2 Punkte von GN⁺ 2025-04-24 | 1 Kommentare | Auf WhatsApp teilen
  • Die Krise um eine mögliche Unterbrechung der CVE-Datenbank zeigt, dass das föderale Cybersicherheitsgefüge der USA allein durch Budget-, Personal- und Organisationsentscheidungen ins Wanken geraten kann
  • Wenn CVE, seit 25 Jahren der gemeinsame Referenzpunkt für Sicherheitslücken, ins Wanken gerät, müssen Verteidiger Zeit darauf verwenden zu klären, ob sie über dieselbe Schwachstelle sprechen, während Angreifer diese Verwirrung ausnutzen können
  • CISA sollte mehr als ein Drittel seiner Belegschaft verlieren, und MITREs CVE-Vertrag wurde zwar kurz vor Ablauf verlängert, läuft aber im März 2026 erneut aus
  • Die Entlassung der Leiter von NSA und US Cyber Command, die faktische Auflösung des CSRB, der Abbruch der Salt-Typhoon-Untersuchung, die Verlagerung der Vorsorge auf Bundesstaaten und Kommunen sowie Kürzungen bei Bundeszuschüssen schwächen die föderale Verteidigungsfähigkeit
  • Hinzu kommt DOGEs Zugriff auf sensible föderale Systeme; die selbst verursachte Schwächung der US-Sicherheit könnte auch das Technologie-Ökosystem außerhalb der USA betreffen

CVE-Unterbrechungskrise und Chaos im Schwachstellenmanagement

  • Die Datenbank Common Vulnerabilities and Exposures, kurz CVE, ist seit 25 Jahren die zentrale Liste, in der praktisch alle Sicherheitslücken erfasst werden
  • Die frühere CISA-Direktorin Jen Easterly beschreibt CVE als globalen Katalog, der Security-Teams, Softwareanbieter, Forscher und Regierungen Schwachstellen in einem gemeinsamen Referenzsystem organisieren und diskutieren lässt
  • Ohne CVE würden Organisationen unterschiedliche Listen verwenden oder ganz ohne Listen reagieren; der Aufwand nähme zu, erst einmal zu klären, ob man über dasselbe Problem spricht, und Angreifer könnten diese Verwirrung ausnutzen
  • CISA, das CVE beaufsichtigt, sollte mehr als ein Drittel seiner Mitarbeiter verlieren; Beschäftigte wurden informiert, dass sie bis Montag Mitternacht entscheiden sollten, ob sie weiterarbeiten oder kündigen
  • MITREs CVE-Vertrag wurde kurz vor Ablauf verlängert, soll aber im März 2026 erneut auslaufen

Schrumpfung von CISA und föderalen Cyber-Organisationen

  • Der Personalabbau bei CISA und die Vertragsunsicherheit hängen direkt mit der Frage der CVE-Kontinuität zusammen
  • Früher wäre die Verlängerung des CVE-Vertrags nahezu selbstverständlich gewesen, doch ob es eine nächste Verlängerung geben wird, bleibt ungewiss
  • Wenn eine gemeinsame Grundlage wie CVE ins Wanken gerät, wird es schwieriger, die Reaktion auf Schwachstellen über die technische Sicherheit insgesamt hinweg zu koordinieren

Entlassung hochrangiger Cybersicherheitsverantwortlicher und Auflösung von Beratungsgremien

  • General Timothy D. Haugh, Leiter der NSA und des US Cyber Command, wurde Anfang April entlassen
    • Er galt als wichtige Figur bei der Verteidigung der nationalen Cyber-Infrastruktur, unter anderem bei der Reaktion auf russische Einmischung nach der Wahl 2016
    • Als Hintergrund der Entlassung wird genannt, dass Laura Loomer, eine rechtsextreme Verschwörungstheoretikerin und Trump-nahe Person, ihn nicht mochte
  • Das Cyber Safety Review Board, kurz CSRB, war von der Biden-Regierung geschaffen worden, um größere Cybervorfälle zu untersuchen
    • Mit dem Ausscheiden aller Mitglieder wurde es faktisch aufgelöst
    • Untersuchungen wichtiger Cyberangriffe wie des chinesischen Hacks „Salt Typhoon“ wurden eingestellt
  • Der Salt-Typhoon-Angriff zielte auch auf Trump und Vizepräsident JD Vance, dennoch wird kritisiert, dass die Regierung dem Vorgang keine große Bedeutung beimisst

