77634

US Secret Service patzt bei IT-Sicherheit

27.10.2005 | 13:51 Uhr |

Generalinspekteur bemängelt den Schutz sensibler Informationsbestände über laufende Operationen.

Der US-amerikanische Secret Service vernachlässigt den Schutz online verfügbarer Daten. Der Generalinspekteur des Heimatschutzministeriums bemängelt zudem die IT-Sicherheit des Secret Service.

Ministerien und andere wichtige Regierungsbehörden werden seit 2001 regelmäßig einer Überprüfung der getroffenen Schutzmaßnahmen für ihre IT-Infrastruktur unterzogen. Dabei fallen viele Behörden durch teils eklatante Mängel auf ( wir berichteten ), darunter auch das Heimatschutzministerium.

Richard L. Skinner, der Generalinspekteur des Heimatschutzministeriums, stellt in seinem aktuellen Bericht über die IT-Sicherheit des US Secret Service einige Schwachstellen heraus, an deren Beseitigung der Dienst noch arbeiten muss. Der Secret Service ist vor allem für den Schutz des amerikanischen Präsidenten verantwortlich, beteiligt sich jedoch auch an der Bekämpfung von Online-Kriminalität.

Skinner bemängelt zum Beispiel den Schutz des "SSWeb"-Systems, einem System auf Basis von Datenbanken, das praktisch das Intranet des Secret Service darstellt. Es fehlten etwa immer noch wirksame Mechanismen zur Benutzerverwaltung und ein eingeführter Plan zum Konfigurationsmanagement. Die Zugriffskontrollen auf einen exemplarisch untersuchten SSWeb-Datenbank-Server wiesen Schwachstellen auf. So seien auf einigen neu eingeführten Systemen die vom Hersteller voreingestellten Passwörter nicht geändert worden.

Auch das Weitverkehrsnetz (WAN) des Secret Service, in das etliche lokale Netze münden, wurde untersucht und für unzureichend geschützt befunden. Hier wurde unter anderem bemängelt, dass es keinen Plan für regelmäßige eigene Sicherheitstests und zur Überwachung von Netzwerkaktivitäten gebe. Bei insgesamt 73 exemplarisch getesteten Geräten (Server, Arbeitsplatzrechner, Switches und andere) wurden 96 schwerwiegende und 112 weniger kritische Schwachpunkte gefunden.

Die festgestellten Mängel könnten Unbefugten den Zugriff auf sensible Informationen über laufende Ermittlungen ermöglichen. Sie könnten Daten einsehen, manipulieren oder löschen. Möglicherweise sei der Secret Service im Ernstfall nicht in der Lage seine Datenbanken vollständig wieder herzustellen.

Die Führung des Secret Service stimmte den Ergebnissen der Überprüfung im Wesentlichen zu und beeilte sich zu versichern, dass man ständig an der weiteren Verbesserung der IT-Sicherheit arbeite. Zensierte Fassungen der Berichte des Generalinspekteurs über SSWeb und das WAN sind als PDF-Dateien auf der Website des Heimatschutzministeriums abrufbar.

0 Kommentare zu diesem Artikel
77634