DOGE als staatlicher Cyberangriff

 (schneier.com)
2 Punkte von GN⁺ 2025-02-14 | 1 Kommentare | Auf WhatsApp teilen

DOGE als staatlicher Cyberangriff

  • In den vergangenen Wochen hat die US-Regierung eine der gravierendsten Sicherheitsverletzungen ihrer Geschichte erlebt. Verursacht wurde sie nicht durch einen komplexen Cyberangriff oder ausländische Spionage, sondern durch offizielle Anweisungen eines Milliardärs, dessen Rolle in der Regierung unklar ist.

  • Personen mit Bezug zur neu geschaffenen Abteilung für Regierungseffizienz (DOGE) haben Zugriff auf Computersysteme des US-Finanzministeriums erhalten und damit die Fähigkeit, Daten zu Bundeszahlungen im Umfang von rund 5,45 Billionen US-Dollar pro Jahr zu sammeln und zu kontrollieren.

  • Nicht autorisierte DOGE-Mitarbeiter könnten auf vertrauliche Daten der US-Behörde für internationale Entwicklung zugegriffen und diese kopiert haben; auch Unterlagen des Office of Personnel Management (OPM) sowie Medicare- und Medicaid-Daten wurden kompromittiert.

  • Die Namen von CIA-Mitarbeitern wurden in teilweise geschwärzter Form an inoffizielle E-Mail-Konten gesendet, und DOGE-Personal hat Daten des Bildungsministeriums in KI-Software eingegeben und auch im Energieministerium mit der Arbeit begonnen.

  • Am 8. Februar untersagte ein Bundesrichter dem DOGE-Team den weiteren Zugriff auf Systeme des Finanzministeriums, doch da Daten möglicherweise bereits kopiert und Software installiert oder verändert wurde, ist unklar, wie der Schaden behoben werden kann.

  • Die Systeme, auf die DOGE zugegriffen hat, sind Kernelemente der staatlichen Infrastruktur, und die Systeme des Finanzministeriums enthalten den technischen Bauplan für die Geldflüsse der Bundesregierung.

  • Der Vorfall ist beispiellos, weil externe Akteure mit begrenzter Erfahrung und minimaler Aufsicht offen agieren, dabei Administratorzugriff auf höchster Ebene auf die sensibelsten Netzwerke der USA erhalten und Änderungen vornehmen.

  • Am besorgniserregendsten ist nicht nur die Gewährung von Zugriffsrechten, sondern der systematische Abbau von Sicherheitsmaßnahmen. Dazu gehören die Entfernung standardisierter Incident-Response-Protokolle sowie Audit- und Change-Tracking-Mechanismen und deren Ersatz durch unerfahrene Akteure.

  • Die Computersysteme des Finanzministeriums wurden nach denselben Prinzipien wie Protokolle zum Start von Atomwaffen entworfen, damit keine einzelne Person unbegrenzte Befugnisse hat. Dieses Sicherheitsprinzip der "Aufgabentrennung" ist eine unverzichtbare Schutzmaßnahme gegen Korruption und Fehler.

  • Mit DOGE verbundene Personen haben die Befugnis erhalten, Kernprogramme der Computer des Finanzministeriums zu verändern, auf verschlüsselte Schlüssel zuzugreifen und Audit-Logs zu manipulieren, die Systemänderungen aufzeichnen.

  • Änderungen an diesen Systemen beeinträchtigen nicht nur den laufenden Betrieb, sondern hinterlassen auch Schwachstellen, die bei künftigen Angriffen ausgenutzt werden könnten.

  • Drei zentrale Sicherheitsbereiche sind bedroht: Systemmanipulation, Offenlegung von Daten und Systemkontrolle.

  • Um diese Schwachstellen zu beheben, muss unautorisierter Zugriff widerrufen und ordnungsgemäße Authentifizierungsprotokolle wiederhergestellt werden; außerdem müssen umfassende Systemüberwachung und Change-Management wieder aufgenommen werden.

