Schlechte Passwörter und zu selten aktualisierte Software sind bei 48.000 Cyber-Angriffen, die dem Department of Homeland Security (DHS) berichtet wurden, immer wieder ein Grund für den Erfolg der Kriminellen. Darunter ein Datendiebstahl von einem der schwächsten Sicherheitssysteme der Nation und ein Vorfall, bei dem Hacker eine Falschmeldung über einen Zombie-Angriff verbreitet haben, die dann mehrere amerikanische TV-Stationen meldeten.
In dem Bericht mit dem Titel The Federal Government’s Track Record on Cybersecurity and Critical Infrastructure heißt es, dass Eindringlinge Daten von den schlechtesten Sicherheitssystemen geklaut haben. Hierzu gehören auch solche, die sogar das Leben der Amerikaner bedrohen könnten, wenn sie nicht mehr funktionieren. „Die vertraulichen Cyber-Sicherheits-Pläne für nukleare Anlagen werden nicht ausreichend geschützt. Die Blueprints der Technologie, die den New York Stock Exchange untermauern, wurden von Hackern offengelegt.“
Laut Mashable beruht der Bericht auf Informationen aus mehr als 40 vorangegangenen Untersuchungen durch den Generalinspektor. Zudem heißt es, dass schlechte Passwörter ein wiederkehrendes Thema in dem 17-seitigen Bericht sind – offenbar ist „password“ noch immer ein sehr beliebtes Passwort unter Regierungsmitarbeitern.
Ein Angriff auf ein nationales System für Notfalldurchsagen führte dazu, dass TV-Stationen in Michigan, Montana und North Dakota eine falsche Warnung über einen Zombie-Angriff sendeten: „Die Zivilbehörden Ihrer Gegend berichten, dass Tote aus ihrem Grab auferstanden sind und nun die Lebenden angreifen. Nähern Sie sich den Untoten nicht und versuchen Sie auch nicht, sie aufzuhalten. Sie werden als extrem gefährlich eingestuft.“
Die Schuldigen für derartige Sicherheitslücken werden in dem Bericht klar identifiziert: „Große Fehler“ der Regierungsmitarbeiter in Form von überholter Software, die den Zugang zu sicherheitsrelevanten Seiten regelt und schlechten Passwörtern, die Server schützen, auf denen wichtige Informationen gespeichert sind. So wird in dem Bericht ein Vorfall erwähnt, bei dem zehn Passwörter aufgeschrieben und auf dem Schreibtisch im Büro des Chief Information Officers der US Immigrations- und Zollbehörde liegen gelassen wurden.
Aber auch die DHS eigene pro-Security-Seite „Build Security in“ – ins Leben gerufen, um Entwickler zu ermuntern in jeder Phase der Softwareentwicklung schon Sicherheitsmaßnahmen einzubauen – beinhaltet dem Bericht nach bekannte Schwachstellen. Der Vorsitzende des Gremiums, der republikanische Senator Tom Coburn, erklärte der Washington Post: „Nicht mal die einfachsten Dinge werden umgesetzt.“ So führte ein generelles Misstrauen der Mitarbeiter der Nuclear Regulatory Commission dazu, dass sie Computer-Netzwerke ohne das Wissen der IT-Abteilung kauften und anwendeten.
In dem Bericht wird festgehalten, dass viele Angriffe das Ergebnis von nicht aktualisierter (Antiviren-) Software sind: „Während Cybereinbrüche in geschützte Systeme meistens von erfahrenen Hackern durchgeführt werden, nutzen sie oft banale Schwächen aus; vor allem überholte Software“. Es mag eine lästige und langweilige Arbeit sein, die neuesten Versionen von Software-Patches oder Programm-Updates zu installieren, aber genau hier liegen die Angriffspunkte für Spione, Hacker und andere böse Buben. „Vergangenen Juli haben Hacker eine solche bekannte und eigentlich leicht zu behebende Schwachstelle genutzt, um private Informationen über mehr als 100.000 Leute vom Energieministerium abzugreifen. Der Generalinspektor des Ministeriums hat für diesen Diebstahl zum Teil die Software verantwortlich gemacht, die innerhalb von zwei Jahren nicht einmal aktualisiert worden war, obwohl das Ministerium die nötigen Updates gekauft hatte.“
„Durch die Schwachstellen innerhalb der Cybersicherheit der amerikanischen Bundesregierung sind das Stromnetz, der Finanzmarkt, Notfallsysteme und persönliche Informationen über die Bürger gefährdet“, erklärte Senator Coburn in einer Pressemitteilung. „Politiker neigen dazu, durch neue Anordnungen, gewaltige Programm und Millionen an Ausgaben die Cybersicherheit verbessern zu wollen. Dabei gibt es viel grundlegendere – und sinnvollere – Maßnahmen, die unsere Infrastruktur und die privaten Informationen der Bürger schützen könnten – sie werden nur einfach nicht umgesetzt.“