Das FBI nennt eine Datenbank wichtiger Schlüsselpersonen aus dem Bereich kritischer Infrastruktur ihr Eigen. Die Datenbank dient dazu, jene Schlüsselpersonen zu vernetzen. Fremde Akteure konnten sie kopieren. Den Schutz kritischer Infrastrukturen im InfraGard-Programm will das FBI nun verbessern.
Cyberkriminellen gelang es, sich dort anzumelden und die Daten von den Mitgliedern zu ergattern – offenbar mehrere zehntausend Menschen sind von dem Datendiebstahl betroffen. In einem Darknet-Forum steht die Datensammlung nun zum Verkauf.
Der Schutz kritischer Infrastrukturen soll von dem InfraGard-Programm gestärkt werden, indem es die Schlüsselfiguren etwa aus Führungspersonal und IT-Verantwortlichen in beteiligten Unternehmen und Einrichtungen vernetzt und besipielsweise Informationen und Schulungen zu Sicherheitsbedrohungen anbietet. Trinkwasser- und Energieversorger, Finanzdienstleister, Transportunternehmen, Organisationen des Gesundheitswesens sowie Kernenergieunternehmen gehören diesem Netzwerk an. Daher versammelt InfraGard das Who-is-Who der privaten kritischen Infrastrukturbeteiligten und behandelt dabei physische wie Cyber-Sicherheit.
Untersuchungen laufen
Brian Krebs gegenüber, der über den Datenabfluss berichtete, äußerte sich das FBI, dass es sich um eine noch nicht abgeschlossene „Situation handelt und wir sind nicht in der Lage, etwaige weiterführende Information zu diesem Zeitpunkt zu liefern“. Die Datenhehler im Darknet hingegen waren Krebs gegenüber auskunftsfreudiger.
Laut des FBI hatten die Hacker Zugriff auf das InfraGard-System erhalten,indem sie sich für ein neues Konto beworben und dazu Namen, Sozialversicherungsnummer, Geburtsdatum sowie andere personenbezogene Details eines Geschäftsleiters eines Unternehmens angaben, der höchst wahrscheinlich eine InfraGard-Mitgliedschaft erhalten würde. Der betreffende CEO, momentaner Leiter eines großen US-Finanzunternehmens, welches unmittelbaren Einfluss auf die Kreditwürdigkeit der meisten US-Amerikaner hat, teilte mit, dass er vom FBI bezüglich der Prüfung einer InfraGard-Bewerbung nicht kontaktiert wurde.
Im November hätten die Angreifer die Bewerbung gesendet und dabei die korrekte Telefonnummer des CEOs, aber eine eigene E-Mail-Adresse angegeben. Rasch folgte die Zugangsbestätigung und verlangte nach einer Mehr-Faktor-Authentifizierung. Jedoch stand hier Telefon oder Mail zur Wahl, sodass sich die Angreifer mit der Mail-Adresse selbstständig freischalten konnten.
Nach Zugang schutzlos
Sich Zugang zu den Daten der InfraGard-Teilnehmer zu verschaffen, war anschließend einfach, erklärten die Akteure gegenüber Krebs. Es handle sich bei InfraGard um ein Art soziales Netzwerk und Knotenpunkt für hochrangige Personen. Sogar ein Diskussionsforum sei enthalten.
Die Schlüsselkomponenten werden durch eine Programmierschnittstelle (API) verknüpft, die den Zugriff auf Nutzerdaten erlaube, offenbar komplett ungeschützt. Alle Nutzerdaten ließen sich mithilfe eines selbst programmierten Python-Skripts über diese API abrufen. Krebs gegenüber hatten die Cyberkriminellen die Echtheit der Daten nachgewiesen, indem sie über das InfraGard-System einen CEO einer anderen Firma kontaktiert hatten; dieser bestätigte die Kontaktaufnahme anschließend.
50.000 US-Dollar verlangten die Datenhehler für die Datenbank. Es handle sich hier um die Verhandlungsbasis. Wenngleich der entstandene Schaden des Daten-Einbruchs bislang überschaubar bleibt, wirft er einen Schatten auf ein Projekt, das die Cyber-Sicherheit verbessern soll. Immer wieder hat sogennantes Scrapen von Zugangsdaten zu derartigen Datenabflüssen geführt haben. Mit frei verfügbaren Tools ist das sogar recht einfach. Dem InfraGard-Programm kann das FBI offensichtlich noch einige Sicherheitsmechanismen spendieren.