Eine Sicherheitsbehörde leakt versehentlich wichtige Passwörter. Für die Behörde ist der Vorfall besonders peinlich, weil ihre Aufgabe darin besteht, das zivile Bundesnetzwerk zu sichern und allen anderen zu erklären, wie sie ihre eigene Sicherheit gewährleisten sollen.
Um welche Behörde geht es? Die CISA (Cybersecurity and Infrastructure Security Agency) ist eine US-amerikanische Bundesbehörde für Cybersicherheit und Infrastrukturschutz. Die Behörde kümmert sich nicht nur um interne Anliegen, sondern unterstützt auch Firmen und Organisationen bei Datenschutz und ähnlichen Themen.
In Deutschland ist die CISA am ehesten mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik, vergleichbar, welches ähnliche Ziele in Bezug auf Cyber-Sicherheit hat.
Ärgerlich ist, dass genau diese US-Behörde, die sich so um Sicherheit bemüht, jetzt wohl ihre wichtigen Passwörter geleakt hat.
Forscher findet Unmengen von Anmeldedaten unverschlüsselt in einer Tabellenkalkulation
Was ist das für ein Leak? Guillaume Valadon, ein Sicherheitsforscher bei GitGuardian, fand Unmengen von Anmeldedaten im Klartext in Tabellenkalkulationen, die ein Mitarbeiter eines CISA-Auftragnehmers in einem GitHub-Repository öffentlich zugänglich hinterlassen hatte.
Nachdem er sich an die Behörde gewendet hatte und sich dort niemand gemeldet hatte, wendete sich Valadon an den Sicherheits-Journalisten Brian Krebs. Dieser veröffentlichte einen Artikel auf seinem Blog über den Passwort-Leak.
Dabei handelte es sich teilweise um funktionierende Passwörter, wie der Forscher nach einem Test feststellen musste. Das Problem daran war, dass es sich bei den Daten um teilweise sensible Zugänge gehandelt haben soll, mit denen man Zugriff auf Sicherheitssysteme des Department of Homeland Security gehabt hätte (auf Deutsch: Ministerium für Innere Sicherheit).
Auf Nachfrage von TechCrunch erklärte ein CISA-Sprecher, die Behörde sei „sich der gemeldeten Sicherheitslücke bewusst und untersuche die Situation weiterhin“, und es gebe keine Anzeichen dafür, dass sensible Daten infolge dieses Vorfalls kompromittiert worden seien. Weiter wollte sich die Behörde dazu aber nicht äußern. Ob weitere Personen Zugriff auf die Daten gehabt haben, ist ebenfalls nicht bekannt.
Ein anderes Beispiel zeigt ebenfalls, dass man Sicherheitsbehörden durchaus auf dem falschen Fuß erwischen kann. Passiert ist das übrigens einer Behörde in Japan. Die Organisation, die Japans Cyberabwehr koordiniert, wurde selbst Opfer eines Hackerangriffs und das über einen Zeitraum von neun Monaten, ohne dass es bemerkt wurde: Japan gründete eine Behörde für Cyber-Sicherheit – Stellte 9 Monate später fest, dass sie gehackt worden war
Deine Meinung ist uns wichtig!
Gefällt dir der Artikel? Hast du irgendwelche Kommentare? Sag uns, was du denkst!
Bitte lies unsere Kommentarregeln, bevor du kommentierst.