Nicht nur Unternehmen, auch Ministerien und staatliche Behörden hantieren mit hochsensiblen personenbezogenen digitalen Daten. Dazu gehören etwa Personalinformationen von Mitarbeitern sowie vertrauliche Daten von steuerpflichtigen Bürgern oder Unternehmen.
Demnach sollte es für die Administration selbstverständlich sein, ihre digitalen Werte effektiv zu schützen und sicherzustellen, dass diese nicht verloren gehen oder in falsche Hände geraten.
Wenn Daten einfach verschwinden
Bei US-Bundesbehörden und -Ministerien jedenfalls ist das nicht selbstverständlich. Dort liegt in punkto Datensicherheit noch vieles im Argen. Seit Januar 2006 wurden zahlreiche Sicherheitsvorfälle gemeldet. So kamen dem für die Betreuung von Kriegsveteranen zuständigen Ministerium mehr als 26 Millionen personenbezogene Daten von Veteranen abhanden. Die Daten waren aus dem Haus eines Ministeriums-Mitarbeiters gestohlen worden.
Bei einem Vertragspartner des US-Rentenversicherers waren vom Laptop eines Mitarbeiters hochsensible Stammdaten von fast 50.000 Versorgungsempfängern entwendet worden. Neben Namen und Telefonnummern beinhalteten diese auch Geburtsdatum und Krankenversicherungsnummern.
Beim Landwirtschaftsministerium landeten vertrauliche Informationen von mehr als 37.000 Personen, die Fördergelder für landwirtschaftliche Projekte erhielten, auf einer frei zugänglichen Webseite. Im Verkehrsministerium verschwanden rund 100.000 Stammdaten von Beschäftigten und ehemaligen Mitarbeitern, darunter auch Informationen zum Gehalt und zur Bankverbindung.
Mangelhafte Sicherheitsmaßnahmen
Dem Bericht zufolge wiesen 21 der insgesamt 24 US-Ministerien Schwächen bei der Informationssicherheit auf. Vor allem Computer-Netzwerke sind kaum gegen unautorisierte Zugriffe geschützt, da es an Identitäts- und Zugriffskontrollen mangelt. Auch Schutz-Mechanismen für die Netzwerk-Umgebung waren unzureichend.
Ebenso fehlte eine konsistente Verschlüsselung von sensiblen Daten. Auch Sicherheits-Patches für Server und Arbeitsstationen wurden nur unregelmäßig eingespielt. Zudem hatten 18 Ministerien keine ganzheitlichen Sicherheitsprogramme, bestehend aus Sicherheitsschulungen für die Mitarbeiter und technischen Maßnahmen.
Verbindliche Sicherheitsrichtlinien schaffen
Die Behörde empfiehlt daher, verschiedene Schutzmaßnahmen durchzuführen beziehungsweise einzuführen. Am Anfang steht eine umfassende Identifizierung und Analyse möglicher Risiken, um festzulegen, welche Kontrollen nötig sind.
Des Weiteren sollten Ministerien verbindliche Richtlinien, Standards und Verfahren einführen, um den Zugriff auf Daten und Informationen zu regeln. Oft hätten die Behörden dafür zwar allgemeine Regeln, doch die Vergabe von Zugriffsrechten oder die Konfiguration operativer Systeme muss verbindlich festgelegt werden.
Um IT-Systeme sicherer zu machen, empfehlen die Experten den Ministerien auch die Erstellung aktueller und umfassender Sicherheitspläne. Ferner sollen Mitarbeiter durch Sicherheitsschulungen für den richtigen Umgang mit vertraulichen Daten sensibilisiert werden. Ebenfalls wichtig sind System-Tests, um sicherzustellen, dass die Sicherheitsmaßnahmen auch tatsächlich greifen.
Tritt der Ernstfall ein, etwa durch Datenverlust oder -diebstahl sowie Identitätsverletzungen, sollte in jedem Fall ein Notfallplan existieren. Dieser kann helfen, nach einem Angriff von außen Daten schnell wiederherzustellen und Systeme rasch wieder hochzufahren.
Es gibt Lichtblicke
Neben harter Kritik, die die Autoren des Sicherheitsberichts an den einzelnen Ministerien der US-Administation üben, sehen sie aber auch durchaus positive Ansätze. Zum Beispiel erhielten im Jahr 2006 immerhin 86 Prozent der Ministeriumsmitarbeiter Sicherheitsschulungen. Das sind vier Prozent mehr als im Vorjahr.
Außerdem führten die Ministerien bei knapp 90 Prozent ihrer IT-Systeme Sicherheits- Tests und -Kontrollen durch. Im Jahr 2005 wurden weniger als drei Viertel der Systeme entsprechend durchleuchtet.
Das US-amerikanische Government Accountability Office (GAO), eine dem Bundesrechnungshof vergleichbare Behörde, wertete Auskünfte aus insgesamt 24 US-Ministerien aus. Der Sicherheitsbericht der Behörde wurde im Juli 2007 unter dem Titel "Information Security. Despite reported progress, Federal Agencies need to address persistent weakness“ veröffentlicht.