Vor einem Monat ist in Server der US-Behörde Office of Personal Management (OPM) eingebrochen worden. Diese Behörde verwaltet die Angestellten und Bewerber für Staatsdienste und deren Sozialprogramme für die Angestellten.

Es wurde befürchtet, dass eine umfangreiche Datenbank für Mitarbeiter, die im militärischen und geheimdienstlichen Bereich tätig sind, von Hackern angegriffen wurde. Die Vermutung lag nahe, dass mehr als vier Million Angestellte davon betroffen sind. In der Datenbank sind u.a. folgende Daten gespeichert: finanzielle Vergangenheit der Angestellten, Investitionen für Pensionsvorsorge, Namen der Kinder und Verwandten, Reiseziele, Namen der Nachbarn, Freunde und Studienkollegen, Mitarbeiter und die eindeutige Sozialversicherungsnummer.

Jährlich werden IT-Sicherheitskennzahlen von Einrichtungen der US-Regierung gesammelt. In dem letzten Report „FEDERAL INFORMATION SECURITY MANAGEMENT ACT“ ist zu lesen, dass 97% der Systeme von OPM einem regelmäßigen Monitoring (Überwachung) unterliegen. Entweder wurden genau die 3% systemkritischen IT-Computer nicht überwacht oder die Überwachung ist mangelhaft. Ansonsten lässt es sich nicht erklären, weshalb es zu diesem fatalen Einbruch kommen konnte.

Mittlerweile gibt es auch einzelne Details zum Hackereinbruch:

• Betroffen sind vermutlich 21 Mio. Angestellte der US-Regierung.
• Die Hacker hatten ein Jahr lang Zugriff auf die Datenbank.
• Die IP-Adressen der Angreifer stammten aus China.
• Betroffen sind mindestens zwei unabhängige IT-Systeme.
• Es wurde klar, dass die Sozialversicherungsnummern nicht verschlüsselt gespeichert waren.

Audits werfen ein schlechtes Licht auf das Management von OPM:

• Primäre Sicherheits- und Administrationskontrollen wie Log-Dateien sind nicht vorhanden.
• Für Sicherheitsmaßnahmen gab es kein Budget.
• Für das Unternehmen wurde die falsche Überwachungssoftware eingekauft.
• Es gab keinen im Management von OPM, der die Situation bzgl. Sicherheit und Sensibilität der Daten einzuordnen wusste.

Die Geschäftsführerin von OPM hat die Kündigung eingereicht. Kommentatoren meinen, dass zumindest die zuständige Person für die IT-Sicherheit (Computer Information Security Officer, CISO bzw. Computer Information Officer, CIO) bei OPM eine Mitverantwortung für den Einbruch trägt.

Die Mehrzahl von Einbrüchen könnte verhindert werden, würden die Unternehmen eine gewisse Basis-Sicherheit umsetzen. Darauf weisen immer wieder Berichte von z.B. Verizon hin. 85% der IT-Cybereinbrüche hätten nicht stattgefunden, würden die Firmen einfache Maßnahmen zur IT-Sicherheit setzen: 5 Schritte zur IT-Sicherheit – Wie Sie Ihre Computer gegen Hackerangriffe absichern. Es gibt auch die „Critical Security Controls“ von SANS, die Unternehmen sehr sinnvolle Maßnahmen für die IT-Sicherheit nahelegen (u.a. auch Penetrationstests).

Eine kleine Chronik des letzten Jahres über die Einbrüche in US-Personaldienstleister:

Juli 2014: Ein Computereinbruch wurde bei OPM entdeckt, der bis März 2014 zurückreicht. Chinesische Angreifer sollen dahinter stecken.

August 2014: USIS, ein Dienstleister des Departments of Homeland Security, wurde gehackt. 27.000 Personen sind betroffen. OPM stoppt die Zusammenarbeit mit USIS.

November 2014: Ein Bericht eines Audits von OPM erwähnt „Differenzen“ im Bereich der IT-Sicherheit. Es gibt keine Inventarisierung der Server, Datenbanken und Netzwerke. Zwei-Faktor-Authentifizierung ist ebenso nicht implementiert.

Dezember 2014: Keypoint, der Nachfolger von USIS, berichtet, dass beim Einbruch keine sensitiven Informationen gestohlen worden seien.

Februar 2015: Hackereinbruch bei Krankenversicherung Athem, 80 Millionen Personen sind davon betroffen.

Mai 2015: Hackereinbruch bei Carefirst Blue Cross, 1,1 Millionen Personen sind betroffen.

Brian Krebs legt in seinem Artikel nahe, dass China über die gestohlenen Informationen gezielt Mitarbeiter von Geheimdiensten identifizieren kann. China jedoch bestreitet seine Mitwirkung in den Fällen.

Artikel von forbes.com, 09.07.2015: 21.5 Million Americans Were Compromised In OPM’s Second Breach
Artikel von krebsonsecurity.com, 15.06.2015: Catching Up on the OPM Breach
Artikel von computerworld.com, 11.06.2015: Massive breach of government data said to expose personal information on millions
Artikel von arstechnica.com, 22.06.2015: “EPIC” fail—how OPM hackers tapped the mother lode of espionage data
Artikel von eweek.com, 24.06.2014: Inspector Finds Efforts to Assess, Fix OPM Data Breach in Disarray
Artikel von washingtonpost.com, 23.06.2015: Computer system that detected massive government data breach could itself be at ‘high risk,’ audit finds