Wie mehrere deutsche Zeitungen (Taz, FAZ) und der britische ‘The Guardian’ am 15.08.2023 berichten, wurde von der nordirischen Polizei (PSNI) versehentlich am 8. August 2023 ein Datensatz mit mehr als 10.000 personenbezogenen Daten von Polizeibeamten ins Internet gestellt. Die Informationen im geleakten Datensatz sollen: Name, Rang, Abteilung und Dienstgrad enthalten, wie der Polizeisprecher Gerry Kelly in einem Interview mitteilte. Dies war bereits der zweite Datenverlust des PSNI seit dem 6. Juli 2023, als aus einem Privat PKW (vermutlich eines PSNI Mitarbeiters) ein Laptop und Dokumente entwendet wurden, welche die Identifikation laut The Guardian von 200 Polizei Beamten ermöglichte.
Wie weiter mitgeteilt wurde haben 3.000 Beamte sich rasch beim Polizeiverband mit Besorgnis über die eigene Sicherheit wegen der Datenverluste geäußert – und Verfahren zu Schadensersatzforderungen eingeleitet, die von britischen Anwälten auf mehrere 10 Millionen Pfund geschätzt werden.
Knapp 2.000 Beamte sehen sich in der persönlichen Sicherheit durch den Datenverlust bedroht. Die PSNI und Security Analysten sehen vor allem Terroristen als Nutznießer der geleakten Informationen die diese Informationen verwenden können um PSNI Beamte zu identifizieren und unter Druck zu setzen.
Informationen über die technische Art wie der ‘systematische Datenverlust’ zustande kam wurden nicht veröffentlicht. Menschliches oder technisches Versagen, oder Beides, kann zum aktuellen Zeitpunkt jedoch nicht ausgeschlossen werden.
Welche möglichen Fehler und Qualitätsmängel könnte man aus den News ableiten?
Nun auch wenn keine Informationen von der PSNI über die Wege des ‘systematischen’ Datenverlustes der Daten der Beamten veröffentlicht wurden, kann man sich bemühen, durch logische Schlussfolgerung etwas mehr Licht in die Sache zu bringen. Wir wollen spekulativ denken ohne einen Anhaltspunkt oder Belege für unsere Spekulationenen zu haben. Also bitte mit Vorsicht genießen, denn die Fakten können noch von der PSNI jederzeit nachgereicht werden. Aber wenn der Polizeisprecher sich seinerseits chiffriert ausdrückt und den Rest der Welt dumm sterben lässt, darf man sich getrost an die eigene Meinung herantrauen und das Chiffrat des PSNI Pressesprechers zerlegen. Es wäre natürlich im Sinne einer allgemeinen Verbesserung der Cybersicherheit gut, wenn man anstelle Geheimnisse aus Datenlecks zu machen und sich hinter Worthülsen versteckt, positive Transparenz gewährt zur Lehre für eine Zukunft in der man aus den Fehlern anderer lernt. Aber soweit ist man wohl bei der PSNI noch nicht.
Da ein systematisches Versagen kein Einzelfehler ist, so kann gemutmaßt werden, dass mehrere Einzelpunkte innerhalb der Informationssicherheit des PSNI und/oder der it-sicherheitstechnischen Abteilung, und eines Mitarbeiters des PSNI zu dem Vorfall geführt hatten. Da bekannt ist das die wenigsten Polizeien weltweit linuxartige Systeme zur alltäglichen Dienstverrichtung verwenden – darf Microsoft als Betriebssystem des Clients oder Microsoft Server als relativ gesicherte Quelle angenommen werden.
Und wenn wir Microsoft Windows Betriebssysteme im Einsatz haben ist die Wahrscheinlichkeit groß das a) entweder Microsoft selbst die Systeme absichert oder b) ein proprietärer Security Softwarehersteller auch mit im Boot ist. Da jedoch ein handfester Security Verstoß vorliegt, den die Daten gelangten ja über eine Datenschnittstelle ins Internet, ist die Frage wohl erlaubt: Wo denn die richtige Security Policy war als die PSNI sie brauchte?
