2 Punkte von GN⁺ 2025-02-14 | 1 Kommentare | Auf WhatsApp teilen
  • Berichte häufen sich, dass Personal mit Bezug zum neu geschaffenen Department of Government Efficiency (DOGE) Zugang zu sensiblen föderalen Systemen wie dem Finanzministerium, USAID, OPM sowie Medicaid und Medicare hatte, wodurch die zentralen Kontrollmechanismen der US-Regierungssicherheit erschüttert werden
  • Das Problem beschränkt sich nicht auf bloße Einsicht, sondern umfasst Administratorrechte, die Möglichkeit zur Änderung zentraler Programme, Zugriff auf Verschlüsselungsschlüssel, Veränderung von Audit-Logs, Verbindungen zu nicht autorisierten Servern und sogar die Einspeisung sensibler Daten in AI-Software
  • Das föderale Zahlungssystem des Finanzministeriums verarbeitet jährlich rund 5,45 Billionen US-Dollar, und das OPM besitzt detaillierte personenbezogene Daten von Millionen Bundesbediensteten und Inhabern von Sicherheitsfreigaben, was erhebliche Auswirkungen auf die nationale Sicherheit hat
  • Schutzmechanismen gegen Missbrauch wie Funktionstrennung, Audits, Änderungsverfolgung, Incident Response und Mehrfachfreigaben müssten greifen, doch das größte Risiko liegt darin, dass die erfahrenen Beamten, die dafür zuständig waren, ausgeschlossen oder ersetzt wurden
  • Erforderlich sind der Entzug unbefugter Zugriffe, die Wiederherstellung von Authentifizierungsverfahren, die Wiedereinführung von Monitoring und Change-Management sowie Audits bis hin zur möglichen vollständigen Neuaufsetzung der Systeme; je länger der uneingeschränkte Zugriff andauert, desto schwieriger wird die Wiederherstellung

Das Ausmaß der Sicherheitsverletzung durch den DOGE-Zugang

  • Die US-Regierung könnte innerhalb weniger Wochen eine historisch schwerwiegende Sicherheitsverletzung erlitten haben – nicht durch einen ausgefeilten ausländischen Cyberangriff oder Spionageaktivitäten, sondern auf offizielle Anweisung eines Milliardärs, dessen Rolle innerhalb der Regierung unklar ist
  • Berichten zufolge hatten mit DOGE verbundene Kräfte Zugriff auf Computersysteme des Finanzministeriums und befanden sich damit in einer Position, Daten zu föderalen Zahlungen im Umfang von jährlich etwa 5,45 Billionen US-Dollar zu sammeln oder potenziell zu kontrollieren
  • Der Umfang des Zugriffs weitete sich auf mehrere zentrale Behörden aus
    • Bei USAID griffen DOGE-Mitarbeiter ohne Sicherheitsfreigabe auf vertrauliche Daten zu und könnten sie auf eigene Systeme kopiert haben
    • Das OPM verwaltet detaillierte personenbezogene Daten von Millionen Bundesbediensteten und Inhabern von Sicherheitsfreigaben und gilt als betroffenes Ziel
    • Auch Aufzeichnungen von Medicaid und Medicare gelten als kompromittiert
    • Einige Namen von CIA-Mitarbeitern wurden an nicht klassifizierte E-Mail-Konten gesendet, ohne ausreichend geschwärzt zu sein
    • Zudem gibt es Berichte, dass DOGE-Personal Daten des Bildungsministeriums in AI-Software einspeist und inzwischen auch im Energieministerium tätig ist

Warum es nicht reicht, nur den Zugang zum Finanzministerium zu blockieren

  • Am 8. Februar untersagte ein Bundesrichter dem DOGE-Team weiteren Zugriff auf die Systeme des Finanzministeriums
  • Da Daten bereits kopiert oder Software installiert bzw. verändert worden sein könnte, ist unklar, ob das Problem allein durch das Blockieren des Zugriffs gelöst ist
  • Wenn Bundesbedienstete die Protokolle zum Schutz der nationalen Sicherheit nicht einhalten, könnten weitere zentrale Regierungssysteme kompromittiert werden

Warum diese Systeme zum Kern staatlicher Handlungsfähigkeit gehören

  • Die Systeme, auf die DOGE zugegriffen hat, sind keine Randinfrastruktur, sondern gehören zum zentralen Verbindungsgewebe des Regierungsbetriebs
  • Die Systeme des Finanzministeriums enthalten den technischen Bauplan dafür, wie die Bundesregierung Geld bewegt
  • Im OPM-Netzwerk befinden sich Informationen darüber, wen die Regierung beschäftigt und mit welchen Organisationen sie Verträge schließt
  • Der OPM-Hack von 2015 durch die chinesische Regierung war ein gravierendes Sicherheitsversagen der USA und zeigte, dass Personaldaten zur Identifizierung von Geheimdienstmitarbeitern und zur Schädigung der nationalen Sicherheit genutzt werden können

