Laxe IT-Sicherheit beim US-Energieministerium bemängelt

Der Hackerangriff beim US-Energieministerium, der dazu geführt hatte, dass die Daten von über 104.000 Personen unerlaubt kopiert wurden, ist auf zu lockere Sicherheitsdisziplin zurückzuführen. Zu diesem Schluss kommt der Generalinspekteur der Behörde in seinem Untersuchungsbericht über den Vorfall. Der Angriff sei mindestens der dritte, dem die Behörde seit 2011 zum Opfer gefallen sei. Man habe Systeme zu selten mit den nötigen Updates versorgt und Software zum Teil auch Jahre nach dem Ende der Unterstützung durch den Hersteller weiter genutzt.

Der Bericht des Generalinspekteurs listet einen ausführlichen Katalog an Verfehlungen auf. Man habe Sozialversicherungsnummern in hunderten von verschiedenen Datenbanktabellen gespeichert und an keinem Punkt verschlüsselt. Zugriff zu den persönlichen Informationen von Mitarbeitern, externen Dienstleistern und deren Angehörigen sei einfacher zu erlangen gewesen als Webmail-Dienste aus der Behörde heraus zu benutzen. Systeme wurden oft über Jahre hinweg nicht mit Updates versorgt, aus Angst die Produktivität der Mitarbeiter könne durch etwaige Update-bedingte Ausfälle beeinträchtigt werden.

Einem im Oktober verhafteten Mann aus Großbritannien war es laut den ermittelnden Beamten schließlich gelungen, über eine Schwachstelle in den SQL-Datenbanken einer ColdFusion-Applikation in die Webserver der Behörde einzudringen. Da viele Datenbanken des Ministeriums ohne hinreichende Schutzmaßnahmen miteinander verbunden waren, gelang es dem Mann und etwaigen Komplizen, eine große Menge an kritischen Daten, darunter auch Bankinformationen, auszulesen.

Das Ministerium rechnet mit mindestens 3,7 Millionen US-Dollar an Kosten, die durch ausgefallene Arbeitszeit und durch Kontoüberwachung für die Opfer des Datenmissbrauchs anfallen werden. Hinzu kommen noch Kosten, die durch das Schließen der Sicherheitslücken und die Anschaffung neuer Hardware ausgelöst werden. (fab)