Bundesbehörde offenbart Datenverletzung

Ein Mitarbeiter, der für die Department of Government Efficiency arbeitet, hat angeblich vertrauliche Daten der Social Security Administration auf ein persönliches USB-Laufwerk kopiert, wie aus einem neuen Bericht hervorgeht, der die Kontrolle über den Zugang von DOGE zu Bundessystemen intensiviert hat. Die Offenbarung kommt, da mehrere Bundesbehörden Bedenken über den breiten Datenzugriff geäußert haben, der dem DOGE-Personal seit der Gründung der Initiative gewährt wurde.

Der Zwischenfall wurde durch eine interne Überwachungsprüfung gekennzeichnet, die ergab, dass der Mitarbeiter auf Datenbanken zugegriffen hatte, die persönlich identifizierbare Informationen (PII) von Millionen von Amerikanern enthielten. Den Angaben zufolge umfassten die Daten Social Security-Nummern, Zahlungsunterlagen und andere vertrauliche Informationen, die normalerweise einer strikten Zugriffskontrolle in der Bundesregierung unterliegen.

Wie die Verletzung auftrat

Dem Bericht zufolge erhielt der DOGE-Mitarbeiter Administratorzugriff auf SSA-Systeme als Teil des Auftrags der Effizienzinitiative, Bundesausgaben zu prüfen und Verschwendung zu ermitteln. Jedoch scheint der Umfang dieses Zugangs weit über das hinausgegangen zu sein, was für die erklärte Aufgabe der Verringerung des Verwaltungsaufwandes erforderlich war.

Quellen mit Kenntnissen der Angelegenheit deuten darauf hin, dass bei der Beeilen des Zugangs für DOGE-Mitarbeiter zu Agenturdatenbanken Standardprotokolle für Cybersicherheit umgangen wurden. Normalerweise erfordert der Zugriff auf SSA-Unterlagen mehrere Authentifizierungsebenen, agenturspezifische Sicherheitsüberprüfungen und kontinuierliche Überwachung der Datenübertragungen. Mehrere dieser Schutzmaßnahmen wurden dem Bericht nach für DOGE-Personal aufgehoben oder verzichtet.

Die Verwendung eines persönlichen USB-Laufwerks ist für Cybersicherheitsexperten besonders besorgniserregend. Tragbare Speichergeräte gehören sowohl in Regierungs- als auch in Unternehmensumgebungen zu den häufigsten Vektoren für Datenverletzungen, da sie leicht verloren gehen, gestohlen oder zum Übertragen von Daten auf ungesicherte Systeme verwendet werden können.

Reaktion des Kongresses und rechtliche Fragen

Gesetzgeber beider Parteien haben Antworten gefordert. Das Senate Finance Committee kündigte an, dass es Anhörungen zu den Datenzugriffspraktiken von DOGE durchführen würde, wobei leitende Mitglieder den Zwischenfall als potenziellen Verstoß gegen den Privacy Act of 1974 bezeichneten, der regelt, wie Bundesbehörden persönliche Informationen erfassen, aufbewahren und verbreiten.

Rechtsexperten sagen, dass der Mitarbeiter unter dem Computer Fraud and Abuse Act strafrechtlich verfolgt werden könnte, wenn die Datenübertragung unbefugt war oder den Umfang des genehmigten Zugangs überschritt. Der Privacy Act sieht auch sowohl zivil- als auch strafrechtliche Strafen für unrechtmäßige Offenlegung von Unterlagen vor.

Mehrere Datenschutzgruppen haben Freedom of Information Act-Anträge eingereicht, um Details darüber zu erfahren, auf welche Daten DOGE-Mitarbeiter in allen Bundesbehörden zugegriffen haben, nicht nur bei der SSA. Die Electronic Frontier Foundation bezeichnete den Zwischenfall als vorhersehbare Folge der Gewährung breiter Systemzugriffe ohne angemessene Aufsicht.

Breitere Auswirkungen auf die Sicherheit von Regierungsdaten

Die Verletzung hebt einen Konflikt hervor, der seit der Gründung von DOGE besteht: Der Auftrag der Initiative zur schnellen Prüfung von Regierungsvorgängen steht häufig im Widerspruch zu dem bedachtsamen, sicherheitsorientierten Ansatz, den Behörden zum Schutz vertraulicher Daten verwenden. Bundesinformationssysteme wurden aus gutem Grund mit kompartmentalisiertem Zugang konzipiert, und das Umgehen dieser Schutzmaßnahmen führt zu systemischem Risiko.

Cybersicherheitsfachleute haben gewarnt, dass selbst wohlwollende Datenzugriffe Schwachstellen schaffen können. Sobald Daten eine sichere Umgebung auf einem tragbaren Gerät verlassen, wird es fast unmöglich, sie zu verfolgen oder zu schützen. Die fraglichen SSA-Daten könnten für Identitätsdiebstahl, Betrug oder andere böswillige Zwecke verwendet werden, wenn sie in die falschen Hände gelangen.

Die Social Security Administration bedient mehr als 70 Millionen Amerikaner, die monatliche Leistungen erhalten, und ihre Datenbanken gehören zu den vertraulichsten in der Bundesregierung. Eine Beeinträchtigung dieser Daten könnte kaskadierende Auswirkungen auf Finanzsysteme, Gesundheitsdienstleister und andere Institutionen haben, die sich zur Identitätsprüfung auf Social Security-Nummern verlassen.

Was kommt als Nächstes

Der SSA hat Berichten zufolge eine eigene interne Ermittlung neben dem Büro des Inspector General eingeleitet. Die DOGE-Leitung hat sich nicht öffentlich zu den konkreten Vorwürfen geäußert, hat sich jedoch zuvor für ihre Datenzugriffspraktiken verteidigt, da sie notwendig sind, um Milliarden Dollar an Verschwendung und Betrug zu identifizieren.

Der Zwischenfall wird wahrscheinlich laufende Rechtsanforderungen gegen DOGE-Operationen schüren. Mehrere Bundesrichter haben bereits Urteile gefällt, die die Legalität des DOGE-Zugangs zu bestimmten Behördensystemen in Frage stellen, und diese neueste Offenbarung könnte diese Fälle stärken. Derzeit bleiben das USB-Laufwerk und sein Inhalt Gegenstand einer aktiven Bundesuntersuchung.

Dieser Artikel basiert auf Berichten von TechCrunch. Lesen Sie den ursprünglichen Artikel.