Cyberangriffe passieren täglich, doch manche sind besonders erschreckend. Ein Angriff auf das US-amerikanische Gerichtssystem in diesem Sommer hätte jedem einen Schauer über den Rücken jagen sollen.
Am 7. August bestätigt Ein Angriff auf die US-Bundesjustiz. Die Angreifer zielten insbesondere auf das Gerichtsarchivsystem Case Management/Electronic Case Files (CM/ECF), auch bekannt unter der öffentlichen Schnittstelle PACER. Die New York Times erklärte, der Angriff, der sich zwischen Ende Juni und Anfang Juli dieses Jahres ereignete, stehe wahrscheinlich mit russischen staatlichen Akteuren in Verbindung.
Die Folgen sind erheblich. Während viele CM/ECF-Akten über PACER öffentlich zugänglich sind, sind viele andere wegen sensibler Informationen gesperrt. Die Angreifer suchten offenbar nach Fällen mit russischen Staatsbürgern.
Der Vorfall stürzte die Gerichte ins Chaos und zwang sie, wieder auf Papierarchivierung umzusteigen. Mindestens ein Richter verbot sogar das Hochladen versiegelter Dokumente in PACER. Sensible Fälle mussten auf eigenständige Systeme migriert werden.
Noch beunruhigender ist die Annahme, dass mexikanische Drogenkartelle möglicherweise Zugriff auf Einige dieser sensiblen Daten können möglicherweise Zeugen ihrer Verbrechen angreifen. Bandenkriminalität im Zusammenhang mit den Kartellen wird häufig auf Bezirksgerichtsebene bearbeitet, was bedeutet, dass sensible Fallakten in CM/ECF gespeichert sind.
Das Schlimmste daran ist, dass die Ursache eine Mischung aus dezentraler Implementierung und altem, veraltetem Code ist.
CM/ECF stammt aus den späten 1990er Jahren, als der Northern District of Ohio baute es um eine Flut von Feststellungen in einigen Asbestfällen zu bewältigen. Anfang der 2000er Jahre begannen dann auch andere Gerichte, die Software zu übernehmen, und im Zuge einer landesweiten Einführung implementierten auch Konkurs-, Bezirks- und Berufungsgerichte die Software. Bis 2007 war die Software weitgehend flächendeckend eingeführt, die Verwaltung erfolgte jedoch bruchstückhaft; jedes Gericht kümmerte sich um die Implementierung der Software selbst. Als das Administrative Office of the US Courts in den 2010er Jahren eine umfassende Überarbeitung namens NexGen herausbrachte, aktualisierten nicht alle Gerichte die Software.
In einer 2021 berichten Mitarbeiter des Verwaltungsbüros beklagten sich, dass über 50 Gerichte noch nicht auf das neue System umgestiegen seien. Der Bericht beklagte die veraltete Basistechnologie. „Dezentralisierung und Komplexität führen zu Systeminstabilität, hohen Wartungskosten und Sicherheitsrisiken“, warnte er. „Aktuelle Verträge machen es schwierig, Auftragnehmer zur Einhaltung von Qualitätsstandards zu verpflichten.“
Das Problem besteht seit langem, und die Folgen sind verheerend. Auch das Justizministerium berichtet ein Verstoß im Jahr 2021, an dem sich später herausstellte, dass drei ausländische Akteure beteiligt waren.
Das Problem der Legacy-Software
Dieses Problem mit veralteter Software ist weit verbreitet. Umfrage Eine diesjährige Studie des Softwareunternehmens Saritasa für Legacy-Migration ergab, dass 62 % der 500 Befragten noch immer auf Altsysteme angewiesen waren. Die IT muss ständig mit anderen Abteilungen um einen Teil des Budgets konkurrieren. Wenn die Techniker dieses Budget erhalten, müssen sie darauf achten, die Tilgung technischer Schulden mit der Entwicklung neuer Software- und Hardwareverbesserungen abzuwägen, die den Geschäftssponsoren gefallen. Jeder Dollar, der für die Reparatur alter Systeme ausgegeben wird, muss aus der Unternehmenskasse geholt werden.
