Der Cybersicherheitsbericht des Senats stellt fest, dass Behörden häufig grundlegende Präventivmaßnahmen nicht ergreifen

Die Botschaft, die im vergangenen Winter in mehreren Bundesstaaten ausgestrahlt wurde, war zu gleichen Teilen alarmierend und absurd: „Zivilbehörden in Ihrer Gegend haben berichtet, dass die Leichen der Toten aus ihren Gräbern auferstehen und die Lebenden angreifen.. . .Versuchen Sie nicht, sich diesen Leichen zu nähern oder sie zu fassen, da sie als äußerst gefährlich gelten.“

Die gemeldete Zombie-Invasion war nichts aus „The Walking Dead“. Es war das Notfallwarnsystem des Bundes unter der Kontrolle von Hackern – das laut einem Cybersicherheitsbericht des Senats, der am Dienstag veröffentlicht werden soll, Schwächen ausnutzte, die in vielen kritischen Systemen in der gesamten Regierung beunruhigend häufig sind.

US-Beamte warnen seit Jahren, dass die Aussicht auf einen Cyberangriff die größte Bedrohung für die Nation ist, und haben die Ausgaben für die Computersicherheit stark erhöht. Der Bericht des republikanischen Stabs des Ausschusses für Heimatschutz und Regierungsangelegenheiten des Senats besagt jedoch, dass Bundesbehörden schlecht vorbereitet sind, Netzwerke selbst gegen bescheidene Hacker zu verteidigen.

„Als Steuerzahler bin ich empört“, sagte Alan Paller, Forschungsdirektor am SANS Institute, einer Bildungsgruppe für Cybersicherheit, und überprüfte einen Entwurf des Berichts vor seiner offiziellen Veröffentlichung. 'Wir geben all dieses Geld aus und bekommen so wenig Wirkung dafür.'

Der Bericht stützt sich auf frühere Arbeiten der Generalinspektoren der Behörde und des Government Accountability Office, um ein umfassenderes Bild der chronischen Funktionsstörung zu zeichnen, und verweist auf wiederholte Versäumnisse von Bundesbeamten, die glanzlose Arbeit der Informationssicherheit zu leisten. Dazu gehören das Installieren von Sicherheitspatches, das Aktualisieren von Antivirensoftware, die Kommunikation in sicheren Netzwerken und die Anforderung starker Passwörter. Ein gängiges Passwort in föderalen Systemen ist laut dem Bericht 'Passwort'.

Dieses Video zeigt das Hacken des Notfallwarnsystems auf KRTV Montana. (Youtube.com)



Beamte der Obama-Regierung stritten sich mit Elementen des Berichts, räumten jedoch ein, dass es schwierig war, Behörden dazu zu bringen, ihre Systeme gegen Angriffe zu schützen.

„Fast jede Behörde steht vor einer Cybersicherheitsherausforderung“, sagte Michael Daniel, Sonderassistent des Präsidenten für Cybersicherheitspolitik. „Einige sind weiter fortgeschritten als andere, wenn es darum geht, das Bewusstsein dafür zu stärken. Es hängt oft davon ab, ob sie im Fadenkreuz eines größeren Cyber-Vorfalls waren.“

Der Bericht übt besonders scharfe Kritik am Department of Homeland Security, das bei der Überwachung der Cybersicherheit anderer Bundesbehörden hilft. Der Bericht kam zu dem Schluss, dass die Abteilung es versäumt hatte, wesentliche Software zu aktualisieren – „die grundlegende Sicherheitsmaßnahme, die fast jeder Amerikaner mit einem Computer durchgeführt hat“.

„Keine der anderen Behörden will auf Homeland Security hören, wenn sie sich nicht um ihre eigenen Systeme kümmert“, sagte Senator Tom Coburn (Okla.), der als ranghöchster Republikaner im Ausschuss die Entwicklung des Berichts beaufsichtigte. 'Sie machen nicht einmal die einfachen Dinge.'

Das zugrunde liegende Problem, sagten Coburn und mehrere externe Experten, ist das Versäumnis der Bundesbehörden, erstklassige IT-Mitarbeiter einzustellen, sie ausreichend zu bezahlen und ihnen genügend Einfluss zu geben, um routinemäßige Sicherheitspraktiken durchzusetzen.

„Es ist eine Position mit niedrigem Status, oft schlecht bezahlt und mit hohem Stress, weil die Leute Systemadministratoren nur bemerken, wenn etwas kaputt geht“, sagte Steven Bellovin, ein Informatikprofessor an der Columbia University und ehemaliger Technologe der Federal Trade Commission. 'Es wird eine sehr leicht zu vernachlässigende Position.'

Vorgesetzte in der Befehlskette werden selten für Sicherheitsmängel verantwortlich gemacht, sagten Experten, weil oft unklar ist, wer dafür verantwortlich ist. Es sind keine Strafen gesetzlich vorgeschrieben.

