Schlechte Datensicherheit beim FBI
Ein Bericht des US-Rechnungshofs wirft der Bundespolizei FBI grobe Schlampereien bei der Konfiguration interner Computernetze vor.
Ein im April erschienener und jetzt veröffentlichter Bericht des Government Accountability Office [GAO], eines unabhängigen Rechnungshofs, der dem US-Kongress beigeordnet ist, wirft der US-amerikanischen Bundespolizei FBI schwere Mängel in der Konfiguration des internen Polizeinetzwerks vor.
Das FBI verfügt über geschlossene Computernetzwerke, in denen Informationen über alle Aspekte der Polizeiarbeit ausgetauscht werden. Das GAO fand bei seiner Überprüfung heraus, dass die internen Datensicherheitsprogramme des FBI lückenhaft und ungenügend sind.
Ungepatchte Maschinen
Der Rechnungshof stellte bei seinen Untersuchungen fest, dass die Geräte im FBI-Netzwerk nicht durchgehend so konfiguriert waren, dass unbewilligter Datenzugriff von Insidern hätte verhindert werden können.
An manchen Stellen habe das FBI versäumt, Zugangsprüfungen einzurichten und die Zugriffsberechtigungen nach Sicherheitsniveau der User zu staffeln. Damit hätten User auf Daten zugreifen können, die sie eigentlich nicht hätten sehen dürfen.
Weiterhin habe die Bundespolizei es versäumt, starke Verschlüsselungstechniken einzusetzen, um ihre Daten zu schützen. Auch Software-Patches für Server und Workstations hätten die FBI-Admins viel zu langsam eingearbeitet, wodurch bekannte Sicherheitslücken in den Systemen länger offen geblieben seien als nötig.
Keine Überwachung der Überwachung
Ein ganz wesentlicher Kritikpunkt des Berichts behandelt eine Schwäche, die in Zeiten ungehinderten behördlichen Datensammelns leider virulent geworden ist: das interne Loggen und Beobachten der eigenen Zugriffe auf sensible Daten.
Der Bericht schließt daraus: "Zusammengenommen setzen diese Schwächen die sensiblen Informationen im Netzwerk einem erhöhten Risiko aus, von unautorisierten Personen nach außen gegeben oder verändert zu werden."
Der Rechnungshof empfiehlt der Leitung des FBI, das eigene IT-Sicherheitsprogramm mit der notwendigen Konsequenz umzusetzen.
Erst Anfang März war herausgekommen, dass das FBI den nach den Anschlägen vom 11. September erlassenen "Patriot Act" unrechtmäßig dazu genutzt hat, um an Informationen zu gelangen, die eigentlich dem Datenschutz unterliegen sollten. Auch die vom US-Justizministerium geführten Statistiken über Terrorismus sind fehlerhaft.