US-Ministerien vernachlässigen Datensicherheit

Leichtes Spiel für Identitätsdiebe

Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Gegenüber dem Jahr 2005 haben US-Ministerien im Jahr 2006 ihre Sicherheitsmaßnahmen deutlich gesteigert.
Gegenüber dem Jahr 2005 haben US-Ministerien im Jahr 2006 ihre Sicherheitsmaßnahmen deutlich gesteigert.

Beim Landwirtschaftsministerium landeten vertrauliche Informationen von mehr als 37.000 Personen, die Fördergelder für landwirtschaftliche ProjekteProjekte erhielten, auf einer frei zugänglichen Webseite. Im Verkehrsministerium verschwanden rund 100.000 Stammdaten von Beschäftigten und ehemaligen Mitarbeitern, darunter auch Informationen zum GehaltGehalt und zur Bankverbindung. Alles zu Gehalt auf CIO.de Alles zu Projekte auf CIO.de

Mangelhafte Sicherheitsmaßnahmen

Dem Bericht zufolge wiesen 21 der insgesamt 24 US-Ministerien Schwächen bei der Informationssicherheit auf. Vor allem Computer-Netzwerke sind kaum gegen unautorisierte Zugriffe geschützt, da es an Identitäts- und Zugriffskontrollen mangelt. Auch Schutz-Mechanismen für die Netzwerk-Umgebung waren unzureichend.

Ebenso fehlte eine konsistente Verschlüsselung von sensiblen Daten. Auch Sicherheits-Patches für Server und Arbeitsstationen wurden nur unregelmäßig eingespielt. Zudem hatten 18 Ministerien keine ganzheitlichen Sicherheitsprogramme, bestehend aus Sicherheitsschulungen für die Mitarbeiter und technischen Maßnahmen.

Verbindliche Sicherheitsrichtlinien schaffen

Die Behörde empfiehlt daher, verschiedene Schutzmaßnahmen durchzuführen beziehungsweise einzuführen. Am Anfang steht eine umfassende Identifizierung und Analyse möglicher Risiken, um festzulegen, welche Kontrollen nötig sind.

Des Weiteren sollten Ministerien verbindliche Richtlinien, Standards und Verfahren einführen, um den Zugriff auf Daten und Informationen zu regeln. Oft hätten die Behörden dafür zwar allgemeine Regeln, doch die Vergabe von Zugriffsrechten oder die Konfiguration operativer Systeme muss verbindlich festgelegt werden.

Zur Startseite