CIA-Expert:innen – Menschen wie du und ich
Anfang des Jahres 2017 wurden über WikiLeaks unter dem Schlagwort Vault 7 eine ganze Reihe von hochbrisanten Informationen der CIA der Öffentlichkeit bekanntgemacht. Darunter waren insbesondere viele Angriffs- und Überwachungsprogramme, welche die wirklich sehr guten CIA-Expert:innen für ihre eigenen Einsätze entwickelt haben. Es wurden echte Juwelen der eigenen Arbeit offenbar von einer Person gestohlen, die bei der CIA beschäftigt ist. Etwas, das jedes Unternehmen schwer trifft und natürlich auch bei der CIA zu Untersuchungen Anlass gegeben hat, wie es dazu kommen konnte.
Der Untersuchungsbericht der Taskforce zu diesem Vorfall ist – zumindest in Teilen und geschwärzt – durch einen Brief des US-Senators Ron Wyden an den Koordinator der US-Geheimdienste, John Ratcliffe, öffentlich einsehbar. Sie finden den Brief und insbesondere den Bericht im Anhang auf der Senats-Webseite.¹
Interessant dabei – und ich möchte sagen, sehr menschlich – ist dabei die Zusammenfassung: "Day-to-day security practices had become woefully lax." Die tagtägliche Sicherheitspraxis ist immer lascher geworden – wenn wir ehrlich sind, sehen wir das mehr oder weniger überall und auch in unseren eigenen Organisationen immer wieder. Bei der CIA wurden in der betroffenen Entwicklungsabteilung für hochkritische Anwendungen – also durch Expert:innen, die von Cybersicherheit extrem viel verstehen – beispielsweise Admin-Passwörter mit anderen geteilt, Daten wurden nie gelöscht und es gab kein Notfallkonzept für den Fall eines Datenverlustes. Übrigens ist auch der Datenverlust selbst erst ein Jahr später aufgefallen und wäre vielleicht nie aufgefallen, wenn es nicht bei WikiLeaks publik geworden wäre.
Alle entsprechenden Sicherheitsstandards (nur personalisierte Zugänge und Passwörter, Aufsetzen eines Notfallkonzeptes etc.) gab und gibt es natürlich bei der CIA. Jedoch sorgen immer noch die Menschen für die Sicherheit, und allzu oft werden wir nachlässig. Deshalb ist Sicherheit und auch Informationssicherheit kein einmaliger Prozess, der mit dem Schreiben von Regeln und dem Installieren von Firewalls beendet ist. Von grundlegender Wichtigkeit ist das ständige Bewusstsein von Sicherheitsanforderungen und auch die regelmäßige Übung der Menschen darin. Etwas, das auch der US-Senator mehr als drei Jahre nach dem Vorfall immer noch einfordert.
¹Wyden cybersecurity lapses letter to dni in: United States Senate, [online] https://wyden.senate.gov/imo/media/doc/wyden-cybersecurity-lapses-letter-to-dni.pdf [13.08.2020].