Einem Bericht des US-amerikanischen Government Accountability Offices (GAO) zufolge

„gehen 24 der größten Regierungsbehörden nicht konsequent mit Cyber-Vorfällen um“.

Dies macht rund 65 % aller Vorfälle aus, so heißt es in einem Bericht des GAO.
Zwar können sie häufig den Vorfall und dessen Umfang beschreiben, allerdings nicht die Auswirkungen auf das Geschäft der Behörden. Häufig werden erste Schritte unternommen, bei Schwierigkeiten oder Fehlern allerdings verlaufen die Bemühungen irgendwann im Sand. Zumindest konnte das GAO häufig keine weiteren Maßnahmen dokumentiert finden.

„Die Behörden zeigen, dass sie nicht konsistent und effektiv auf Cyber-Vorfälle reagieren. Oft dokumentieren die Behörden ihre Schritte zur Eindämmung und Behebung der Vorfälle, allerdings sind sie weniger konsistent in der Analyse-, Recovery- und Post-Vorfall-Phase.“

Darüber hinaus konnten die Behörden in 49 Prozent der Fälle nicht beweisen, dass sie Maßnahmen befolgten, um ähnliche Vorfälle zu vermeiden.

Beispielsweise infizierten Angreifer den Laptop eines Mitarbeiters mit bösartiger Software, um während seiner Abwesenheit andere Mitarbeiter der Behörde anzugreifen. Das Gerät wurde in Quarantäne versetzt, aber laut der Dokumentation

„konnten bis zur Rückkehr des Mitarbeiters keine weiteren Maßnahmen ergriffen werden“.

Es finden sich auch keine Aufzeichnungen darüber, ob überhaupt etwas nach der Rückkehr des Mitarbeiters unternommen wurde.

Die Erkenntnisse beziehen sich auf Untersuchungen von 24 größeren Behörden. Insgesamt wurden 240 Vorfälle des Jahres 2012 analysiert. Unter anderem wurden die Behörden für Energie, Justiz, Urbane Entwicklung, Verkehr, Kriegsveteranen und die NASA untersucht.

Alle diese sechs untersuchten Behörden halten keine Übungen ab, um Krisenbewältigungsmaßnahmen im Falle einer richtigen Cyber-Attacke zu trainieren. Das Weiße Haus und das Department für Homeland Security führen zwar „CyberStat“-Überprüfungen durch, um die Cybersecurity der gesamten Regierung zu schützen. Allerdings enthalten diese Einschätzungen nichts in Bezug auf Krisenbewältigung.

Diese neueste Untersuchung durch das GAO wurde unter anderem wegen der Zunahme von Cyber-Angriffen durchgeführt. In den Jahren von 2010 bis 2013 verzeichneten die Behörden einen mehr als 35-prozentigen Zuwachs an Vorfällen. Dies bedeutet 46.160 Cyber-Vorfälle allein in letzter Zeit. Darunter finden sich das Eindringen in Datenbanken des Energiepersonals und das Entwenden von persönlichen Daten von 104.179 Nutzern. Auch Edward Snowden kommt in dem Bericht vor.

Nach der Veröffentlichung des Berichts kündigten die meisten der Behörden an, die Empfehlungen zu übernehmen und die Probleme zu beheben.

Artikel von govinfosecurity.com, 02.06.2014: Agencies Seek Better DHS Incident Response Aid
Artikel von nextgov.com, 30.05.2014: GAO: Agencies Can’t Always Prove They Respond to Breaches
Studie: GAO: INFORMATION SECURITY Agencies Need to Improve Cyber Incident Response Practices