  • Dies ist keine politische Frage, sondern eine Frage der nationalen Sicherheit, da ausländische Nachrichtendienste das Chaos und die neue Instabilität ausnutzen könnten, um US-Daten zu stehlen und Backdoors zu installieren.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-02-14
Hacker-News-Kommentare
  • Die Sorge ist berechtigt, dass feindliche Akteure oder gegnerische Staaten Daten sammeln und die Möglichkeit erhalten, zu verstehen, wie man den Staat angreifen kann
    • Es gibt einen Unterschied zwischen gewählten Amtsträgern, die dumme oder unsichere Dinge tun, und nicht gewählten Personen, die dies ohne jede Kontrolle tun können
    • Ich respektiere Bruce Schneiers Meinung und empfehle diesen Beitrag, um zu verhindern, dass alle Beiträge zu diesem Thema geflaggt werden
  • Schneiers Argumentation könnte Fehler enthalten
    • Es gibt Berichte, dass „sie KI-Software mit diesen sensiblen Daten trainieren“
    • Inferenz auszuführen ist nicht dasselbe wie Training
    • Dieser Beitrag sollte nicht geflaggt werden; das widerspricht der freien Meinungsäußerung
    • Viele auf HN schätzen seine Einsichten
    • Es ist besser, Gegenmeinungen in Kommentaren zu äußern, als zu versuchen, sie verschwinden zu lassen
  • Wenn der Staat dieses Chaos übersteht, sollte die Software von Grund auf neu geschrieben werden
    • Andernfalls weiß man nicht, welche ausländischen oder inländischen Akteure Kenntnisse über die Systeme haben
  • Schneier sollte nicht geflaggt werden
    • Ich habe tagelang auf eine ruhige und umfassende Bewertung der Cybersicherheitsrisiken gewartet
    • Das ist die nächstliegende Bewertung, die wir bekommen können
  • Man sollte das Prinzip von Chestertons Zaun berücksichtigen
    • „Chestertons Zaun“ ist das Prinzip, dass Reformen nicht durchgeführt werden sollten, bevor man den Grund für den bestehenden Zustand verstanden hat
  • Das Handeln wird weitergehen, bis Konsequenzen verhängt werden
    • Diese Konsequenzen müssen gesetzgeberischer oder rechtlicher Natur sein
  • So Gott will, wird der Verwaltungsstaat von den gewählten Amtsträgern in die Knie gezwungen werden, die ihn kontrollieren sollen
  • Unternehmen sind die inoffizielle vierte Gewalt der Regierung
    • Wenn der Aktienmarkt einbricht, werden sie verschwinden
    • Der Strom an Wahlkampfspenden und Lobbyisten-Geldern für Politiker wird versiegen
    • Panik wird zu Führungswechseln führen
    • Citizens United ermöglicht es Dark Money von überall her, Wahlkämpfe unbegrenzt zu finanzieren, aber das reicht nicht aus, um einen Aktienmarkteinbruch auszugleichen, der durch mangelndes Vertrauen in den US-Dollar und die Märkte verursacht wird
  • Verwandter Artikel: „Treasury warned DOGE access was labeled an ‘insider threat’“
    • Die von Booz Allen Hamilton durchgeführte Bewertung erfolgte, bevor ein Verbündeter von Elon Musk zum Aufseher über sensible Zahlungssysteme ernannt wurde
  • Der Regierungsauftragnehmer Booz Allen Hamilton erklärte, er habe den Subunternehmer entlassen, der am Freitagabend den Bericht erstellt hatte
    • Es handelte sich um einen Entwurfsbericht, der argumentierte, dass der Zugang von Elon Musks Department of Government Efficiency zu den Zahlungssystemen des Finanzministeriums ein „beispielloses Insider-Bedrohungsrisiko“ schaffe und sofort gestoppt werden müsse