Beispiellos ist nicht nur der Umfang, sondern auch die Vorgehensweise

  • Ausländische Gegner versuchen normalerweise über Jahre hinweg verdeckt in solche Regierungssysteme einzudringen und ihre Spuren zu verwischen
  • Diesmal erhalten externe Akteure mit begrenzter Erfahrung und nahezu ohne Aufsicht unter öffentlicher Beobachtung weitreichende Administratorzugänge und verändern sensible Netzwerke der USA
  • Solche Änderungen können neue Sicherheitslücken schaffen
  • Noch besorgniserregender als der Zugriff selbst ist die systematische Schwächung der Sicherheitsmechanismen, die Missbrauch erkennen und verhindern sollen
    • Standardprotokolle für Incident Response
    • Audits
    • Mechanismen zur Änderungsverfolgung
    • die Entfernung erfahrener Beamter, die für diese Schutzmechanismen zuständig waren, und ihr Ersatz durch unerfahrene Akteure

Das Risiko der missachteten Funktionstrennung

  • Die Computersysteme des Finanzministeriums sind wegen ihrer Auswirkungen auf die nationale Sicherheit nach dem Grundsatz entworfen, dass eine einzelne Person keine unbegrenzten Rechte haben darf – ähnlich wie bei Protokollen zum Nuklearwaffeneinsatz
  • So wie beim Start von Atomraketen zwei Offiziere gleichzeitig ihre Schlüssel drehen müssen, erfordern Änderungen an zentralen Finanzsystemen traditionell die gemeinsame Mitwirkung mehrerer autorisierter Personen
  • Dieses Verfahren folgt dem Sicherheitsprinzip der Funktionstrennung (separation of duties) und ist keine bloß bürokratische Formalität
  • Wie bei der Prüfung großer Banküberweisungen oder der Freigabe wesentlicher Finanzberichte in Unternehmen sind Verfahren, bei denen mehrere Personen in getrennten Rollen prüfen, ein unverzichtbarer Schutz gegen Korruption und Fehler
  • Dass solche Maßnahmen umgangen oder ignoriert wurden, lässt sich damit vergleichen, das Wachpersonal von Fort Knox zu entlassen und Besuche im Tresor ohne Begleitung zu erlauben

Konkret besorgniserregende Rechte und Änderungen

  • Nach Erkenntnissen aus dem Umfeld von Sen. Ron Wyden sollen die Angreifer die Befugnis erhalten haben, zentrale Programme zur Verifizierung föderaler Zahlungen auf Computern des Finanzministeriums zu verändern, auf Verschlüsselungsschlüssel zum Schutz von Finanztransaktionen zuzugreifen und Audit-Logs zu ändern, die Systemänderungen aufzeichnen
  • Beim OPM gibt es Berichte, dass mit DOGE verbundene Kräfte nicht autorisierte Server an das Netzwerk angeschlossen haben
  • Es gibt auch Berichte, dass AI-Software mit sensiblen Daten trainiert wird
  • Bei den neuen Servern sind Funktion und Konfiguration unbekannt, und es gibt keine Hinweise darauf, dass neuer Code strenge Sicherheitstestprotokolle durchlaufen hat
  • Solche AI-Systeme sind für derartige Daten nicht ausreichend sicher und bilden ein ideales Ziel für ausländische oder inländische Gegner, die Zugriff auf Bundesdaten suchen

Langfristige Schwachstellen durch Systemänderungen

  • Der Grund dafür, dass Hardware- oder Softwareänderungen komplexe Planungsprozesse und ausgefeilte Zugriffskontrollmechanismen durchlaufen, liegt in der Bedeutung dieser Systeme
  • Derzeit sind die Systeme deutlich anfälliger für gefährliche Angriffe, während legitime, zum Schutz geschulte Systemadministratoren ausgeschlossen werden
  • Änderungen an zentralen Systemen können nicht nur den aktuellen Betrieb beeinträchtigen, sondern auch Schwachstellen hinterlassen, die bei künftigen Angriffen ausgenutzt werden
  • Gegner wie Russland und China haben solche Systeme seit Langem im Visier und wollen nicht nur Informationen sammeln, sondern auch verstehen, wie sich diese Systeme in Krisensituationen stören lassen
  • Technische Details darüber, wie die Systeme funktionieren, welche Sicherheitsprotokolle sie nutzen und wo ihre Schwachstellen liegen, könnten ohne die üblichen Schutzmechanismen unbekannten Parteien offengelegt worden sein

