Ein in Kürze erscheinender Bericht des US-Bundesrechnungshofs (GAO) besagt, dass in den meisten Fällen US-Bundesbehörden nicht in ausreichender Form auf Cyber-Vorfälle regiert haben. Gregory C. Wilshusen, GAO-Direktor für IT-Sicherheitsvorfälle, hatte hierzu kürzlich vor der Homeland Security und dem Regierungsausschuss ausgesagt.

Er berichtete dort, dass eine Studie der 24 größten Behörden zeigte, dass etwa 65 % der Cyber-Vorfälle nicht adäquat angegangen wurden, obwohl die allermeisten Vorfälle entdeckt worden waren. Eine nähere Untersuchung von sechs Behörden ergab, dass obwohl Kriseninterventionspläne, Strategien und Vorgehensweisen eingeführt wurden, sie nicht immer umfassend oder gemäß den bundesstaatlichen Auflagen ausgeführt werden.

Erschreckend sei auch, dass sich laut GAO-Daten die Anzahl der erfolgreichen Vorfälle seit 2009 verdoppelt hat. Es gibt auch noch andere Vorfälle, die zitiert werden, wie jener aus 2006, als ein Computer mit 26,5 Mio. Daten von Veteranen aus der Privatwohnung eines Bundesangestellten gestohlen wurde.

Man sollte meinen, dass ein solcher Vorfall alle Behörden wach rütteln würde. Wohl nicht. Im Mai 2012 wurde die Bundespensionskasse angegriffen und 123.000 Daten entwendet.Im Juli 2013 wurde das Energieministerium gehackt und Daten von 104.000 Einzelpersonen gestohlen. Dann gab es noch den Vorfall bei der NASA, wo ebenfalls ein Laptop mit persönlichen Daten vieler Personen gestohlen wurde.

Natürlich steigen die Cyber-Vorfälle weltweit in allen Branchen an. McAfee spricht von einem Anstieg von 600 % vom Jahr 2011 auf 2012. Die Vorfälle, die Regierungsbehörden betreffen, sind besonders besorgniserregend. Laut Wilshusen seien die IT-Sicherheitsvorfälle im Jahr 2013 von 30.000 auf 61.000 angestiegen.

Die GAO hat auch unter die Lupe genommen, wie die 24 größten Behörden ihre IT-Sicherheitskontrollen realisiert hätten, und die Ergebnisse waren nicht gut. Alle hatten Schwächen beim Sicherheits- und Konfigurationsmanagement sowie bei Vorgängen zur Eventualfall-Planung. Nur eine Behörde hatte sehr gute Zugangskontrollen. 18 Behörden verteilen ihre Aufgaben sehr schlecht, um sich vor breit angelegten Angriffen zu schützen.

Es gibt verschiedene Ansätze, die Misere anzugehen und Regelkonformität und Investitionen in IT-Sicherheitsmaßnahmen zu fördern. Vorgeschlagen wird sogar die Einführung von Zivilstrafen. Es sei auch wichtig, dass die Legislative hinsichtlich der sich ständig ändernden IT-Technologien mit der Zeit geht . Dies bedeutet auch, sich von veralteten Prozeduren und Vorgehensweisen zu trennen oder endlich die diesbezüglichen Gesetze aller US-Bundesstaaten zu vereinheitlichen.

Artikel von zdnet.com, 07.04.2014: Government breaches at all-time high
Artikel von govinfosecurity.com, 03.04.2014: GAO: Federal Incident Response is Erratic