Was zunächst mit einem Fingerzeig auf chinesische Hacker begann, endete damit, dass offensichtliche katastrophale Datenschutzmaßnahmen bei der FDIC, der Staatlichen Gesellschaft für die Versicherung von Geldeinlagen in den USA, aufgedeckt wurden.

Laut einem Bericht der internen US-Kommission für Wissenschaft, Weltraum und Technologie, haben sich höchstwahrscheinlich chinesische Hacker zwischen 2010 und 2013 mehrmals in die Computer der FDIC eingehackt und dabei Hintertüren auf 12 Computerarbeitsplätzen und 10 Servern eingerichtet. Betroffen waren auch die Computer mehrerer hochrangiger Mitarbeiter der FDIC. Doch das scheint in diesem Fall zur Nebensache geworden zu sein. Denn der Bericht offenbarte, dass diese und andere Vorfälle in voller Absicht nie an das US-Amerikanische Computer Emergency Response Team (US-CERT) oder anderen Behörden gemeldet wurden. Dies brachte die FDIC dann in Erklärungsnot. Schließlich offenbarten die schwerwiegenden Datenpannen dann noch weit mehr als die zunächst offensichtlichen Sicherheitslücken.

Bemängelt wurde insbesondere, dass die FDIC sich nicht an die eigenen internen Richtlinien zum Umgang mit Datenverletzungsvorfällen gehalten hatte. Neben den Sicherheitsvorfällen mit den vermeintlichen chinesischen Hackern gab es noch verschiedene andere Vorfälle, bei denen sensible Daten auf externe Speichermedien heruntergeladen wurden von Mitarbeitern der FDIC. Weitere Untersuchungen darüber führten zu dem Schluss, dass der ehemalige FDIC CIO Russ Pittman, die Prüfer zudem über das Ausmaß dieser Verletzungen in die Irre geführt hatte und seinen Mitarbeitern es auch untersagt hätte, über die Datenvorfälle zu sprechen. Grund hierfür war die seinerzeitige bevorstehende Nominierung des neuen FDIC Vorsitzenden Martin Gruenberg, dessen Nominierungschancen damit nicht negativ beeinflusst werden sollten. Doch dem noch nicht genug.

Die Untersuchung des sogenannten Florida Vorfalls ergab dann, dass ein Mitarbeiter der ISPS, die ähnlich einer IT-Abteilung funktioniert, am 23. Oktober 2015 im Data Loss Prevention-System einen schwerwiegenden Sicherheitsverstoß gegen sensible Daten der FDIC entdeckte. Mehr als 1.200 Dokumente, einschließlich Sozialversicherungsnummern und Bankdaten von mehr als 44.000 Personen und von über 30.700 Banken wurden von einem ehemaligen Mitarbeiter der FDIC in einer Außenstelle des Unternehmens in Florida auf einem USB-Laufwerk kopiert.

Der Mitarbeiter hatte die Dateien kopiert bevor er die FDIC verlassen hatte. Obwohl Versuche unternommen wurden die Daten vom Mitarbeiter zurückzubekommen, vergingen tatsächlich noch fünf Monate, bis die entwendeten Daten letztendlich im März 2016 sichergestellt werden konnten. Der ehemalige Mitarbeiter bestätigt in einer eidesstattlichen Erklärung, dass er die heruntergeladenen Informationen nicht verbreitet hätte. Der Vorfall blieb sogar ohne weitere Konsequenzen für den Mitarbeiter. Erstaunlicherweise sprach der mittlerweile im Amt bestätigte FDIC Vorsitzende Gruenberg dann in einem Schreiben davon, dass lediglich etwa 10.000 Personen und Einrichtungen von dem Datenleck betroffen waren und dass der ehemalige Mitarbeiter sehr kooperativ gewesen wäre.

Dagegen widersprach der Generalinspekteur des FDIC. Eine Überprüfung dieses Verstoßes und die Prüfung der FDIC-Sicherheitsprozesse ergaben eindeutig, dass die tatsächliche Zahl viel höher war und dass es andere Verstöße gegeben hatte, die nicht ordnungsgemäß gemeldet wurden. Entdeckt wurde eine ähnliche Verletzung im September, als ein etwas verärgerter Mitarbeiter der New Yorker Niederlassung der FDIC die Sozialversicherungsnummern von rund 30.000 Personen auf ein USB-Laufwerk heruntergeladen hätte. Auch dieser Verstoß wurde von einem weiteren FDIC CIO, Lawrence Gross, kleingeredet.

Trotz der Einstufung als „große“ Datenschutzverletzung wurde der Vorfall in lediglich in einem jährlichen Bericht des Bundes für Information Security Management Act (FISMA) erwähnt. Im Mai berichtete die FDIC dann über fünf weitere große Sicherheitsvorfälle, bei denen nun persönliche Daten von insgesamt über 160.000 Personen betroffen waren. Die Betroffenen erhielten erst Beistand durch ein Angebot zur Bereitstellung von Kredit-Monitoring-Diensten, als es zu einer Anhörung im Kongress gekommen war.

Der Bericht wirft Gross außerdem vor, ein unangenehmes Arbeitsklima im FDIC IT-Team zu fördern und sich zudem gegen alle Bemühungen zu stellen, die Sicherheitsmaßnahmen in der FDIC zu verbessern. Dies zeigt sich auch darin, dass fast die Hälfte der FDIC-Mitarbeiter tragbare Speichermedien verwenden dürfen. Darunter USB-Sticks oder portable Festplatten. Laut Gross würden die unterschriebenen Vertraulichkeitserklärungen der Mitarbeiter völlig ausreichen, um ein Datenmissbrauch zu verhindern. Erstaunlicherweise ist Gross auch die treibende Kraft hinter dem Vorhaben, 3.000 Laptops für FDIC Mitarbeiter anzuschaffen. Er argumentiert, dass Laptops sicherer seien als Desktops.

Der Untersuchungsbericht wirft der FDIC ein ernsthaftes Vergehen vor beim „gezielten Umgehen“ von Sicherheitsrichtlinien und bescheinigt ihr gleichzeitig eine „langjährige Historie des Transparenzmangels“ im Zusammenhang mit Cybervorfällen. „Die FDIC hat dem Kongress vorsätzlich die Aufsicht entzogen – das ist eine schwere Straftat“, kommentierte der Vorsitzende des Ausschusses Lamar Smith. In einer E-Mail verlangte er „Wesentliche Verbesserungen der FDIC-Cybersicherheits-Mechanismen einzuleiten“. Darüber hinaus hat die FCIC es nach all diesen Vorgängen immer noch nicht für nötig gehalten, den Mitarbeitern die Verwendung von USB-Sticks und anderen tragbaren Speichergeräten zu untersagen.

CIO Grünberg muss sich vor dem Ausschuss zu Cybersicherheitsfragen derzeit noch verantworten. Von den Chinesen ist erst einmal keine Rede mehr.

Artikel von arstechnica.com, 13.07.2016: FDIC was hacked by China, and CIO covered it up
Artikel von computerworld.com, 13.07.2016: Chinese hackers blamed for multiple breaches at U.S. banking agency