Vorsorge auf Ebene von Bundesstaaten und Kommunen und weniger Unterstützung durch den Bund

  • Trumps Executive Order Achieving Efficiency Through State and Local Preparedness erklärt, dass Vorsorgekapazitäten am effektivsten auf Ebene von Bundesstaaten, Kommunen und Einzelpersonen besessen und verwaltet würden und die Bundesregierung sie dabei unterstütze
  • Die Anordnung schließt Cyberangriffe, Waldbrände, Hurrikane und Weltraumwetter als Gegenstände lokaler Entscheidungen und Investitionen ein
  • Da Cyberangriffe nicht auf einen bestimmten Bundesstaat beschränkt bleiben, gibt es Kritik daran, dass eine Struktur unrealistisch sei, in der 50 Bundesstaaten jeweils einzeln staatlich unterstützten Hackerteams entgegentreten
  • Trump kürzte zu Beginn seiner Amtszeit auch die Mittel eines Bundeszuschussprogramms speziell für Cybersicherheit
  • Für Regierungen der Bundesstaaten könnte es schwierig sein, genügend Sicherheitsexperten auf Spitzenniveau einzustellen

DOGEs Zugriff auf sensible Systeme und Datenrisiken

  • Elon Musks Department of Government Efficiency, kurz DOGE, erhielt Zugriff auf sensible föderale Systeme
  • Zu den betroffenen Systemen gehörten das Zahlungssystem des Treasury Department und das Social Security System
  • Es gibt die Sorge, dass die entsprechenden Daten irgendwohin kopiert wurden und für Personen zugänglich wurden, die weder das Recht hatten, sie einzusehen, noch sie zu nutzen
  • Die Kritik lautet, dass nicht nur die äußere Cyberabwehr geschwächt wurde, sondern auch Daten offengelegt wurden, die als Grundlage für groß angelegte Sicherheitsangriffe auf einzelne Bürger dienen könnten
  • Ein Fall, bei dem bei einem Versicherer Social-Security-Informationen von 1,6 Millionen Menschen gestohlen wurden, erscheint in diesem Kontext im Vergleich klein

Auswirkungen, die über die USA hinausreichen können

  • Da die USA in der Technologiesicherheit lange eine führende Rolle gespielt haben, bleibt die Schwächung der föderalen Cyberabwehr kein rein inneramerikanisches Problem
  • Den größten Schaden werden die USA erleiden, doch auch die ganze Welt könnte die Folgen zu spüren bekommen

1 Kommentare

 
GN⁺ 2025-04-24
Meinungen auf Hacker News
  • Wie genau soll das den US-Bürgern helfen?

