Die Behörden als Sicherheitsproblem
Im US-Kongress wird die NSA kritisiert, weil sie ihr neues "Informationssystem" zur Überwachung des Internets nach 18 Monaten noch nicht im Griff hat. Viele Laptops der US-Finanzbehörde IRS sind noch immer unverschlüsselt unterwegs, 500 Geräte mit internen Daten kamen seit 2003 abhanden.
In Deutschland wird die Debatte über die praktisch im Wochenabstand geforderten bzw. angekündigten neuen Befugnisse zur elektronischen Überwachung zwecks Erhöhung der inneren Sicherheit immer heftiger geführt.
Vom deutschen Satelliten-Mautsystem bis zu Computer-Schadsoftware made in Germany [Trojaner] soll alles Mögliche aus der IT-Welt zu Überwachungszwecken umfunktioniert werden.
Fingerprint-Scanner in Deutschland
Zeitgleich wurde bekannt, dass im deutschen Bundeskriminalamt Handel mit Informationen nach außen betrieben wurde, gegen den Hauptlieferanten der Fingerprint-Scanner für die neuen "ePässe" des Innenministeriums laufen Ermittlungen der Hamburger Staatsanwaltschaft wegen Beamtenbestechung im Ausland.
Die Diskrepanz zwischen den behördlichen Forderungen nach noch mehr Überwachungstechnik, Befugnissen und Datensätzen einerseits, und der Fähigkeit der Behörden andererseits, in der Praxis mit Daten und Erkenntnissen sinnhaft und verantwortlich umzugehen, zeigt sich nicht nur in Deutschland.
"Turbulence" für die NSA
In den USA ist der Supergeheimdienst NSA [National Security Agency] bei einem Hearing des US-Kongresses mit heftiger Kritik bedacht worden. Das NSA-Programm mit dem Codenamen "Turbulence", ein Millarden-Dollar-System zur Filterung des Internets nach terrorverdächtigen Kommunikationsmustern, macht seinem Namen alle Ehre.
18 Monate nach dem Launch ist das nach dem Muster der 10-Gigabit-Überwachung bei AT&T hochgezogene System in Turbulenzen, wie die Baltimore Sun aufgedeckt hat.
Datensätze ablegen
Die ungeheuren Mengen an Datensätzen, die an den NOCs [Network Operating Center] von AT&T und anderen routinemäßig abgezogen werden, zu verwalten, zu durchforsten und ordnungsgemäß abzulegen, erweist sich offenbar als nicht trivial.
Die Datensätze dann einer sinnhaften Verwendung zuzuführen - zum Beispiel dem detaiilierten Briefing von Zivilisten, wie etwa US-Ministern - verbieten vielfach NSA-interne Sicherheitsvorschriften.
Es handle sich dabei um dieselben Management-Defizite, wie sie bei der NSA mindestens seit Ende des Kalten Kriegs zu beobachten seien, hieß es vom zuständigen Parlamentsausschuss dazu.
Beschränkte Fortschritte
Am Mittwoch vor Ostern hatte der US-Rechnungshof [Government Accountability Office; GAO] der Finanzbehörde Internal Revenue Service [IRS] nur sehr beschränkte Fortschritte beim Schließen schwerwiegender Lücken im Bereich "Informationssischerheit" attestiert.
Zwei Drittel aller vor geraumer Zeit identifizierten Sicherheitsprobleme bestünden weiterhin, heißt es in dem GAO-Bericht. Wenn man liest, in welch trivialen Bereichen die Sicherheit verbessert wurde - besserer Passwortschutz für Server - ist zu erahnen, wie die tief die Probleme sitzen.
Verschwundene Laptops
Ein ebenfalls in der vergangenen Woche öffentlich gewordener Bericht des Treasury Inspector General hält fest, dass das IRS die Daten der Steuerzahler "nicht adäquat" sichere.
Seit Anfang 2003 sind an die 500 Laptops von IRS-Beamten verschwunden oder wurden gestohlen, in viele Fällen gab es keinen Bericht an das Sicherheitsbüro des IRS.
Von 100 aktuell getesteten Laptops fehlte es 44 Prozent an der vorgeschriebenen Verschlüsselung, obwohl sensible Daten von Steuerzahlern darauf enthalten waren. Das berichteten "USA Today" und andere US-Medien.
US-Finanzministerium, SWIFT
Beim IRS wiederum handelt es sich nicht um so genannte "Finanzler", sondern um eine ziemlich große Behörde, die immer schon einen eigenen Geheimdienst unterhalten hat.
Sie untersteht dem US-Finanzministerium und ist in dem Massentransfer von SWIFT-Finanzdaten - also auch den europäischen - als zuständige Behörde vom Administrativen her federführend.
Aus dem Treasury Departement ergehen nämlich die Einstweiligen Verfügungen gegen die US-Niederlassung der internationalen Bankenabrechnungszentrale SWIFT, nach welchen Kriterien welche Mengen an Datensätzen aus den 11 Millionen Banktransfers täglich auszuwählen sind.
"Horrend lange"
Der Editor der NewsBites, John Pescatore vom renommierten SANS Institute, schrieb anläßlich der IRS-Probleme dazu am Samstag: Das eigentliche Thema sei, dass Behörden ab dem Zeitpunkt der Entdeckung eines Sicherheitsproblems "horrend lange" brauchten, es abzustellen.
Das Problem sei üblicherweise gerade nicht, dass keine Verbesserungsversuche gestartet würden, die Behörden würden bloß nie damit fertig werden.
(futurezone | Erich Moechel)