MÜNCHEN (COMPUTERWOCHE) - Ein US-Berufungsgericht hat entschieden, dass das amerikanische Innenministerium zumindest vorerst nicht gezwungen ist, Tausenden seiner Rechner den Zugang zum Internet zu kappen. Betroffen gewesen wären alle diejenigen Systeme, die Daten über Treuhandkonten von indianischen US-Bürgern speichern.
Der US-Distriktrichter Royce Lamberth hatte in der US-amerikanischen Bundeshauptstadt Washington am vergangenen Donnerstag angeordnet, dass alle Rechner des Innenministeriums, auf denen Treuhandkontendaten von indianischstämmigen Bürgern lagern, aus Sicherheitsgründen zu sperren seien. Lamberth hatte seine Entscheidung in einer 205 Seiten langen Urteilsbegründung dargelegt.
Danach hatten unter anderem Tests ergeben, dass für einen halbwegs gewitzten Hacker die Systeme des Innenministeriums offen wie Scheunentore sind. Lamberth hatte bereits im Jahr 2001 die Abtrennung der Systeme verlangt. Seinerzeit monierte der Richter, dass ein vom Gericht bestellter Experte festgestellt hatte, auf den Rechnern seien weder Firewalls implementiert worden, noch verfüge das Ministerium über Fachleute, die solche Firewall-Systeme überhaupt einrichten können.
In der Begründung seines Urteils vom vergangenen Donnerstag, dessen Vollstreckung einen Tag später durch die Entscheidung des übergeordneten Appellationsgerichts aufgeschoben wurde, hat Richter Lamberth weitere Sicherheitslücken der ministerialen Rechner aufgeführt. Ein für einen Sicherheitstest beauftragter externer Experte hatte sich Zugang zu Rechner verschafft, auf denen Informationen zu den indianischen Treuhandkonten lagern. Die Testperson war in der Lage, sich im Zuge seines Sicherheitschecks mit Administratorrechten auf wenigstens zwei Servern des Innenministeriums zu bewegen, schreibt der Nachrichtendienst "Cnet".
Zudem hatten Spezialisten auf so genannten War-Drives allein 700 drahtlose Netze (WLAN = Wireless Local Aera Networks) des Innenministeriums ausfindig gemacht. Und dies, obwohl die Behörde selbst behauptet, überhaupt keine WLAN-befähigten Notebooks oder -Adapterkarten zu benutzen. Bei War-Drives fahren Netzexperten mit einer handelsüblichen Ausrüstung - also etwa WLAN-fähigen Notebooks - durch die Stadt und versuchen Drahtlosnetze zu finden, die offen für jedermann sind. Diese kann man - weil sie vor dem Einbruch durch Unbefugte in keiner Weise abgeschirmt sind - als Internet-Trittbrettfahrer auf Kosten der WLAN-Betreiber nutzen. Außerdem kann man sich auf diese Weise auch Zugang zu den firmeninternen Netzen verschaffen.
Genau solch einen Test hatten Sicherheitsexperten auch für das Innenministerium abgehalten. Sie platzierten dazu einen Lieferwagen auf dem Parkplatz der Behörde und peilten im Innern zwei Stunden lang WLANs an, die vom Ministerium betrieben werden. In der ganzen Zeit wurden die Testhacker kein einziges Mal überprüft.
Die Bush-Administration hatte die Gerichtsentscheidung von Richter Lamberth in einem Eilgesuch hinterfragt. Sie argumentierte, das Ministerium wäre erheblich in seiner Funktionalität eingeschränkt, sollte sich das Appellationsgericht der Entscheidung Lamberths anschließen. Betroffen wären unter anderem die Auftragsvergaben, Beschaffungsmaßnahmen, die Personalrekrutierung sowie allgemein der Zugang zu öffentlich verfügbaren Datenbanken. Insgesamt wären, sollte Richter Lamberths Verdikt rechtskräftig werden, über 6.000 Computer überall in den Vereinigten Staaten betroffen. Hinzukäme eine nicht genau bezifferbare Zahl von Systemen, die zumindest indirekt Zugang zu den Treuhandkonteninformationen hätten. Dieser Sicht hat sich das Berufungsgericht offenbar angeschlossen.
Der jetzigen juristischen Auseinandersetzung liegt eine Sammelklage zugrunde, die bereits vor zehn Jahren in die Wege geleitet wurde. In diesem anderen Verfahren haben indianische Bürger die US-Regierung verklagt. Diese habe die Ureinwohner bezüglich der Zahlung von Lizenzgebühren für die Gewinnung von Öl, Gas und Holz in den Reservaten der Indianer seit 1887 betrogen.
Ein wesentlicher Punkt in diesem Verfahren ist die Frage, ob die US-Regierung die treuhändlerische Verwaltung solcher Besitzstandsdaten korrekt vorgenommen hat und ob sie dabei auch IT-technische Sicherheitsprobleme einwandfrei bewältigt hat. (jm)