    • Mitre und CVE einzustellen, läuft den Interessen der USA sowohl im öffentlichen als auch im privaten Sektor zuwider.
      Aus Kostensicht kann man darüber streiten. Man könnte zum Beispiel fragen, ob die CVE-Datenbank 50 Millionen Dollar pro Jahr wert war, insbesondere angesichts des Rückstands.
      Man kann auch annehmen, dass private oder halbprivate Ersatzdienste entstehen und sich durch Konkurrenz mehrerer Anbieter verbessern würden. Wie Libertäre könnte man argumentieren, dass alle Dienste, die kein Monopol auf Zwangsgewalt erfordern, privat erbracht werden sollten.
      Aber das ist kein gutes Argument. 50 Millionen Dollar klingen nach viel, und vielleicht gibt es Einsparpotenzial. Trotzdem würde ich lieber eine echte Betriebsanalyse sehen, statt das Programm einfach zu beenden.
      Das zweite Argument ist noch schlechter. NIST und NOAA sind Beispiele für Behörden mit hohem Nutzen im Verhältnis zu den Kosten, und ein gewinnorientiertes NIST oder eine gewinnorientierte NOAA ergibt wenig Sinn. Trotzdem lohnt es sich grundsätzlich, die Vor- und Nachteile öffentlich finanzierter Dienste gegenüber privaten Versionen abzuwägen. Selbst schlechte Argumente sind besser als gar keine, aber die aktuelle Regierung liefert nicht einmal solche Argumente.
    • Es hilft nicht. Es ist eine Nebenwirkung des Mangels an Humankapital der populistischen Rechten.
      Es gibt viele Verschwörungstheorien, dass dies zur Unterdrückung von Rechten genutzt werden soll, und am Ende könnte es auch so kommen. Aber das wäre eher eine nachträgliche Reaktion auf die Folgen ungeschickten Handelns.
      Die gängige Vorstellung in der Trump-Regierung ist derzeit, dass solche Cybersecurity-Programme Geldverschwendung sind und der Privatsektor auf magische Weise auftauchen und uns retten wird.
      Jetzt werden alle die hohen Kosten niedrigen Humankapitals zu spüren bekommen.
    • Gehst du etwa davon aus, dass die aktuelle Führung tatsächlich daran interessiert ist, US-Bürgern zu helfen?
    • Ich sehe darin den Versuch, Russland ganz offen zu signalisieren, dass es keine direkte Bedrohung mehr ist. Ein vergeblicher Versuch, im kommenden Weltkrieg einen Zweifrontenkrieg zu vermeiden.
      Leider wird Putin wahrscheinlich weiter bis zur Fulda Gap in Deutschland vorrücken. Wenn wir dann noch in der NATO sind, bleibt uns nichts anderes übrig, als den Krieg zu erklären.
    • Sie scheinen zu glauben, damit den Staatshaushalt zu schonen. Es wirkt weniger wie etwas Finsteres, sondern eher so, als würden sie nur auf Zahlen in Regierungstabellen schauen.
      Die Trump-Regierung sieht, dass Geld für Projekte ausgegeben wird, die unabhängig von ihrem inneren Wert auch Menschen außerhalb der USA nützen, und nimmt dann einfach an, dass US-Geld für andere Länder ausgegeben wird.
      Sie sind weder klug genug noch gut genug informiert, und sie haben auch wenig Interesse daran, zu lernen oder auf klügere Menschen zu hören. Wenn sie einen Haushaltsposten sehen, den sie nicht verstehen, halten sie ihn für streichbar.
      Dahinter scheint die Annahme zu stehen: Wenn es wirklich wichtig ist, wird schon jemand ein Geschäft daraus machen.
  • Signal-Chats sind im Vergleich dazu, die Regierung für Datenlecks und ausländische Einflussnahme weit zu öffnen, nur ein Nebenschauplatz.
    https://www.newsweek.com/doge-whistleblower-stalked-threaten...

    • Meine konservativen Familienmitglieder schauen nur Fox News, OAN und Twitchy, eine konservative Meme-Seite, die wirkt, als hätte Fox News versucht, noch dümmer zu werden.
      Sie bekommen solche Dinge nicht mit. Es gibt keine ordentliche Berichterstattung. Meine Mutter kannte weder den Umfang der Zölle noch den DJT-Kryptobetrug. Signal habe ich ihr auch mehrfach erklärt, aber komplexe Dinge versteht sie wirklich nicht.
      Meine Mutter sagt zwar: „Ich weiß, dass Trump ein unhöflicher Mensch ist“, will aber, ich zitiere, „Amerika für Amerikaner“, China in seine Schranken weisen und die Grenze sichern.
      Als ich meinen Vater fragte: „Warum glaubst du, sind die USA so mächtig und einflussreich? Weil sie in die Welt investieren und Studierende in die USA holen. Wir sind nicht ohne Grund das Zentrum der Welt“, antwortete er nur: „Wir sind das Zentrum der Welt.“
      Unser Land ist voller Menschen, die nicht abstrakt denken können und nach Lügen süchtig sind.
  • Der Haushalt ist nicht der Kern der Sache, sondern eine Ablenkung. Die zivile Cybersecurity-Infrastruktur zu zerschlagen ist eine Methode, die Öffentlichkeit Einflussoperationen und anderen Schäden auszusetzen, damit später mehr Lösungen nach Art eines „starken Führers“ nötig werden [0,1].
    Erst nachdem man die „Cyberabwehr“ zerstört hat, kann man eine Krise ausrufen und verkünden: „Cybersecurity ist tot, lang lebe die neue Cybersecurity.“
    Und das wird ganz sicher keine Sicherheit für dich sein.
    [0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
    [1] https://cybershow.uk/blog/posts/usw/

