Owning Oak Ridge

Eine weitere peinliche und möglicherweise sicherheitsgefährdende Datenpanne hat, wie The Register Security berichtet, die USA ereilt. Genauer gesagt traf es diesmal das Oak Ridge National Laboratory, in dem laut The Register „streng geheime Forschung, die in der „Homeland Security“ und für militärische Zwecke genutzt wird“ stattfindet.

Zugriff erlangten die Angreifer, indem sie in geradezu klassischer Weise den „Human Factor“ ausnutzten, sprich, den Menschen als „schwächstes Glied des Sicherheitssystems“ (so zumindest bezeichnet es oft der bekannte IT-Security-Experte und Kryptologe Bruce Schneier) direkt zum Ziel ihrer Bemühungen machten. Viele Menschen denken nicht sicherheitsbewusst, selbst wenn sie in einem so sicherheitskritischen Bereich wie dem angesprochenen Forschungslabor arbeiten. Sie schätzen Risiken falsch ein, machen überflüssige Fehler, denken an der falschen Stelle nicht nach oder stellen ihre Bequemlichkeit über die Sicherheit des Systems. So ein Verhalten kann man nur durch sehr gezieltes Training in den Griff bekommen (einen hundertprozentigen Schutz gibt es wohl nicht, aber nach meiner Erfahrung ist eine solche Denkweise durchaus bis zu einem gewissen Grad erlernbar).

Offenbar hatten aber einige Mitarbeiter diese Lektionen nicht ausreichend verinnerlicht. Cyberkriminelle schickten eine große Menge an an „Phishing-Mails“ erinnernden E-Mails mit „bösartigen“ Anhängen. 11 der Oak Ridge-Mitarbeiter öffneten tatsächlich mindestens einen dieser Anhänge und erlaubten es so der angehängten Schadsoftware, sich auf dem System zu verbreiten, Zugriff zu sensiblen Dokumenten zu erlangen und diese aus dem System heraus zu schmuggeln.

Was genau gestohlen wurde oder wer hinter den Attacken steht, wurde (bisher) nicht veröffentlicht. Möglichkeiten gibt es genug. Fest steht jedenfalls, dass der oder die Angreifer wohl über beachtliche Ressourcen und eine ausgeklügelte Strategie verfügen; The Register jedenfalls sieht in den Angriffen „einen ausgeklügelten Cyber-Angriff, der, wie es nun scheint, Teil eines koordinierten Versuchs ist, Zugriff auf die Computernetzwerke zahlreicher Laboratorien und anderer Einrichtungen überall im Land zu bekommen“.

Nach „Hacking the Homeland“ und „Noobs with Nukes“ nun also „Owning Oak Ridge“. Die Serie peinlicher und potentiell gefährlicher Vorfälle in US-amerikanischen Datenverarbeitungssystemen scheint nicht abreißen zu wollen. Sicher wäre es zu leicht und zu billig, jetzt mit dem Finger auf irgendwen zu zeigen und sich über die Unfähigkeit der Betroffenen lustig zu machen. Cyberkriminalität ist eine sehr reale, ernstzunehmende Bedrohung im 21. Jahrhundert, und entsprechend der Maxime „es gibt nur eine Burg, aber 1000 Angreifer“ ist es sehr schwer, ein System wirklich sauber zu halten- der Verteidiger muss jede Minute des Tages wachsam sein, muss eine riesige Menge potentieller Risiken und Angriffsvektoren im Auge behalten, während der Angreifer möglicherweise nur eine einzige Chance braucht.

Das alles bedeutet aber nicht, dass man es einfach so hinnehmen könnte, wenn wichtige Daten „einfach so“ Kriminellen in die Hände fallen. Immerhin geht es hier notfalls um die Sicherheit der US-Bürger- und so weit weg ist ein solches Szenario wahrscheinlich auch in Deutschland nicht; in Sachen IT-Sicherheit ist unsere Nation nämlich keineswegs führend (so landeten wir vor kurzem noch auf einem „ruhmreichen“ dritten Platz in der weltweiten Liste der Länder mit den meisten in einem Botnet befindlichen Rechnern, und auch die derzeitige Rechtsunsicherheit in der Branche dürfte die Situation wohl kaum verbessern).

Eine Menge Fragen bleiben offen nach einem Vorfall wie diesem. Ich werde einige davon an dieser Stelle einfach stellen und offen lassen, als Anregung zum Nachdenken und zu Diskussionen.
– Kann man einer Regierung, in der anscheinend schon an der Mitarbeiterschulung in höchst sensitiven Bereichen gespart wird, eine derartige Menge an wichtigen Daten in die Hand geben, wie es sich momentan abzeichnet?
– Sollte man überhaupt jemandem solche Macht geben angesichts des angesprochenen Risikos (auch durch Kriminalität)?
– Wäre nicht ein Teil des Geldes, das für Überwachungsmaßnahmen (Online-Durchsuchung, verstärkte Kamera-Überwachung, biometrischer Pass, Vorratsdatenspeicherung…) ausgegeben wird, besser in Maßnahmen zur IT-Sicherheit investiert? Könnte hier nicht ein wirklicher Sicherheitsgewinn für den Bürger erzielt werden?
– Kann es sich, wenn so die Realität im 21. Jahrhundert aussieht, ein Land wirklich leisten, durch pauschale Kriminalisierung der Beschäftigung mit IT-Sicherheit (beziehungsweise ein Gesetz, das diese Interpretation nicht mit Sicherheit ausschließt) diesen immer wichtiger werdenden Bereich in seinen Möglichkeiten einzuschränken?