FBI-Daten hochrangiger Verantwortlicher fĂĽr Kritische Infrastrukturen geklaut
Das FBI hat eine Datenbank wichtiger Schlüsselpersonen aus dem Bereich kritischer Infrastruktur, um diese zu vernetzen. Bösartige Akteure konnten sie kopieren.
Das FBI will den Schutz kritischer Infrastrukturen im InfraGard-Programm verbessern. Cyberkriminellen gelang es, sich dort anzumelden und die Daten von den Mitgliedern zu ergattern – offenbar mehrere zehntausend Menschen. Diese Datensammlung steht nun in einem Darknet-Forum zum Verkauf.
Das InfraGard-Programm soll den Schutz kritischer Infrastrukturen stärken, indem es die Schlüsselfiguren etwa aus Führungspersonal und IT-Verantwortlichen in beteiligten Unternehmen und Einrichtungen vernetzt und etwa Informationen und Schulungen zu Sicherheitsbedrohungen anbietet. Dazu gehören etwa Trinkwasser- und Energieversorger, Finanzdienstleister, Transportunternehmen, Organisationen des Gesundheitswesens sowie Kernenergieunternehmen. InfraGard versammelt daher das Who-is-Who der privaten kritischen Infrastrukturbeteiligten und behandelt dabei physische wie Cyber-Sicherheit.
Untersuchungen laufen
Gegenüber Brian Krebs, der über den Datenabfluss berichtet, hat das FBI geäußert, dass es sich um eine nicht abgeschlossene "Situation handelt und wir sind nicht in der Lage, etwaige weiterführende Information zu diesem Zeitpunkt zu liefern". Die Datenhehler im Darknet waren Krebs gegenüber auskunftsfreudiger.
Sie hätten Zugriff zum InfraGard-System des FBI erhalten, indem sie sich für ein neues Konto beworben und dazu den Namen, Sozialversicherungsnummer, Geburtsdatum und andere persönliche Details eines Geschäftsleiters von einem Unternehmen angeben haben, der sehr wahrscheinlich eine InfraGard-Mitgliedschaft erhalten würde. Der fragliche CEO, derzeit Leiter eines großen US-Finanzunternehmens, das direkten Einfluss auf die Kreditwürdigkeit der meisten US-Amerikaner hat, teilte mit, dass er vom FBI nicht bezüglich der Prüfung einer InfraGard-Bewerbung kontaktiert wurde.
Die Bewerbung hätten die Angreifer im November gesendet und dabei die korrekte Telefonnummer des CEOs, aber eine eigene E-Mail-Adresse angegeben. Die Zugangsbestätigung folgte rasch und verlangte nach einer Mehr-Faktor-Authentifizierung. Hier stand jedoch Telefon oder Mail zur Wahl, sodass sich die Angreifer mit der Mail-Adresse freischalten konnten.
Nach Zugang schutzlos
Der Zugang zu den Daten der InfraGard-Teilnehmer war anschließend einfach, erklärten die bösartigen Akteure gegenüber Krebs. Das InfraGard-System sei eine Art soziales Netzwerk und Knotenpunkt für hochrangige Personen. Sogar ein Diskussionsforum sei enthalten. Eine Programmierschnittstelle (API) verknüpfe die Schlüsselkomponenten und erlaube den Zugriff auf Nutzerdaten, offenbar komplett ungeschützt. Mit einem selbst programmierten Python-Skript ließen sich alle Nutzerdaten über diese API abrufen. Gegenüber Krebs haben die Cyberkriminellen die Echtheit der Daten bewiesen, indem sie über das InfraGard-System einen CEO einer anderen Firma kontaktiert haben; dieser hat die Kontaktaufnahme anschließend bestätigt.
Die Datenhehler verlangen 50.000 US-Dollar für die Datenbank. Den Preis sehen sie als Verhandlungsbasis. Sie schränken selbst ein, dass es sich um sicherheitssensibilisierte Personen handele und zu lediglich der Hälfte der Konten liege überhaupt eine E-Mail-Adresse vor; die meisten Datenbankfelder wie Sozialversicherungsnummern und Geburtsdatum seien komplett leer.
Wenn auch der konkrete Schaden durch den Einbruch bislang überschaubar bleibt, wirft er einen Schatten auf ein Projekt, das die Cyber-Sicherheit verbessern soll. Sogenanntes Scrapen von Zugangsdaten, also das automatisierte programmatische Abklappern aller Konten, hat immer wieder zu derartigen Datenabflüssen geführt. Das gelingt tatsächlich recht einfach mit verfügbaren Tools. Das FBI sollte dem InfraGard-Programm offensichtlich noch einige Sicherheitsmechanismen spendieren.
(dmk)