kopie habe keine unabhängige Aufsicht existiert, die üblichen Sicherheitsprozeduren seien ausgehebelt worden. Zudem hätten die verantwortlichen Entwickler die Möglichkeit, ohne die nötigen Genehmigungsprozesse Zugriffe auf die Datenbank zu ermöglichen. Der IT-Leiter von DOGE hat die Kopie laut der Beschwerde mit den Worten freigegeben: "Ich habe beschlossen, dass der geschäftliche Bedarf größer ist als das mit der Einrichtung verbundene Sicherheitsrisiko und ich akzeptiere alle damit und mit dem Betrieb verbundenen Risiken."
(mho)
