Die USA haben eine eigene Behörde für die Abwehr von Bio-Terrorismus. Diese speicherte ihre Daten fleißig auf einem öffentlichen Server, der unsicher war, von einer Privatfirma betrieben wurde und leicht gehackt werden konnte. Ging über ein Jahrzehnt so, wie Regierungsdokumente belegen. Inzwischen ist der Server aber abgeschaltet. Der Fall wirft ein Schlaglicht auf die Situation in machen US-Behörden.
Solche Daten können für Dritte (z.B. Terroristen) durchaus sehr wertvoll sein. Und wenn eine Behörde schludert, wird es brenzlig. Ich bin über nachfolgenden Tweet auf das Thema aufmerksam geworden.
Hackers could have breached U.S. bioterrorism defenses for years, records show https://t.co/Qld60HxkbE
— Aryeh Goretsky (@goretsky) August 25, 2019
Die Los Angeles Times berichtet in diesem Artikel näheres. Das Ministerium für Heimatschutz (Department of Homeland Security) speicherte sensible Daten aus dem Bioterrorismus-Verteidigungsprogramm der USA auf einer unsicheren Website. Und diese Webseite war seit über einem Jahrzehnt anfällig für Angriffe von Hackern. Das geht aus Regierungsdokumenten hervor, die von The Times überprüft wurden.
Privatfirma betrieb Webseite
Die Informationen und Daten wurden auf einer .org-Website abgelegt, die von einem privaten Auftragnehmer betrieben wird. Die Website wurde später hinter eine sichere Firewall der Bundesregierung verschoben, und im Mai geschlossen. Aber Homeland Security weiß nicht, ob Hacker jemals Zugang zu den Daten erhalten haben.
Die Daten beinhalteten die Standorte von einigen BioWatch-Luftkeimsammlern, die an U-Bahn-Stationen und anderen öffentlichen Orten in mehr als 30 US-Städten installiert sind. Aufgabe dieser Stationen ist es, Milzbrand oder andere biologische Waffen in der Luft zu erkennen. Zu den Informationen gehörten auch die Ergebnisse von Tests auf mögliche Krankheitserreger, eine Liste der nachweisbaren biologischen Arbeitsstoffe und Reaktionspläne, die im Falle eines Angriffs aufgestellt werden sollten.
Die Website diente dem Austausch von Informationen zwischen lokalen, staatlichen und Bundesbehörden. Die .org-Seiten war über Online-Suchmaschinen leicht zu identifizieren. Allerdings erforderte es für den Zugriff auf sensible Daten ein Benutzername und ein Passwort.
Diskussionen innerhalb der Behörde
Interne E-Mails von Homeland Security und andere Dokumente zeigen, dass das Problem einen heftigen Konflikt innerhalb der Abteilung ausgelöst hat, ob die Aufbewahrung der Informationen auf der .org-Website eine Bedrohung für die nationale Sicherheit darstellt. Ein ehemaliger BioWatch-Sicherheitsmanager reichte eine Whistleblower-Beschwerde ein, in der er behauptete, dass er wegen Vergeltungsmaßnahmen angegriffen wurde, nachdem er die laxe Sicherheit des Programms kritisiert hatte.
Ein im Januar 2017 abgeschlossenes Sicherheitsaudit fand „kritische“ und „risikoreiche“ Schwachstellen. Darunter war auch der Punkt: Schwache Verschlüsselung, die die Website „extrem anfällig“ für Online-Angriffe machte. Das Audit kam zu dem Schluss, dass es „keine schützende Überwachung der Anlage zu geben scheint“. Das geht aus einem Bericht der Homeland Security hervor, der die Ergebnisse zusammenfasst.
Der später in 2017 veröffentlichte Bericht des Generalinspekteurs besagt, dass sensible Informationen seit 2007 auf dem BioWatch-Portal gespeichert wurden und für Hacker anfällig sind. Der Report empfahl, die Daten hinter die Firewall der Regierung zu verschieben. Dem stimmte die Leitung der Homeland Security-Behörde wohl auch zu.
Es ist unklar, wie wertvoll die Daten für eine terroristische Gruppe oder einen Feindstaat gewesen wären. Denn Wissenschaftler warnten, dass die BioWatch-Technologie unzuverlässig sei. Das System erkennt nur einen engen Bereich von Mikroben und versucht, zwischen typischen Umweltbakterien und gefährlichen Bedrohungen zu unterscheiden.
Die Spitze eines Eisbergs?
„Werbung für deine Schwachstellen ist nie eine gute Sache. Gegner leicht auf auf deine Schwachstellen zugreifen zu lassen – das ist meiner Meinung nach ein nationales Sicherheitsrisiko“, sagte Tom Ridge, der als erster Sekretär der Nation für Homeland Security die Einführung von BioWatch im Jahr 2003 beaufsichtigte, das Programm aber inzwischen als ineffektiv bezeichnet hat. „Jeder amerikanische Bürger würde sich fragen: „Was ist sonst noch so leicht zugänglich für den Rest der Welt?“ Das wirft natürlich die Frage auf, wie angreifbar die US-Infrastruktur für Cyber-Angriffe ist. Die Ransomware-Fälle in öffentlichen Verwaltungen werfen ein bezeichnendes Bild auf den Sachverhalt. Imho ist das alles löchrig wie ein Schweizer Käse und wackelig bis zum geht nicht mehr.