Die Sicherheitsfolgen lassen sich in drei Bereiche einteilen

  • Systemmanipulation

    • Externe Akteure können den Betrieb verändern und zugleich die Audit-Spuren manipulieren, die diese Änderungen nachvollziehbar machen sollen
  • Datenoffenlegung

    • Über den Zugriff auf personenbezogene Daten und Transaktionsaufzeichnungen hinaus könnten die gesamte Systemarchitektur und Sicherheitskonfigurationen kopiert werden
    • Im Fall des Finanzministeriums umfasst dies den technischen Bauplan der föderalen Zahlungsinfrastruktur der USA
  • Systemkontrolle

    • Durch Änderungen an zentralen Systemen und Authentifizierungsmechanismen können Werkzeuge deaktiviert werden, die genau solche Änderungen erkennen sollen
    • Das ist nicht bloß eine operative Änderung, sondern ein Eingriff in die Infrastruktur selbst, von der der Betrieb abhängt

Erforderliche Sofortmaßnahmen

  • Unbefugte Zugriffe müssen entzogen und angemessene Authentifizierungsprotokolle wiederhergestellt werden
  • Umfassendes System-Monitoring und Change-Management müssen wieder eingeführt werden
  • Da die Bereinigung kompromittierter Systeme schwierig ist, könnte eine vollständige Neuaufsetzung der Systeme notwendig sein
  • Für alle in diesem Zeitraum vorgenommenen Systemänderungen muss ein gründliches Audit durchgeführt werden
  • Anhaltender uneingeschränkter Zugriff erschwert die spätere Wiederherstellung weiter und erhöht das Risiko irreversibler Schäden an kritischen Systemen

1 Kommentare

 
GN⁺ 2025-02-14
Kommentare auf Hacker News
  • Die von ihm geäußerten Bedenken wirken plausibel, insbesondere der Punkt, dass gegnerische Staaten und feindliche Akteure dadurch mehr Möglichkeiten bekommen, Daten zu sammeln und zu verstehen, wie sie die USA stören oder angreifen können.
    Es ist etwas anderes, wenn gewählte Amtsträger etwas Dummes oder Unsicheres tun, als wenn nicht gewählte Personen so etwas ohne jegliche Checks and Balances tun können.
    Nebenbei: Da Beiträge zu diesem Thema offenbar immer wieder geflaggt werden, habe ich diesem Beitrag ein Upvote gegeben; ich respektiere Bruce Schneier und viele seiner Ansichten.

    • Auch gewählte Amtsträger sollten keine dummen oder unsicheren Dinge tun dürfen.
      Ich erinnere mich an einen ziemlich bekannten Fall im Zusammenhang mit einem privaten E-Mail-Server.
      Verglichen mit dem, was gerade passiert, ist das wirklich unverständlich.
    • Sind das Finanzministerium und die meisten Bundesangestellten, die Zugriff auf diese Daten haben, nicht ebenfalls nicht gewählt? Auch sie sind ernannte oder eingestellte Regierungsbeamte und Berufsbeamte.
  • In Schneiers Argumentation könnte ein Fehler stecken: They are also reportedly training AI software on all of this sensitive data.
    Inference auszuführen ist nicht dasselbe wie Training.
    Trotzdem finde ich nicht, dass dieser Beitrag geflaggt werden sollte. Das wirkt gegen die Meinungsfreiheit, und auf HN wurden viele andere Texte von ihm gut aufgenommen; es gibt offensichtlich viele Menschen, die seine Einsichten schätzen. Wenn man widerspricht, sollte man das besser in den Kommentaren tun, statt zu versuchen, den Beitrag verschwinden zu lassen.

