Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Audit: NSA ignoriert grundlegende Sicherheitsregeln

Einem aktuellen Prüfbericht zufolge hat der US-Nachrichtendienst viele der Sicherheitsregeln, die nach den Snowden-Leaks eingeführt wurden, nicht oder nicht vollständig umgesetzt. Die zuständige Aufsichtsbehörde hat fast 700 Empfehlungen ausgesprochen.
/ Jan Weisensee
3 Kommentare News folgen (öffnet im neuen Fenster)
Das NSA-Hauptquartier in Fort Meade ist vielleicht weniger sicher als gedacht. (Bild: NSA)
Das NSA-Hauptquartier in Fort Meade ist vielleicht weniger sicher als gedacht. Bild: NSA / CC0 1.0

Es ist das erste Mal, dass das Office of the Inspector General (OIG), die Aufsichtsbehörde innerhalb der NSA, eine öffentliche Version ihres halbjährlichen Prüfberichts zum Sicherheitszustand des US-Geheimdienstes verbreitet(öffnet im neuen Fenster). In dem Bericht, der Ende Juli erschienen ist und den Zeitraum Oktober 2017 bis März 2018 behandelt, kommt die NSA nicht gut weg.

Dem OIG zufolge bestehen bei der NSA auch fünf Jahre nach den Snowden-Leaks noch gravierende Sicherheitsmängel, die dazu führen könnten, dass als geheim eingestufte Informationen entwendet werden. Auf der Mängelliste stehen unter anderem unvollständige oder fehlerhafte Sicherheitspläne für IT-Systeme, externe Geräte, die sich anschließen lassen, ohne korrekt auf Malware überprüft zu werden, sowie das Fehlen eines Zwei-Personen-Zugriffssystems.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Das Zwei-Personen-Prinzip wurde dem Onlineportal Nextgov zufolge(öffnet im neuen Fenster) vom ehemaligen NSA-Direktor Keith Alexander eingeführt, nachdem es Edward Snowden und anderen gelungen war, große Mengen geheimer Dokumente zu kopieren. Das Prinzip soll sicherstellen, dass der Zugriff auf solche Informationen durch Mitarbeiter oder Vertragsbedienstete stets der Freigabe durch einen weiteren Kollegen bedarf.

Fast 700 "signifikante" Empfehlungen

Diese Empfehlungen des OIG zur Beseitigung der monierten Schwachstellen sind im Bericht als besonders wichtig ("significant outstanding audit recommendations") eingestuft. Insgesamt enthält der nicht öffentliche Prüfbericht 699 Empfehlungen, von denen 534 (76 Prozent) in der Umsetzung überfällig seien.

Die Mehrheit der jetzt veröffentlichten Mängel scheint sich jedoch eher auf Formalitäten und prozedurale Schwächen, als auf technische Schwachstellen zu beziehen. So fanden die Prüfer des OIG zumindest teilweise fehlende Dokumentationen für jedes überprüfte System. Zudem habe die NSA die Vorgaben des US-Gesetzes über die Modernisierung der Informationssicherheit nicht umgesetzt.

Welche zusätzlichen Informationen der als geheim eingestufte, vollständige Prüfbericht enthält, ist unklar. Dem öffentlichen Text zufolge sei dieser gegenüber der geheimen Fassung "umformuliert oder Informationen wurden redigiert". Gut möglich also, dass die Prüfung noch weitergehende Schwächen aufgedeckt hat.

Zur Startseite 3 Kommentare

Relevante Themen

PolitikSecurityCybercrimeDatensicherheitGeheimdiensteMalware