CIA hat eigene IT-Sicherheit vernachlässigt
Das als “Vault 7” bekanntgewordene Datenleck beim US-Auslandsgeheimdienst CIA war nur möglich, weil die CIA ihre eigenen Systeme nicht ausreichend abgesichert hatte. Die Entwicklung neuer Hacking-Werkzeuge sei als wichtiger erachtet worden, als die Sicherheit der eigenen IT-Infrastruktur. Zu diesem Schluss kommt ein interner Untersuchungsbericht, der nun – teilweise geschwärzt – von US-Senator Ron Wyden veröffentlicht wurde.
Wyden hatte den Bericht vom US-Justizministerium erhalten. Er war bereits im Oktober 2017 für den damaligen CIA-Direktor Mike Pompeo verfasst worden. Wyden forderte den Direktor der US-Nachrichtendienste im Kabinett, John Ratcliffe, nun dazu auf, zu erklären, wie die IT-Sicherheit der Geheimdienste in Zukunft erhöht werden soll.
Die Enthüllungsplattform Wikileaks hatte ab März 2017 interne CIA-Dokumente unter dem Namen “Vault 7” veröffentlicht. Diese beschreiben unter anderem, wie sich Räume mithilfe von Smart-Fernsehgeräten überwachen lassen sowie Angriffe gegen verschiedene Betriebssysteme. Teil der Enthüllungen waren auch Werkzeuge, die seit 2011 für Angriffe gegen Computersysteme von Regierungen in Afrika, Asien, Europa und dem Nahen Osten eingesetzt wurden.
Datenleck hätte unentdeckt bleiben können
Laut dem Untersuchungsbericht der internen “Wikileaks Task Force” hatte die CIA das Datenleck erst ein Jahr nach dem Einbruch entdeckt – durch die Wikileaks-Veröffentlichung. Hätte stattdessen ein anderer Staat die Daten gestohlen und nicht veröffentlicht, wäre das Leck womöglich bis heute unbemerkt geblieben, heißt es weiter. Die betroffenen CIA-Systeme hatten nicht überwacht, wann welcher Nutzer darauf zugreift. So hätte der Diebstahl erkannt und verhindert werden können. Der Bericht ordnet “Vault 7” als größten “Datenverlust” in der Gesichte der CIA ein.
Abgesehen von mangelnden Sicherheitsvorkehrungen habe die CIA es auch versäumt, einen Sicherheitsbeauftragten zu benennen. Somit hat niemand für die nötige Sicherheit gesorgt und es konnte niemand zur Verantwortung gezogen werden.
Nutzer mit Administrator-Passwörtern
Die Liste der Versäumnisse geht weiter: Normale Nutzer hätten Administrator-Passwörter genutzt, der Einsatz von USB-Sticks sei nicht effektiv kontrolliert worden und historische Daten seien unbefristet zugänglich gewesen. Über Jahre habe das “Center for Cyber Intelligence” sich nur darauf konzentriert, neue Angriffswerkzeuge zu erschaffen und die eigene Sicherheit dabei außer Acht gelassen.
Selbst das genaue Ausmaß des Datenlecks ist unbekannt: Laut Untersuchungsbericht hatte eine CIA-Mitarbeiterin oder ein CIA-Mitarbeiter im Jahr 2016 mindestens 180 Gigabyte Daten kopiert. Möglich sei aber, dass insgesamt bis zu 34 Terabyte entwendet wurden.
Die Daten stammten aus einer internen Wiki-Software, sowie aus einer Software zur Quelltext-Verwaltung. Laut dem Untersuchungsbericht könnte der Geheimdienst dabei noch Glück gehabt haben: Denn die finalen Versionen der Hacking-Werkzeuge aus dem sogenannten “Gold-Ordner” seien besser gesichert und nie entwendet worden.
CIA war zu langsam
Insgesamt habe die CIA zu lange gebraucht, nötige Sicherheitsvorkehrungen zu implementieren, heißt es in dem Bericht. Dabei sei man durch Datenlecks bei anderen Behörden gewarnt gewesen.
Nach der Veröffentlichung durch Wikileaks wurde Mitte 2018 ein früherer CIA-Angestellter festgenommen und für “Vault 7” verantwortlich gemacht. Der ehemalige Mitarbeiter hatte sich vor Gericht nicht schuldig bekannt. Bei dem Prozess im März 2020 in New York wurde der Angeklagte dann auch nicht wegen des Datendiebstahls verurteilt. Der Untersuchungsbericht wurde in dem Prozess als Beweismittel verwendet. Noch in diesem Jahr soll in einem weiteren Prozess nochmals gegen ihn verhandelt werden. (js)