US-amerikanischer öffentlicher Dienst gehackt: Millionen persönlicher Daten wurden kopiert

OPM-Präsidentin Katherine Archuleta
Die Präsidentin des Office for Personnel Management Katherine Archuleta Quelle: opm.org

In letzter Zeit zeigte sich vermehrt die Angreifbarkeit staatlicher Institutionen in Deutschland, zuletzt die Angriffe auf den Bundestag oder das Abhören von Regierungskommunikation. Damit ist Deutschland aber kein Einzelfall.

Gestern wurde bekannt, dass das Office for Personnel Management (OPM), das den öffentlichen Dienst in den Vereinigten Staaten verwaltet, ebenfalls Ziel eines Angriffs war und dabei große Mengen persönlicher Daten der im öffentlichen Dienst Beschäftigten kopiert wurden. Dabei soll es sich nicht nur um die Namen handeln, sondern auch um höchst schützenswerte Informationen wie Sozialversicherungsnummern, Wohnort, Bildungsweg und vorherige Arbeitgeber, familiäres Umfeld, gesundheitliche Informationen, finanzieller Hintergrund, eventuelle Vorstrafen und 1,1 Millionen Fingerabdrücke. Mit den Worten der Washington Post:

In other words, the thieves got damn near everything.
(Mit anderen Worten, die Diebe haben annähernd alles.)

Betroffen sind vor allem Personen, die einer Sicherheitsüberprüfung unterzogen wurden (19,7 Millionen Personen). Die Tragweite des Leaks wird insofern nochmal verstärkt, als dass nicht nur die Daten von Millionen im öffentlichen Dienst Beschäftigter gestohlen wurden, sondern auch etwa 1,8 Millionen Datensätze der Angehörigen verloren gegangen sind. Alle Zahlen beziehen sich auf die offiziellen Informationen der OPM.

Nicht der erste Fall von unberechtigtem Zugriff

Der aktuelle Hack ist zwar der umfangreichste, der bis jetzt im Zusammenhang mit der OPM bekannt wurde, aber mitnichten der einzige. In einem separatem Hack wurden zuvor bereits Personaldaten von 4,2 Millionen Personen erbeutet, wie im April dieses Jahres bekannt wurde.

Folgen des Datenlecks

Bis jetzt gerieten noch keine der kopierten Informationen an die Öffentlichkeit. Auch ist noch nicht bekannt, dass es eine Erpressung gegeben hat. Überhaupt gibt es über die Angreifer nur Mutmaßungen. Die Washington Post spricht von der Angst, dass die Informationen von China genutzt werden könnten, um die „nationale Sicherheit“ zu kom­pro­mit­tie­ren. Dafür führt sie aber weder Anhaltspunkte noch Beweise an.

Auch im OPM wird es wohl zu Umstrukturierungen kommen. Die Forderungen, dass die OPM-Direktorin Katherine Archuleta und andere hohe Vertreter der Behörden zurücktreten sollen, wird immer lauter. So verlautbarte Jason Chaffetz, Mitglied im Kongressausschuss zur Reform der Verwaltung, dass er bei US-Präsident Barack Obama um die Entlassung Archuletas und einer weiteren Person im OPM-Führungsstab gebeten habe. Schon zuvor seien Sicherheitslücken bekannt gewesen, die die OPM-Führung ignoriert hätten, so Archuleta.

Das OPM bietet nun für mindestens drei Jahre ein Online-Portal für die Betroffenen an, was überwachen soll, ob es zu Identitätsdiebstahl, Kreditbetrug oder anderen Straftaten aufgrund der gestohlenen Informationen kommt. Auch soll ein Callcenter eingerichtet werden. Vielen genügt das nicht. So wird unter anderem die Forderung nach einem lebenslangen Schutz der Betroffenen gefordert, da drei Jahre nicht genügen. Verschiedene Senatoren möchten jetzt ein Gesetz auf den Weg bringen, was den Betroffenen lebenslangen Schutz vor Identitätsdiebstahl und eine Versicherung dagegen zusichert. Diese soll pro Betroffenen bis zu fünf Millionen Dollar ausschütten können.

Vertrauen in den staatlichen Schutz persönlicher Informationen erneut erschüttert

Dieses erneute Versagen, Informationen von Bürgern zu schützen, trifft zwar nun unmittelbar zunächst die Betroffenen und deren Verwandte, sollte aber auch hinsichtlich aktueller Debatten zu denken geben. Auch im Rahmen der Diskussion zum die Vorratsdatenspeicherung in Europa und aktuell in Deutschland wird immer wieder betont, dass die aufgezeichneten Informationen sicher seien. Wenn allerdings nicht einmal eine Bundesbehörde der Vereinigten Staaten in der Lage ist, trotz zuvor angemerkter Sicherheitsmängel die Daten ihrer Beschäftigten zu schützen, ist es fraglich, ob deutsche Telekommunikationsunternehmen unter der Aufsicht der Bundesnetzagentur wirklich in der Lage wären, eine ausreichende Sicherheit zu gewährleisten.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Das betraf den vorherigen Fall, der auch im Absatz „Nicht der erste Fall von unberechtigtem Zugriff“ erwähnt wird. Der aktuelle Fall wurde in seinem vollen Maß erst gestern von der OPM veröffentlicht.

  2. Mein Mitgefühl hält sich in Grenzen. Sicher sind nur die Daten die keiner hat.
    Uups, war da noch was? Safe harbor?

  3. „Betroffen sind vor allem Personen, die einer Sicherheitsüberprüfung unterzogen wurden“.

    Hoffentlich NUR diese – wenn ich richtig informiert bin, läuft das doch normalerweise so ab:
    Person A will in einem sensiblen Bereich arbeiten und wird einer Sicherheitsprüfung unterzogen.
    Dazu werden auch die Personen B, C, D, etc. aus dem privaten/beruflichen Umfeld überprüft.
    Im schlimmsten Fall sind komplett Unbeteiligte betroffen.

  4. Ohh, eine Runde Mitleid. Hat wohl auch der ganze NSA Überwachungsapperat nix genutzt !

    1. Ich würde auch gerne extreme Häme an den Tag legen, aber mir tun die betroffenen Personen selbst schon fast etwas leid. An die Regierungspolitik gerichtet würde ich aber sagen: „Gscheit recht gschiets Euch!“ Wie Salatschleuder schon geschrieben hat, sind die sichersten Daten immer noch, die nicht vorhandenen.

      Aber ich finde es v. a. auch in der Hinsicht bemerkenswert, dass es erneut aufzeigt wie der gesamte Sicherheitsapparat in Notfall genau eines bringt: gar nichts! Das war bei 09/11 so (die warn vorher ja auch schon bekannt), beim Attentat auf den Boston Marathon,… jetzt beim groß angelegten Datendiebstahl.

      Die nächste Lächerlichkeit im Bezug auf solche Datenverluste sind die Anschuldigen alla „Die warns!“. Es hieß beim ersten Bekanntwerden ja bereits, es wären angeblich wahlweise die Chinesen oder die Russen gewesen. Es sollte mittlerweile bekannt sein, dass Angreifer lediglich um der Verschleierung der Herkunft willen absichtlich Code einsetzen, der bspw. üblicherweise von Leuten aus XYZ eingesetzt wird. Diese Leute sind ja auch nicht komplett bescheuert.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.