Der Kapitolsturm und die IT-Sicherheit

Als zahlreiche  Personen am 6. Januar in das Kapitol eindrangen, verschafften sie sich Zugang zu einzelnen Büros und blieben weit über zwei Stunden lang auf freiem Fuß im Parlamentsgebäude.

Es gibt Berichte, dass Gegenstände gestohlen wurden. Der US-Staatsanwalt für den District of Columbia Michael Sherwin erklärte: „Gegenstände, elektronische Gegenstände wurden aus den Büros der Senatoren gestohlen ebenso wie Dokumente.“  Senator Jeff Merkley (D-Ore.), berichtete, dass mindestens ein Laptop gestohlen worden sei.

Inmitten von gestohlenen Laptops, verlorenen Daten und potenzieller Spionage wird es Monate dauern, die Folgen dieses Angriffs für die Cybersicherheit zu klären. Hier ist ein Blick auf die Cybersicherheitsprobleme.

Während die Überwachungskameras zweifellos viele der Hunderten, die es in das Gebäude geschafft haben, verfolgt haben, kann  nicht davon ausgegangen werden, dass die genauen Bewegungen aller, die sich Zutritt verschafft haben, Sekunde für Sekunde bekannt sind. Das bedeutet, dass wir absolut nicht wissen, welche Aktionen gegen digitale Geräte im Gebäude durchgeführt wurden.

Passwörter, Dokumente, Zugangscodes und vertrauliche oder geheime Informationen könnten gestohlen worden sein. Wir müssen auch davon ausgehen, dass einige Computer kompromittiert und mit Malware infiziert worden sind. Da Malware der Schlüssel zu jedem systemischen Eindringen ist, müssen wir davon ausgehen, dass bösartige Akteure einen dauerhaften, versteckten und kontinuierlichen Zugang zu den Systemen des Kapitols erlangt haben.

Höchstwahrscheinlich wurde nur eine kleine Anzahl von Rechnern kompromittiert. Aber angesichts der sensiblen Natur der Informationen, die auf den digitalen Geräten im Kapitol gespeichert sind, und angesichts der Tatsache, dass es unmöglich sein dürfte, schnell festzustellen, welche Geräte kompromittiert wurden, muss das IT-Personal davon ausgehen, dass alle digitalen Geräte im Kapitol kompromittiert wurden.

Die Situation ist tatsächlich schlimmer, als es auf den ersten Blick erscheinen mag. Einem Zeitplan von USA Today zufolge trat der Kongress am 6. Januar um 20 Uhr wieder zusammen. Es ist wahrscheinlich, dass die Computer der Mitarbeiter bereits wenige Minuten nach der Wiederaufnahme des Kongresses genutzt wurden. Offensichtlich gab es keine Möglichkeit, Tausende von Rechnern sofort komplett zu entfernen und zu ersetzen. Daher haben die Mitglieder und ihre Mitarbeiter von diesem Moment an bis heute digitale Geräte verwendet, die möglicherweise kompromittiert wurden. Das bedeutet, dass alle Kommunikationen, Dateien und Netzwerkverbindungen von und zu diesen Geräten ebenfalls kompromittiert worden sein könnten.

Wenn die Computer des Kapitols durch einen herkömmlichen, von Malware ausgelösten Hack, gefolgt von einem Einbruch über das Internet, infiltriert worden wären, wäre die Schadensbegrenzung relativ einfach gewesen, wenn auch unangenehm und schmerzhaft. Die Systeme hätten auf Malware gescannt werden können und – in den sensibelsten Fällen – hätten die Festplatten gelöscht oder ausgetauscht werden können.

Aber es befanden sich Hunderte von nicht autorisierten Personen im Gebäude, Personen, die fotografiert wurden, nachdem sie sich Zugang zu den Schreibtischen und Privatbüros der Mitglieder verschafft hatten. Diese Leute hätten überall im Gebäude hingehen können.

Wir müssen auch davon ausgehen, dass es einige ausländische Akteure gab, die das Gebäude betraten, indem sie sich unter die Menge mischten. Wir wissen, dass Russland und andere Nationen schon seit einiger Zeit Cyberangriffe gegen Amerika durchführen.

Wir wissen auch, dass die endgültige Zertifizierung der Stimmzettel für die Präsidentschaftswahlen 2020 durch den Kongress verfassungsgemäß für den 6. Januar angesetzt war – und aufgrund der hitzigen Rhetorik war es fast sicher, dass es zu Menschenansammlungen und Unruhen kommen würde.

Es ist daher sehr wahrscheinlich, dass feindliche (oder frenemy) Akteure ebenfalls das Potenzial für Unruhen rund um das Kapitol sahen. Obwohl es unmöglich war, die genauen Einzelheiten dessen, was sich am 6. Januar in welcher Reihenfolge abspielen würde, vorherzusagen, gibt es guten Grund zu der Annahme, dass die internationalen Verantwortlichen es für klug hielten, kleine Trupps von Agenten in Bereitschaft zu halten. Auf diese Weise könnten sie, falls sich die Gelegenheit ergeben würde, diese Agenten heimlich in die Situation einschleusen.