    • Die Prämisse des Artikels ist, dass DOGE der Angreifer ist und dass es Aufgabe der Berufsverwaltung der Regierung sei, sie am Zugriff auf die Daten zu hindern. Das ist eindeutig ein parteipolitisches Framing.
      Die Gegenposition lautet, dass sie gerade durch eine Wahl das Mandat bekommen haben, Verschwendung in der Regierung zu prüfen und zu reduzieren, und dass direkter Datenzugriff nötig ist, um ein Principal-Agent-Problem zu verhindern, bei dem Regierungsbürokraten Berichte verzerren, um Budgets und Aktivitäten vor unerwünschter Kontrolle und Aufsicht zu schützen.
      Wenn man es so framed, bittet man die Gegenseite praktisch darum, den Beitrag zu flaggen, selbst wenn es Punkte wie die Aufrechterhaltung von Change Control gibt.
    • Die Artikel lassen es so klingen, als gehe es lediglich um Inference.
      Meine Hypothese ist allerdings, dass ihr Ziel tatsächlich darin besteht, Modelle praktisch auf der Gesamtheit der Outputs der einzelnen Behörden zu trainieren.
      Was die technische Umsetzung angeht, läuft das, was wir gerade sehen, meiner Ansicht nach letztlich darauf hinaus, dass BigBalls und Konsorten große Sprachmodelle fragen, was sie als Nächstes tun sollen. Ich würde Geld darauf wetten, dass das später, falls es Anklagen gibt, ihre Verteidigung sein wird.
  • Schneier sollte nicht geflaggt werden. Seit ein paar Tagen warte ich darauf, dass jemand eine ruhige, geordnete Bewertung der Cybersicherheitsrisiken vorlegt, und dieser Text kommt dem, was wir bekommen können, am nächsten.

  • Man sollte das Prinzip von Chestertons Zaun im Kopf behalten.

    "Chesterton's fence" is the principle that reforms should not be made until the reasoning behind the existing state of affairs is understood.
    https://en.wikipedia.org/wiki/G._K.Chesterton#Chesterton's...

    • Das ist ein solides Prinzip, das wir in unserer täglichen Arbeit nutzen oder nutzen sollten, insbesondere beim Refactoring.
  • Wenn das Land diesen Wahnsinn übersteht, muss die Software von Grund auf neu geschrieben werden. Andernfalls kann niemand wissen, welche in- und ausländischen Akteure Systemwissen besitzen.

    • Selbst wenn man die Software von Grund auf neu schreibt: Kann man der Hardware dann noch vertrauen? Wenn sie bereits kompromittiert ist, ist es sicherer anzunehmen, dass es auf einer tieferen Ebene passiert ist, nämlich bis hinunter zur Firmware.
    • Haben alle plötzlich die Lektionen der Open-Source-Kryptografie vergessen? Nur weil ein System öffentlich bekannt ist, heißt das nicht, dass es verwundbar ist; Security by Obscurity ist überhaupt keine Sicherheit.
  • Unternehmen sind faktisch der inoffizielle vierte Zweig der Regierung. Wenn der Aktienmarkt abstürzt, werden sie im Handumdrehen verschwinden.
    Die Wahlkampfgelder, die an Politiker fließen, und die Geldströme der Lobbyisten würden versiegen, eine Panik würde einsetzen und auch die Führung würde wechseln.
    Ich weiß, dass wegen des Citizens-United-Urteils Gelder unbekannter Herkunft von überallher einfließen und Wahlkampagnen unbegrenzt stützen können, aber das wird nicht ausreichen, um einen Börsenkollaps auszugleichen, der durch den Vertrauensverlust in den US-Dollar und die Märkte ausgelöst wird.

    • Wenn es noch nicht zu spät ist, sollte die Trennung von Unternehmen und Staat in die Verfassung aufgenommen werden.
    • Das ist die richtige Antwort. Trump hat aufgrund der damaligen Wirtschaftslage gewonnen. Der Vorsprung, mit dem Biden 2020 Trump geschlagen hat, war doppelt so groß wie der Vorsprung, mit dem Trump Kamala geschlagen hat. 2022 schnitten die Demokraten besser ab als erwartet, obwohl die Republikaner mit demselben DEI-Unsinn antraten.
      Merkwürdig ist, dass Trump äußerlich schon früh das Handbuch für Diktatoren völlig vermurkst zu befolgen scheint. Es gibt auch heutige Diktatoren, die dieses Handbuch geschrieben haben. Wenn man den Verwaltungsstaat säubern will, muss man die Regierung über mehrere Amtszeiten hinweg beherrschen. Zuerst muss man Wirtschaft oder Lebensqualität so schnell wie möglich wieder auf Kurs bringen, um die oberste Macht für sich selbst oder einen Nachfolger zu festigen. Danach nutzt man über mehrere Amtszeiten hinweg die Macht, die das Volk freiwillig gegeben hat, um Kontrollen der eigenen Macht abzubauen und die Taschen und Köpfe der Unterstützer zu füllen. Danach kann, selbst wenn die Wirtschaft zusammenbricht, der Frosch des Widerstands langsam gekocht werden, sodass einen niemand mehr stürzen kann. Und wenn die Leute dann anfangen, sich zu beschweren, beginnt man, die Opposition so zu gestalten, dass noch der Anschein politischer Freiheit bleibt, auf den man verweisen kann.
      Trump scheint das umgekehrt zu machen. Statt sich auf die Wirtschaft zu konzentrieren, füttert er zuerst seine Unterstützer, was eine vergleichsweise riskantere Strategie ist. Trotzdem ist noch nicht einmal ein Monat vergangen, also bleibt noch Zeit, das Handbuch richtig zu befolgen.
    • Erstens glaube ich nicht, dass das passieren wird. Trump wird den wirtschaftlichen Schaden wahrscheinlich allen anderen zuschieben, insbesondere der Fed, und seine Anhänger werden es schlucken. Zweitens: Selbst wenn er aus dem Amt gedrängt wird, wird der Schaden bereits entstanden sein.
  • Bis Konsequenzen auferlegt werden, wird dieses Verhalten weitergehen
    Hinzu kommt: Diese Konsequenzen müssen legislativer oder rechtlicher Natur sein