Nehmen Sie die falscher Zombie-Alarm , die von Fernsehstationen in Michigan, Montana und New Mexico getragen wurde. Darin wurden Mängel in der Aufsicht des Notfallwarnsystems aufgezeigt, das von der Federal Communications Commission beauftragt und von der Federal Emergency Management Agency verwaltet wird.

Hacker entdeckten, dass einige Fernsehsender ihre Warnsystemausrüstung mit dem Internet verbunden hatten, ohne eine Firewall zu installieren oder das Standardpasswort zu ändern, wie es im Handbuch des Unternehmens angegeben war, sagte Ed Czarnecki, ein Beamter von Monroe Electronics, der die Geräte herstellte, die durchbrochen wurden. Er sagte, dass diese Fehler bei der elementaren Netzwerksicherheit durch mehr Anweisungen der Regierung hätten verhindert werden können.

„Weder die FCC noch die FEMA hatten klare Richtlinien zur Sicherung dieser Ausrüstung herausgegeben“, sagte Czarnecki.

Obwohl der Vorfall als Streich angesehen wurde, zeigte er Schwächen auf, die gefährlich gewesen sein könnten, wenn Hacker während eines tatsächlichen Notfalls oder Terroranschlags Fehlinformationen verbreitet hätten, sagten Experten. Monroe Electronics und die FCC haben mit betroffenen Stationen zusammengearbeitet, um eine Wiederholung zu verhindern, sagten sie.

Das Department of Homeland Security sagte, dass es auch daran gearbeitet habe, die im Senatsbericht identifizierten Probleme zu lösen.

„Das DHS hat erhebliche Maßnahmen ergriffen, um unsere Fähigkeiten zur Bewältigung der Cyberrisiken im Zusammenhang mit unseren kritischen Informationsnetzwerken und -systemen zu verbessern und zu stärken“, sagte S.Y. Lee, ein Sprecher der Abteilung, sagte in einer E-Mail-Erklärung.

Weitere im Senatsbericht identifizierte Probleme:

● Seit 2008 hat das GAO jedes Jahr etwa 100 Schwachstellen in den Computersicherheitspraktiken des Internal Revenue Service festgestellt, die durchschnittlich 55 Tage brauchten, um kritische Systemfehler zu beheben, sobald sie identifiziert wurden. Dafür soll es nur drei Tage dauern.

● Hacker haben die Systeme des Energieministeriums geknackt und sich Zugang zu den persönlichen Daten von 104.000 ehemaligen und gegenwärtigen Abteilungsmitarbeitern verschafft.

●Die Nuclear Regulatory Commission, die Daten über die Konstruktion und Sicherheit aller Kernreaktoren und Abfallentsorgungseinrichtungen des Landes speichert, „erfährt regelmäßig die unbefugte Offenlegung sensibler Informationen“. Eine Sprecherin der Behörde gab bekannt, dass sie 'Informationssicherheit sehr ernst nimmt und kontinuierlich an Verbesserungen arbeitet'.

●Und bei der Securities and Exchange Commission wurden Laptops mit sensiblen Informationen nicht verschlüsselt, und Mitarbeiter übermittelten manchmal private Informationen über Finanzinstitute auf persönlichen E-Mail-Konten. Mindestens einmal hat sich ein SEC-Mitarbeiter bei einer Versammlung von Computer-Hackern in ein ungesichertes WLAN-Netzwerk eingeloggt.

Während der Bericht von Coburn, einem Republikaner, veröffentlicht wurde, stimmte der demokratische Vorsitzende des Senatsausschusses vielen seiner Ergebnisse zu.

„Die Bundesbehörden haben in diesem Bereich noch viel zu tun, und die Gesetze, die die Sicherheit unserer zivilen Bundesnetze regeln, müssen reformiert werden“, sagte Emily Spanien, Sprecherin von Senator Thomas R. Carper (D-Del.).

Dennoch hat Washington langsam gehandelt. Ein Gesetz aus dem Jahr 2000 zur Verbesserung der Cybersicherheit der Regierung sah keine Konsequenzen für das Versäumnis von Behörden vor. In den letzten Jahren sind im Kongress zahlreiche Gesetzentwürfe, die eine bessere Computer- und Netzwerksicherheit fordern, gescheitert. Das Weiße Haus drängt unterdessen darauf, dem Department of Homeland Security mehr Befugnisse zu geben, um Cybersicherheitsregeln in der gesamten Regierung durchzusetzen.

„Letztendlich ist es ähnlich wie das Problem in Unternehmen“, sagte James A. Lewis, ein Cybersicherheitsexperte am Center for Strategic and International Studies. „Die CEOs sehen Cyber ​​nicht als ihre Mission, als grundlegendes Problem. Sie sehen Ihre Aufgabe nicht darin, ein sicheres Netzwerk zu betreiben. Wenn etwas schief geht, passiert dir nichts.“