Daher müssen wir annehmen, dass einige der Leute, die in den Capitol Hill eingedrungen sind, wahrscheinlich ausländische Akteure waren. Und aus dieser Beobachtung heraus müssen wir davon ausgehen, dass einer oder mehrere dieser ausländischen Akteure, die es ins Innere geschafft haben, einige physische Maßnahmen gegen Maschinen ergriffen haben, die normalerweise außer Reichweite sind.

Wenn sich ein feindlicher Agent erst einmal physischen Zugang verschafft hat, kann eine Menge passieren.. Zunächst sollten wir uns bewusst sein, dass sich Malware oft erst nach einer bestimmten Zeit oder einem bestimmten Auslöser zeigt. So können Rechner, die völlig in Ordnung zu sein scheinen, durchaus Trojanische Pferde sein.

Es ist möglich, dass Maschinen geöffnet wurden und Thumb Drives oder sogar zusätzliche Laufwerke in die Maschinen gelegt wurden, die dann wieder verschlossen wurden. Mit einem elektrischen Schraubendreher ist es möglich, die Außenhaut eines Tower-PCs zu öffnen, einen USB-Stick in einen offenen internen Port zu stecken und das Ding in ein oder zwei Minuten wieder zu versiegeln. Diese könnten nie entdeckt werden.

Als Stuxnet die Natanz-Zentrifugen im Iran destabilisierte, wurde der Wurm über USB-Laufwerke übertragen, die in die Anlage geschmuggelt wurden. Im Fall der Sicherheit des Kapitols befanden sich Hunderte von Menschen im Kapitol. Ein effektiver Angriff würde einfach darin bestehen, USB-Laufwerke in verschiedenen Schubladen und auf verschiedenen Schreibtischen zu hinterlassen. Zweifelsohne würde jemand das Laufwerk sehen, annehmen, dass es eines seiner eigenen ist, und es einstecken. Malware wird geliefert.

Es sind auch andere physische Angriffe möglich, beispielsweise ein USB-Ladegerät mit einem drahtlosen Keylogger oder Power Pwn geschrieben, ein Gerät, das wie eine Steckdosenleiste aussieht, in dem sich aber drahtlose Netzwerk-Hacking-Tools verstecken.

Da sich Hunderte von Menschen im Kapitol aufhielten, könnten Geräte wie diese an Ort und Stelle belassen worden sein. Es könnte Wochen oder Monate dauern, bis sie entdeckt werden.

Es gibt einige IT-Best Practices, die das Risiko verringern können. Die Mikrosegmentierung des Netzwerks kann zum Beispiel verhindern, dass Malware zwischen den Zonen hin- und herwandert. Aber keine netzwerkbasierte Sicherheitspraxis kann einen physischen Angriff vollständig abschwächen.

Das Kapitol muss komplett gesäubert werden. Alle Rechner müssen gescannt werden. Jeder Desktop-PC, der nicht hermetisch verschlossen ist, muss geöffnet und das Innere sorgfältig inspiziert werden. USB-Laufwerkseinschübe müssen gesperrt werden, damit die Mitarbeiter des Capitol Hill keine beliebigen USB-Laufwerke einstecken können. Das Gebäude muss wiederholt Raum für Raum und Etage für Etage auf die Ausstrahlung von Signalen gescannt werden.

Die Mitarbeiter des Kongresses müssen darüber aufgeklärt werden, worauf sie achten müssen, wie sie am besten vorgehen, und dass sie besonders vorsichtig sein müssen, auch wenn das zusätzliche Zeit kostet.

Jedes einzelne digitale Gerät auf dem Gelände des Kapitols muss als verdächtig betrachtet werden. Es ist unerlässlich, dass ein starker Sicherheitsstand aufrechterhalten wird, auch nachdem aktive Geräte getestet und gescannt wurden, denn wir müssen auf der Suche nach verzögerten Bedrohungen und Angriffen sein, die sich verstecken und auf ihre Gelegenheit warten, um einen Zugriff auszulösen.

Schließlich muss jeder, der an dem Angriff beteiligt war, insbesondere diejenigen, die in das Gebäude eingedrungen sind, im vollen Umfang des Gesetzes strafrechtlich verfolgt und möglicherweise sogar wegen Verstößen gegen das Spionagegesetz angeklagt werden, weil ihre Handlungen möglicherweise Deckung für Spionageakte geboten haben.