    • Warum sollte es Konsequenzen geben? Die Mehrheit der US-Amerikaner, die gewählt haben, wollte, dass das passiert. Man sollte nicht so tun, als wäre das kein absehbares Ergebnis gewesen und als hätten sich die Wähler nur für Eierpreise interessiert
      Durch die Veränderung zentraler Systeme haben die Angreifer nicht nur den laufenden Betrieb kompromittiert, sondern auch Schwachstellen hinterlassen, die für künftige Angriffe ausgenutzt werden können. Damit haben sie Gegnern wie Russland und China eine beispiellose Gelegenheit gegeben. Diese Staaten haben solche Systeme seit Langem im Visier und wollen nicht nur Informationen sammeln, sondern auch verstehen, wie sie diese Systeme in Krisensituationen stören können
      Zum jetzigen Zeitpunkt ist es wirklich schwer, sich vorzustellen, dass dieser ganze Coup kein russisch/chinesischer Angriff auf die westliche Welt ist. Er ist für sie so absurd vorteilhaft, dass es kaum wie Zufall wirkt
    • Ich frage mich, wie das funktionieren soll. Es ist wie ein umgekehrter Ouroboros, bei dem Leute, die die Regierung sind, ständig sagen, sie würden etwas gegen die Regierung unternehmen, ohne zu begreifen, dass sie selbst genau das sind
      Vielleicht sehen sie sich als etwas anderes als die Regierung, aber der Wettbewerb, an dem sie teilgenommen haben, war nun einmal ein Wettbewerb darum, gewählt zu werden, um Regierungsarbeit zu leisten
      Irgendwann wird genug zerstört sein, dass die Werkzeuge für nützliche Regierungsfunktionen nicht mehr als nutzbare Fähigkeiten übrig bleiben
    • Es gibt einen Grund, warum Musk junge Leute geholt hat, um sie zu illegalen Dingen anzustiften: Sie sind unwissend genug, um nicht zu wissen, dass sie in ein paar Jahren im Gefängnis landen könnten
    • Die Trump-Regierung hat bereits gesagt, dass sie Gerichtsentscheidungen verweigern werde
    • „Diese Konsequenzen müssen legislativer oder rechtlicher Natur sein“
      Müssen sie das wirklich?
  • So Gott will, wird der Verwaltungsstaat von rechtmäßig gewählten Amtsträgern, die dazu da sind, ihn zu kontrollieren, in die Knie gezwungen werden

    • Die Republikaner sind selbst der beste Beweis gegen einen großen Staat
  • Verwandter Artikel: „Treasury was warned DOGE access to payments marked an ‘insider threat’“

    The assessment, done by the contractor Booz Allen Hamilton, came before Treasury tapped an ally of Elon Musk to oversee the sensitive payment system.
    https://archive.is/https://www.washingtonpost.com/national-s...
    „A US Treasury Threat Intelligence Analysis Designates DOGE Staff as ‘Insider Threat’“:
    https://www.wired.com/story/treasury-bfs-doge-insider-threat...
    Später wurde dieser Bericht zurückgezogen:
    The government contractor Booz Allen Hamilton on Friday night said it had dismissed a subcontractor who prepared a draft report saying that Elon Musk’s Department of Government Efficiency access to the Treasury’s payment system poses an “unprecedented insider threat risk” and should be suspended immediately.
    https://archive.is/https://www.bloomberg.com/news/articles/2...