US-Rechnungshof: FBI vernachlässigt IT-Sicherheit

Dass Behörden beim Schutz ihrer IT-Infrastruktur häufig schlampen, ist hinlänglich bekannt. Dass aber selbst das für die Verfolgung von Internet- und Computerkriminalität zuständige Federal Bureau of Investigation (FBI) innerhalb weniger Wochen wiederholt wegen mangelhafter IT-Sicherheit in die Schlagzeilen gerät, überrascht. Musste die Behörde Mitte Februar einräumen, dass ihr neben zahlreichen Waffen auch regelmäßig Laptops mit möglicherweise sensiblen Daten abhanden kommen, bescheinigt der US-Rechnungshof (Government Accountability Office, GAO) dem FBI nun "unzureichende Sicherheitsvorkehrungen in kritischen Netzwerken".

Dem GAO-Bericht (PDF-Datei) "Information Security: FBI Needs to Address Weaknesses in Critical Network" zufolge haben Untersuchungen von "Routern, Switches, Servern, Netzwerk-Management-Tools, Firewalls und anderen IT-Komponenten" in den Hauptquartieren der Bundesbehörde ergeben, dass das FBI "Netzwerkeinheiten und -Anwendungen nicht durchgängig so konfiguriert, dass unberechtigte Systemzugriffe von Innen verhindert werden können". Die Identifizierung und Authentifizierung von Nutzern sei "unzulänglich", halten die Verfasser des Reports fest. Auch gebe es Mängel bei der Verschlüsselung sensibler Daten sowie beim Patch-Management.

Den Vorwurf, beim FBI seien wichtige Daten nicht ausreichend vor unbefugter Einsichtnahme oder Veränderung durch interne Akteure geschützt, weisen Zalmal Azni, Chief Information Officer (CIO) des FBI, und sein Stellvertreter Dean Hall in einer gemeinsamen Stellungnahme unterdessen von sich. Insgesamt stimme man aber zahlreichen technischen und programmatischen Vorschlägen des GAO zur Verbesserung der IT-Sicherheit zu und werte sie als Unterstützung bei der vollständigen Einrichtung eines umfassenden Informationssicherungsprogramms beim FBI. (pmz)