Erhebliche Sicherheitsmängel bei den Servern des US-Umweltministeriums

Verheerend ist das Ergebnis einer Sicherheitsüberprüfung der Computersysteme der amerikanischen Umweltbehörde EPA ausgefallen. Ohne große Schwierigkeiten konnten Prüfer des General Accounting Office (GAO) in die Computersysteme eindringen und Einsicht in wichtige und geheime Daten nehmen, ohne entdeckt zu werden.

In Auftrag gegeben hatte die Überprüfung im Sommer 1999 der Wirtschaftsausschuss des amerikanischen Kongresses als eine Maßnahme im Rahmen einer allgemeinen Überprüfung der Computersysteme von Behörden, deren Sicherheit vorbildlich sein sollten. Der Vorsitzende des Ausschusses, der Republikaner Tom Bliley, startete erst unlängst auch eine Sicherheitsüberprüfung der Food and Drug Administration sowie des Wirtschaftsministeriums. Auch hier soll es schwerwiegende Sicherheitslücken geben.

Der Bericht über die EPA stellte fest, dass Hacker ohne große Schwierigkeiten in die Computersysteme eindringen und an heikle Daten wie Informationen über Gesundheits- und Umweltrisiken, Finanzen und Verträge oder die Mitarbeiter herankommen können. Die Prüfer konnten offenbar unbemerkt von den Sicherheitsexperten der EPA den Firewall durchbrechen, die Computer durchsuchen und weitere Kennworte ausfindig machen. "Keiner erkannte das Ausmaß unserer Aktivität oder die Größe der von uns eröffneten Sicherheitslöcher." Die Mängel waren so weit verbreitet, dass sie das "behördenweite Sicherheitsprogramm der EPA unwirksam" werden ließen.

Die Prüfer fanden auch heraus, dass 1998 und 1998 über 20 Mal unberechtigte Außenstehende in die Computersysteme eingedrungen seien oder DoS-Angriffe ausgeführt hätten. Ein Cracker richtete gar im Juli 1999 einen Chat-Raum auf einem Server ein, während das FBI noch einen Angriff auf drei Computer untersuchte, der im Februar 1999 erfolgt war. In manchen Fällen hätten diese nur dank der schlechten Sicherheitsmaßnahmen unentdeckt bleiben können. Die Prüfer fanden während ihrer Arbeit so schwerwiegende Sicherheitsmängel, dass die EPA im Februar bereits ihren Internetzugang für einige Tage geschlossen hatte. Seitdem habe die Behörde, wie der Bericht sagt, entschlossen versucht, die Sicherheitsmängel zu beheben, aber eine wirkliche Sicherung werde noch einige Zeit dauern.

Vor einer Woche hatten das Umwelt- und das Justizministerium beschlossen, den Bürgern des Landes über das Internet keine genauen Informationen über Sondermüllplätze und Fabriken zu gewähren, die gefährliche Stoffe herstellen und lagern. "Das Risiko, dass Terroristen in nächster Zeit versuchen könnten, durch Chemikalien möglicherweise eine Katastrophe zu verursachen, ist real und glaubwürdig", wurde die Geheimhaltungsmaßnahme von der EPA begründet. Zwar habe noch kein Terrorist in den USA einen Anschlag mit giftigen Substanzen aus einer Chemiefabrik begangen, doch seien schon zwei Mal heimische Terroristengruppen in den letzten beiden Jahren von der Polizei verhaftet worden, die solche Anschläge geplant hätten. Zur Information der Bürger ist vorgesehen, im Web ein "System für Risikoindikatoren" einzurichten, das nur preisgibt, ob Häuser, Schulen oder Arbeitsplätze in einer "Risikozone" liegen, ohne aber anzugeben, wo etwa die Chemiefabrik sich befindet und von welchen Chemikalien die Risiken ausgehen.

Mehr in Telepolis: Übersät mit Sicherheitsmängeln. (fr)