Dezentrales IT-Management schafft zudem blinde Flecken, insbesondere in Verbindung mit Legacy-Software. Viele Softwareprodukte bleiben dadurch ohne Patches. Zudem wird es schwieriger, die Vorgänge in der IT-Infrastruktur zu verstehen und mit Sicherheitsrichtlinien zu verknüpfen. Schatten-IT ist die Folge und birgt zusätzliche Risiken.
Das Bundesgerichtssystem ist nicht das einzige, das einige dieser Probleme aufweist. Im Jahr 2019 veröffentlichte das Government Accountability Office (GAO) einen Bericht, der auf die anhaltende mangelnde Aufmerksamkeit für Altsysteme in der US-Regierung hinwies. In Großbritannien hat die Regierung klassifiziert 28 % der IT-Infrastruktur sind Altlasten, in manchen Bereichen sind es sogar 70 %.
Das alte Monster zähmen
Es gibt Möglichkeiten, die Kontrolle über Ihre IT-Infrastruktur zurückzugewinnen und zumindest die Risiken veralteter Architekturen zu verstehen, auch wenn Sie diese nicht vollständig beseitigen können. Hier hilft ein Informationssicherheits-Managementsystem (ISMS) wie ISO 27001.
ISO 27001:2022 Anhang A Kontrolle 5.9 befasst sich mit der Verwaltung von Informationsressourcen. Es stellt sicher, dass die Organisation ordnungsgemäß dokumentiert, wer für welche Ressource verantwortlich ist, und beschreibt die damit verbundenen Risiken. Um dieses Ziel zu unterstützen, ist eine Inventarisierung der Ressourcen erforderlich. Dadurch wird eine Plattform geschaffen, auf der Unternehmen ihre Aktivitäten organisieren können. Sie können beispielsweise die aktuellen Patch-Levels der einzelnen Ressourcen dokumentieren.
Dieses Inventar der Vermögenswerte ist eine hervorragende Grundlage für ein Programm zur Tilgung technischer Schulden. Die Priorisierung der zu patchenden, zu aktualisierenden oder zu ersetzenden Systeme anhand ihres Risikofaktors gibt ressourcenbeschränkten Teams einen klaren Aktionsplan. Sie können es auch nutzen, um Governance-Strukturen für Plattformen zu schaffen, die nicht kundenorientiert sind, aber wertvolle, weniger wichtige Informationen enthalten. Diese schlecht geschützten Kronjuwelen sind genau die Vermögenswerte, die Angreifer im Visier haben werden.
Anschließend folgt die Migrationsdiskussion, in der die Migration von einem Altsystem auf ein neues System beschrieben wird. Dies erfordert sorgfältige Überlegungen unter Berücksichtigung von Systemabhängigkeiten. Refactoring (Erneuerung von Code im bestehenden System) ist eine Option, ebenso wie der Austausch (komplettes Entfernen des Systems und Neustart). Letztere Option bietet mehr Möglichkeiten, von problematischen Architekturen wie monolithischen Systemen zu modularerem, auf Microservices basierendem Code zu wechseln.
Zu den weiteren Maßnahmen zur Bewältigung von Altlastrisiken gehört die regelmäßige Durchführung von Bedrohungsmodellierungsübungen, um die unsichtbare Altinfrastruktur zu untersuchen, die niemand jemals betrachtet, wie etwa interne Portale oder Vertragsplattformen.
Die Modernisierung Ihrer alten Architektur sollten Sie nicht auf morgen verschieben. Es ist wie mit der körperlichen Gesundheit. Jeder Tag, den Sie aufschieben, kann spätere Probleme verursachen. Ein kleiner Aufwand jetzt – selbst eine kleine monatliche Modernisierungsmaßnahme – kann zukünftige Katastrophen verhindern. Fragen Sie einfach jeden Bezirksrichter.
