Ein Wachhund der US-Regierung hat mehr als ein Gigabyte scheinbar sensibler personenbezogener Daten aus den Cloud-Systemen des US-Innenministeriums gestohlen. Die gute Nachricht: Die Daten waren gefälscht und Teil einer Reihe von Tests, mit denen überprüft werden sollte, ob die Cloud-Infrastruktur des Ministeriums sicher ist.
Das Experiment ist ausführlich beschrieben in ein neuer Bericht des Büros des Generalinspektors des Innenministeriums (OIG), letzte Woche veröffentlicht.
Ziel des Berichts war es, die Sicherheit der Cloud-Infrastruktur des Innenministeriums sowie seiner „Lösung zur Verhinderung von Datenverlust“ zu testen, einer Software, die die sensibelsten Daten des Innenministeriums vor böswilligen Hackern schützen soll. Die Tests seien zwischen März 2022 und Juni 2023 durchgeführt worden, schrieb das OIG in dem Bericht.
Das Innenministerium verwaltet das Bundesland, die Nationalparks und ein Budget von Milliarden Dollar und hostet eine beträchtliche Datenmenge in der Cloud.
Um zu testen, ob die Cloud-Infrastruktur des Innenministeriums sicher war, nutzte das OIG dem Bericht zufolge ein Online-Tool namens Mockaroo um gefälschte personenbezogene Daten zu erstellen, die „für die Sicherheitstools des Ministeriums als gültig erscheinen würden“.
Das OIG-Team nutzte dann eine virtuelle Maschine in der Cloud-Umgebung des Ministeriums, um „einen hochentwickelten Bedrohungsakteur“ innerhalb seines Netzwerks zu imitieren, und nutzte anschließend „bekannte und umfassend dokumentierte Techniken zur Datenexfiltration“.
„Wir haben die virtuelle Maschine unverändert verwendet und keine Tools, Software oder Malware installiert, die es einfacher machen würden, Daten aus dem betroffenen System zu extrahieren“, heißt es in dem Bericht.
Das OIG sagte, es habe in einer Woche mehr als 100 Tests durchgeführt und dabei die „Computerprotokolle und Vorfallverfolgungssysteme des Regierungsministeriums in Echtzeit“ überwacht, und keiner seiner Tests sei von den Cybersicherheitsmaßnahmen des Ministeriums entdeckt oder verhindert worden.
„Unsere Tests waren erfolgreich, weil das Ministerium es versäumt hat, Sicherheitsmaßnahmen zu implementieren, die bekannte und weit verbreitete Techniken, die von böswilligen Akteuren zum Diebstahl sensibler Daten eingesetzt werden, entweder verhindern oder erkennen können“, heißt es im Bericht des OIG. „In den Jahren, in denen das System in einer Cloud gehostet wurde, hat das Ministerium nie regelmäßig erforderliche Tests der Systemkontrollen zum Schutz sensibler Daten vor unbefugtem Zugriff durchgeführt.“
Das ist die schlechte Nachricht: Die Schwächen in den Systemen und Praktiken des Ministeriums „machen empfindlich [personal information] für Zehntausende Bundesangestellte, denen der unbefugte Zugriff droht“, heißt es in dem Bericht. Das OIG räumte auch ein, dass es möglicherweise unmöglich sei, „einen gut ausgestatteten Angreifer“ am Einbruch zu hindern, aber mit einigen Verbesserungen könnte es möglich sein, diesen Angreifer daran zu hindern, die sensiblen Daten herauszufiltern.
Dieser Test „Datenverstoß“ wurde in einer kontrollierten Umgebung des OIG durchgeführt und nicht von einer hochentwickelten staatlichen Hackergruppe aus China oder Russland. Dies gibt dem Innenministerium die Möglichkeit, seine Systeme und Verteidigungsmaßnahmen zu verbessern und dabei einer Reihe von Empfehlungen im Bericht zu folgen.
Letztes Jahr baute das OIG des Innenministeriums eine individuelle Anlage zum Knacken von Passwörtern im Wert von 15.000 US-Dollar, um die Passwörter von Tausenden Mitarbeitern des Innenministeriums einem Stresstest zu unterziehen.