Im März 2017 veröffentlichte die Whistleblower-Plattform Wikileaks unter dem Codenamen "Vault 7" 8700 vertrauliche und geheime Dokumente des CIA. Darunter befand sich auch von der CIA verwendete Spionagesoftware. 

In San Francisco befindet sich nun der Prozess gegen Joshua Schulte, der von der CIA beschuldigt wird, diese Files gestohlen und Wikileaks zugespielt zu haben, in seiner letzten Phase. Die Zeugen wurden befragt, Dokumente vorgelegt, die Staatsanwälte und die Verteidigerin haben ihre Argumente vorgebracht. Nun beraten die Geschworenen.

Erstaunlich aus unserer Sicht war dabei vor allem, was interne CIA-Dokumente und einige Zeugenaussagen zeigten: Die internen Security-Praktiken in der Abteilung, welche für die Spionagesoftware der CIA verantwortlich war, waren offensichtlich mehr als lasch.

Für die Verteidigerin ist dies das Hauptargument, mit dem sie eine Verurteilung ihres Mandanten verhindern möchte. Ihr Schluss: Die Security-Praktiken waren so schlecht, dass die Anklage keinerlei Beweise gegen ihren Mandanten habe. Er sei nur in die Schusslinie geraten, weil er offensichtlich kein sehr sympathischer Mensch sei.

Die Verteidigerin konnte zeigen, dass das ganze Team Passwörter austauschte und sie offen im internen Chat postete. Diese Chats zeigten auch, dass man intern über diese Praktiken witzelte: "Wenn die Security-Leute davon wüssten, würden sie durchdrehen!" Trotzdem glaubte das Team, dass dies kein Problem sei, weil ja kein Aussenstehender auf das System zugreifen konnte.

Die Verteidigerin allerdings verwies auf Zeugenaussagen die besagten, dass die "DevLAN" genannte Workstation, auf der die heiklen Files gespeichert waren, durch das einfache Umstecken eines Ethernet-Kabels mit dem Internet verbunden werden konnten. Zudem gab es keine Logs über Userlogins und ihre Aktivitäten. Auch wenn jemand externe Datenträger einstöpselte, wurde dies nicht registriert.

Zusätzlich verwies die Verteidigerin auf einen CIA-eigenen Untersuchungsbericht. Dieser besagt unter anderem, dass alle User Zugang mit Systemadministrator-Berechtigungen hatten. Die gestohlenen Daten hätten sich zudem auf einem System befunden, auf dem es kein User-Monitoring oder eine robuste Server-Audit-Möglichkeit gegeben hatte. Deshalb habe das CIA auch ein Jahr lang nicht bemerkt, dass die Daten kopiert wurden. Dies wurde erst klar, als sie von Wikileaks veröffentlicht wurden. Wenn die Daten von einem feindlichen Staat gestohlen worden wären, heisst es in dem CIA-Bericht weiter, "dann wüssten wir das immer noch nicht."

Der CIA-Untersuchungsbericht selbst bezeichnet die Security-Praktiken der Spionagetool-Abteilung als "beklagenswert lasch".

Angesichts der Security-Praktiken hätten gute Passwörter wohl auch nicht viel geholfen. Trotzdem ist es amüsant, welche hochsicheren Passwörter sich das CIA-Team einfallen liess. Das Passwort, das einem User Root-Rechte auf der DevLAN-Workstation gab, war wenigstens lang. "mysweetsummer" befindet sich trotzdem auf Listen von Passwörtern, die Cyberkriminelle kennen, wie man unschwer bei Haveibeenpwned.com nachschauen kann. 

Auf das Passwort für das Confluence-System, auf dem die Spyware lagerte, waren die Urheber sicher besonders stolz. Schliesslich enthält es Kleinbuchstaben, Grossbuchstaben und Zahlen! Es lautet: 123ABCdef.

Übrigens, wer sich einen tieferen Eindruck vom Prozess, den Argumenten beider Seiten und von Joshua Schulte verschaffen möchte, sei auf diesen detaillierten Bericht von 'The Register' verwiesen.