Diejenigen, die das Kapitol stürmten, haben möglicherweise gegen 18 U.S. Code § 792 verstoßen – Beherbergung oder Verbergen von Personen. Dieses Gesetz ist einfach und besagt: „Wer einer Person Unterschlupf gewährt oder sie versteckt, von der er weiß oder bei der er den begründeten Verdacht hat, dass sie eine Straftat begangen hat oder im Begriff ist, eine Straftat zu begehen.“ Wenn man davon ausgehen kann, dass einer der Angreifer auch nur den Verdacht hat, dass ein Außenstehender mit ihnen in das Gebäude eindringen würde, haben sie gegen dieses Gesetz verstoßen.

Sie haben möglicherweise auch gegen 18 U.S. Code § 793 – Sammeln, Übertragen oder Verlieren von Verteidigungsinformationen – verstoßen. „Wer auch immer, zum Zweck der Erlangung von Informationen in Bezug auf die nationale Verteidigung mit der Absicht oder Grund zu der Annahme, dass die Informationen zum Schaden der Vereinigten Staaten oder zum Vorteil einer fremden Nation verwendet werden soll…“.

Es wird weiter eine große Anzahl von Regierungsressourcen aufgelistet, die eine Verletzung darstellen würden, einschließlich „…Gebäude, Büros, Forschungslabore oder -stationen oder andere Orte, die mit der nationalen Verteidigung verbunden sind, die den Vereinigten Staaten gehören oder von ihnen gebaut wurden oder sich im Bau befinden oder unter der Kontrolle der Vereinigten Staaten oder eines ihrer Beamten, Abteilungen oder Behörden stehen…“. Das Kapitol fällt eindeutig darunter, zumal Kongressausschüsse mit streng geheimen Informationen zu tun haben.

Leute, die Verbrechen unter diesen Codes begehen, „werden nach diesem Titel mit einer Geldstrafe oder einer Haftstrafe von nicht mehr als zehn Jahren oder beidem belegt.“

Außerdem kommt 18 U.S. Code § 794 – Sammeln oder Liefern von Verteidigungsinformationen zur Unterstützung ausländischer Regierungen ins Spiel. Das Gesetz beginnt mit „Wer in der Absicht oder mit Grund zu der Annahme, dass es zum Schaden der Vereinigten Staaten oder zum Vorteil einer fremden Nation verwendet werden soll“.

Aber hier wird es brenzlig für diejenigen, die am 6. Januar eingebrochen sind. Das Statut fährt fort: …kommuniziert, liefert oder überträgt, oder versucht zu kommunizieren, zu liefern oder zu übertragen, an eine ausländische Regierung, oder an eine Fraktion oder Partei oder militärische oder Seestreitkräfte in einem fremden Land, ob von den Vereinigten Staaten anerkannt oder nicht, oder an einen Vertreter, Offizier, Agenten, Angestellten, Untertan oder Bürger davon, entweder direkt oder indirekt, jedes Dokument, Schriftstück, Codebuch, Signalbuch, Skizze, Fotografie, fotografisches Negativ, Blaupause, Plan, Karte, Modell, Notiz, Instrument, Gerät oder Information, die sich auf die nationale Verteidigung beziehen“

Dieses Gesetz ist sehr weit gefasst und besagt im Wesentlichen, dass auch eine Lieferung an jemanden, der nicht offiziell als Ausländer anerkannt ist, oder sogar eine indirekte Lieferung (z. B. über einen Freund, eine eBay-Auktion, Bilder auf Instagram usw.) einen Verstoß darstellt. Wenn auch nur ein einziger Gegenstand auf einem dieser Bilder vertraulich oder geheim war und von einem ausländischen Agenten gesehen werden konnte, wird diese Klausel ausgelöst. Das Statut legt auch das Strafmaß fest: „wird mit dem Tod oder einer mehrjährigen oder lebenslangen Freiheitsstrafe bestraft.“

Das Gesetz berücksichtigt oft die Absicht. Aber wenn es um Spionage geht, hat das Gesetz schwerwiegende Konsequenzen. Bei Tausenden von Menschen in der Menge vor dem Gebäude und Hunderten, die einbrachen, gab es für die Täter keine Möglichkeit zu wissen, wer ihre Mitstreiter zu diesem Zeitpunkt sein könnten. Die Deckung feindlicher Agenten, selbst wenn man argumentieren könnte, dass es aus Naivität oder Dummheit geschah, ist immer noch die Deckung feindlicher Agenten.

Die juristische Aufbereitung wird sich über Monate oder Jahre hinziehen, sowohl vor den Gerichten als auch innerhalb der United States Intelligence Community. Wenn irgendwelche gesicherten Informationen, die aus diesem Bruch resultieren, in ausländische Hände gelangen, wird der Einsatz ins Unermessliche steigen. Dann könnten sich die Beteiligten der vollen Macht und dem Zorn der Regierung der Vereinigten Staaten ausgesetzt sehen.