Hack des Personalbüros der US-Regierung viel schlimmer als gedacht

Posted on Posted in Hacker News

Anfang Juni wurde ein erfolgreicher Hackerangriff auf Personaldaten der US-Regierung bekannt. Die Regierung verwaltet ihn in als zwei getrennte Ereignisse, um das ganze Ausmaß herunterspielen zu können.

Als die Personalverwaltung der US-Bundesbehörden (OPM) am 4. Juni einen erfolgreichen Hackangriff entdeckte, sprach sie selbst von vier Millionen Menschen deren Personaldaten kompromittiert worden waren. Tatsächlich war das Ausmaß aber viel schlimmer. Wie die Regierung später mitteilte wurden auch 18 Millionen Akten über Personen erbeutet. Zunächst hatte das OPM (Office of Personnel Management) nur den ersten Teil publik gemacht. Das zweite Eingeständnis folgte eine Woche später.

Der angeblich zweite Hack betrifftInformationen, die im Rahmen von Sicherheitsüberprüfungen (Security Clearances) über Personen und ihr Umfeld gesammelt wurden. Wieviele Personen genau betroffen sind, weiß man es im OPM noch nicht, wie aus einem Brief der OPM-Direktorin Katherine Archuleta vom 24. Juni hervorgeht. Sie wendet sich darin an den Abgeordneten im Repräsentantenhaus Jason Chaffetz. Der Republikaner ist Vorsitzender jenes Ausschusses, der für die Überprüfung der Verwaltung zuständig ist. Chaffetz hat Archuleta bereits zum Rücktritt aufgefordert, was sie aber ablehnt.

4,2 plus 18 mal X = ?

Die in US-Medien genannte Zahl von 18 Millionen Sozialversicherungsnummern aus den Sicherheitsüberprüfungen sei eine “vorläufige, nicht verifizierte, ungefähre” Angabe, schreibt Archuleta in ihrem Brief fest. Also waren in den Dateien wohl Sicherheitsüberprüfungen von mindestens 18 Millionen Menschen gespeichert. Die Sicherheitsüberprüfung eines Menschen erfordert naturgemäß die Überprüfung seines persönlichen Umfelds. Also dürften die Hacker Angaben über eine vielfach größere Gruppe als die 18 Millionen Bürger plus 4,2 Millionen Mitarbeiter erbeutet haben.

“Außerdem arbeiten wir bewusst daran, festzustellen, ob Personen, deren Sozialversicherungsnummern nicht kompromittiert wurden, über die aber andere Informationen preisgegeben worden sein könnten, auch als Betroffene des Vorfalls betrachtet werden sollten”, schreibt Archuleta. Die 18 Millionen hatten für eine Bundesbehörde gearbeitet oder arbeiten wollen, beziehungsweise waren im Auftrag eines anderen (potenziellen) Arbeitgebers überprüft worden. Ihre Daten sind nun in den falschen Händen. Laut US-Regierungskreisen sollen das die Hände von Spionen der Volksrepublik China sein, die das aber in Abrede stellt.

“Verschlüsselung unmöglich und nutzlos”

Am Mittwoch musste Archuleta nicht nur diesen Brief schreiben, sondern auch ein weiteres Mal persönlich vor dem Ausschuss aussagen. Dabei gestand sie ein, dass “aufgrund des Alters unserer Einrichtungen Verschlüsselung [gespeicherter Daten] nicht immer möglich” sei. Bei dem Angriff hätte eine Verschlüsselung aber sowieso nichts gebracht, argumentierte die Managerin. Die Angreifer hätten dann auch die Schlüssel und Passwörter kopiert.

2014 hatte das interne Aufsichtsbüro des OPM empfohlen, elf seiner 47 IT-Systeme stillzulegen. Die hatten nämlich keine gültige Sicherheitsbescheinigung. Das OPM folgte der Empfehlung nicht. “Systeme abzuschalten würde bedeuten, dass Rentner nicht bezahlt werden, und dass keine neuen Sicherheitsbescheinigungen ausgestellt werden könnten”, rechtfertigte sich Archuleta am Mittwoch. Inzwischen hätten zehn der elf Systeme eine neue oder zumindest eine eingeschränkte Sicherheitsbescheinigung erhalten.

Zunächst geleugnet

Das Wall Street Journal erhob am Mittwoch weitere Vorwürfe gegen das OPM: Nicht nur habe es in Absprache mit dem Weißen Haus den Hack in zwei Vorfälle geteilt. Sondern das OPM habe die Preisgabe der Sicherheitsdaten auch zweimal geleugnet.


Journalisten der Zeitung hatten konkret nach den Daten aus den Sicherheitsüberprüfungen gefragt: Einmal vor der Bekanntmachung des “ersten Vorfalls” durch das OPM, und dann erneut am Tag danach, dem 5. Juni. Bei der zweiten Leugnung habe das FBI das OPM jedoch bereits über die Zugriffe auf die Sicherheitsinformationen informiert gehabt, schreibt das Journal.

Und auch gut vernetzte Außenstehende wussten offenbar bereits Bescheid: Die Zeitung verweist auf ein Rundschreiben der Präsidentin der Universitäten von Kalifornien vom 5. Juni, woraus hervorgehe, dass sie von der Kompromittierung der Sicherheitsüberprüfung wusste. Die Uni-Präsidentin heißt Janet Napolitano und war bis September 2013 Ministerin für Heimatschutz.

Quelle: heise.de

Facebooktwittergoogle_plus