Das amerikanische Aussenministerium (State Department) ist derzeit nicht zu beneiden. Ein Bericht des Government Accountability Office (GAO) zeigt auf, dass es die Behörde in den letzten Jahren versäumt hat, ein wirksames Programm für Cybersicherheit einzuführen. Es gibt demnach zwar eine Strategie für ein Risikomanagement, diese wurde allerdings nie umgesetzt.

Das bedeutet, dass ein Teil der US-Regierung "potenziell anfällig für Cyberangriffe ist, die sie möglicherweise nicht erkennen oder stoppen kann", schreiben die Prüfer in ihrem Bericht. Weiter heisst es dort, dass es kein umfassendes Überwachungsprogramm für alle Systeme gebe und die benutzte IT-Infrastruktur nicht angemessen gesichert sei.

"Solange das Ministerium die erforderlichen Risikomanagementaktivitäten nicht durchführt, ist nicht gewährleistet, dass die Sicherheitskontrollen wie vorgesehen funktionieren", so das GAO. "Darüber hinaus ist sich das Aussenministerium wahrscheinlich nicht in vollem Umfang der Schwachstellen und Bedrohungen der Informationssicherheit bewusst."

Das US-Aussenministerium war zuvor von einem Cyberangriff betroffen. Chinesische Hacker haben einen Signaturschlüssel von Microsoft ergattert und konnten so in die E-Mail-Konten von zahlreichen Organisationen eindringen. Nach Angaben der Behörde wurden im Zuge des Hacks rund 60'000 nicht klassifizierte Nachrichten von Staatsbediensteten gestohlen.

Gegenüber 'The Register' nahm das Ministerium Stellung zum Bericht: "Wir nehmen die Verantwortung für den Schutz von Informationen sehr ernst und unternehmen ständig Massnahmen dazu", sagte ein Sprecher gegenüber der Zeitung. "Wie jede grosse Organisation mit globaler Präsenz überwachen wir die Bedingungen der Cybersicherheit genau."

Aufgrund von Fehlern von Microsoft ist es eher unwahrscheinlich, dass das Amt den E-Mail-Diebstahl hätte verhindern können. Dennoch dient er dem GAO als Warnung. Die Cybersicherheit der US-Regierung sei in einem denkbar schlechten Zustand, so das Urteil. Die Aufsichtsstelle hat schon im Januar davor gewarnt, dass beim Aussenministerium fast 60% der Sicherheitsempfehlungen, die seit 2010 ausgesprochen wurden, noch nicht umgesetzt worden sind.

"Bestimmte Installationen von Betriebssystemsoftware haben vor mehr als 13 Jahren das End-of-Life erreicht." Mit solchen veralteten Systemen sei die IT-Infrastruktur des Staates sehr anfällig für bekannte Angriffe und möglicherweise nicht in der Lage, Vorfälle im Zusammenhang mit der Cybersicherheit vollständig zu erkennen, zu untersuchen und zu entschärfen, warnte das GAO.

Ein grosser Teil der Mängel in der Cybersicherheitsplanung des Aussenministeriums ist laut dem GAO auf die föderalen Strukturen des Landes zurückzuführen. Der Staat teilt die Zuständigkeiten für das IT-Management zwischen dem CIO des Ministeriums und den anderen Unterorganisationen auf.

Diese Aufteilung "schränkt die Fähigkeit des CIOs ein, die IT-Sicherheitslage des Ministeriums effektiv zu überwachen", so das GAO. Durch eine "isolierte Kultur" sei es zu Kommunikationsproblemen gekommen. Dass diese noch schlimmer werden, gelte es jetzt zu vermeiden.

Dafür hat das GAO 15 Empfehlungen an das Aussenministerium gerichtet, die direkt mit der Umsetzung verschiedener Elemente der geplanten Cyber-Risikomanagementstrategie zusammenhängen.