  • Der Artikel ist etwas dünn. Dass das CVE-Budget beinahe gestrichen worden wäre, ist sicher tragisch, aber er behandelt weder, dass beim NLRB Daten abgezogen und alle aus ihren Konten ausgesperrt wurden, noch geht er mehr als kurz auf Kürzungen bei bundesstaatlichen Cybersecurity-Zuschüssen und beim CISA-Budget ein.
    Es gibt noch viel mehr Munition, um zu zeigen, wie unfähig die Trump-Regierung und Musks DOGE-Team tatsächlich sind.

    • https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
      Der Beitrag beschreibt ziemlich detailliert Hinweise darauf, dass DOGE-Mitarbeiter absichtlich versuchten, ihre Aktivitäten im Azure-Konto des NLRB zu verbergen. Das ist sicher gut für staatliche Transparenz.
      Laut Berulis’ Enthüllung begann jemand mit einer russischen IP-Adresse nur wenige Minuten nach DOGEs Zugriff auf die NLRB-Systeme mit Login-Versuchen. Die Versuche erfolgten „nahezu in Echtzeit“.
      Die Login-Versuche wurden blockiert, waren aber besonders beunruhigend: Die Person, die sich einloggen wollte, nutzte eines der neu erstellten DOGE-Konten und kannte offenbar den korrekten Benutzernamen und das Passwort.
    • Sie sind bei ihrem eigentlichen Ziel durchaus kompetent. Das Ziel ist nicht, Amerika wieder groß zu machen, sondern es in Stücke zu schlagen, damit extrem Reiche alles, einschließlich Land, zu Spottpreisen aufkaufen können.
    • Man sollte auch nicht vergessen, dass Chris Krebs, der die Wahlsicherheit verteidigt hat, zur Zielscheibe gemacht wurde.
    • Das war kein Artikel, sondern eine Meinungskolumne.
  • Möglicherweise brauchen wir eine Datenbank wie CVE, die nicht von der US-Regierung abhängig ist. Das ist eine Schwachstelle der IT-Welt selbst.

    • Die US-Regierung hat diese Art von Aufgabe bisher ziemlich gut übernommen. Sie ist im Großen und Ganzen vertrauenswürdig, kann es sich leisten, etwas Geld auszugeben, um ein sehr profitables internationales Exportgut zu schützen, und sie kann Plattformbetreiber zur Verantwortung ziehen, wenn diese aus Marketinggründen Probleme verbergen oder absichtlich vernebeln.
      Wenn man die CVE-Geschichte der letzten zehn Jahre kennt: Wen könnte man ernsthaft vorschlagen? Soll man das an Cisco oder Oracle auslagern?
    • Die CVE-Seite arbeitet daran, ihre Finanzierungsquellen zu diversifizieren.
      https://www.thecvefoundation.org/
  • Verrückter Gedanke: Wie wäre es, CVE auf mehrere Länder zu verteilen, damit keine einzelne Organisation die Befugnis hat, es abzuschaffen?
    Selbst wenn die USA nicht kooperieren, ist es doch eine öffentliche Datenbank, oder? Was hindert UN, EU, Großbritannien, Australien usw. daran, sie zu kopieren und ein gemeinsames CVE aufzubauen?

  • Trump wird zum zweiten Mal überrascht feststellen, dass „alles Computer sind“.

  • Das ist Sabotage – wer hat das getan?

  • „Das Washington Monument syndrome, auch Mount Rushmore syndrome oder firemen first principle genannt, bezeichnet das Phänomen, dass US-Regierungsbehörden bei drohenden Budgetkürzungen die sichtbarsten oder am höchsten geschätzten staatlichen Dienstleistungen kürzen.“
    https://en.wikipedia.org/wiki/Washington_Monument_syndrome

    • Ich bin mir nicht sicher, ob das in diesem Fall passt. Abgesehen vom HN-Publikum: Wie sehr interessiert sich die breite Öffentlichkeit für Cybersicherheit, oder wie gut versteht sie sie?