Weiter kann festgehalten werden, das der sogenannte ‘systematische Fehler’ ja tatsächlich passiert ist, was den Schluss darauf zulässt, dass Teil des Problems des Datenverlustes ein oder mehrere Fehler von ‘Benutzerberechtigungen’ auf Ebene der ‘Benutzer’ oder ‘Dateiebene’ oder ‘Applikationsebene’ zu finden ist. Solche Access Control Konzepte zu Benutzerrechten werden von Menschen oder Standards definiert. Hier ist in jedem Fall mal nachzusehen. Es können auch Kombinationen von Access Control Fehlern dahinter stecken, also Fehler beim setzen der entsprechenden Security Policies, was auf einen Konfigurationsfehler der eingesetzten Softwaretechnologie(n) schließen ließe – oder aber die eingesetzte Technologie verfügt herstellerbedingt über keine entsprechend granulare funktionale Sperrmöglichkeiten. Das wäre ein Negativpunkt für den Hersteller und die Polizei, da letztere die Augen nicht weit genug in den Weltmarkt für Endgeräte Sicherheit hat wandern lassen. Denn Egosecure Endpoint verfügt über entsprechende Funktionalitäten granularer Art auf zentraler Ebene.
Da traditionell der englischsprachige Raum von angelsächsischen Security Softwareherstellern dominiert wird, wäre der politisch gewollte Einsatz solcher Securityhersteller aus den UK oder USA in der PSNI wohl anzunehmen, was die Anzahl der Hersteller die über solche Produkte verfügen drastisch einschränkt. Auch da für den Einsatz in Polizeibehörden strenge Qualitätskriterien im Bezug auf Manipulationssicherheit gelten, den man bspw. durch einen provozierten Deadlock, Screen of Death, bei Manipulationsversuch gewollt auslöst. Solche Hersteller wären beispielsweise positiv zu nennen, wie Sophos mit Sitz in Ireland, oder Symantec beziehungsweise seit 2019 Broadcom.
Weiter kann man spekulieren, da der Datensatz ja offensichtlich ins Internet gelangte, dass innerhalb der PSNI und innerhalb der Cybersecurity und Informationssicherheit des PSNI, keine Gedanken über ein inhaltliches dateibasiertes Content-Filtering gemacht wurde und auch technisch nicht angestoßen war, was ein qualitatives Security Versäumnis des PSNI darstellt (und zwar bei der Auswahl existierender Lösungen die das können) oder ein lieferantenseitiges Versäumnis in der funktionalen Technologie des proprietären Security Softwareherstellers der diese (sinnvollen) Funktionen (immer noch) nicht – in seine Endgeräte Lösung implementiert hat. Da die Daten ja ‘systematisch’ falsch behandelt wurden, kann man getrost davon ausgehen, dass es Fehler in der eingesetzten Sicherheitstechnologie gibt. Da insbesondere amerikanische Firmen dazu neigen eher Software durch Aufkauf des Wettbewerbers zu integrieren als beispielsweise, schlank und aus einem Guss neu zu entwickeln, kann man auch mutmaßen das der Hersteller Support bei der Integration der Technologie bei der PSNI, und unter OEM gibt man sich bei Polizeibehörden nicht zufrieden, wenig berauschend war oder wichtige Verantwortliche für Security, Information Security, in einem Cybersecurity oder Endpoint Security Projekt – nicht oder zu wenig oder falsch miteinander gesprochen und gearbeitet haben.
Und exakt eine solche Kombination – ist aus realen IT-Security Projekten bekannt.
A. Hat formulierte Security Anforderungen als Institution an Hersteller B, der als Hersteller Z von Hersteller B eingekauft und konzernintegriert wurde. (Natürlich verlassen die guten Köpfe von Hersteller Z, Hersteller B bald, sodaß Hersteller B mit dem Restpersonal und eigenem Hersteller B Personal die Technologie des Hersteller zum laufen bringen muss – was oft schiefgeht. ). Doch da A keine ausreichenden praktischen Erfahrungswerte im Metier Weltmarkt und Institutionen Cybersecurity Personalprobleme haben, verlässt man sich auf schlechte oder minimalistische Konfigurationen weniger OEM Begleittage. Danach tastet sich A. nur mühsam und langsam an die Technologie heran und es entstehen ‘systematische’ Datenverluste.
Ohne die PSNI zu kennen, möge man Ihnen zurufen, sich auch jenseits der bekannten Hemisphären nach brauchbaren Security Technologien umzusehen – und mehr Wert auf die Auswahl aller Aspekte der Cybersecurity zu legen, die bekanntlich mit der richtigen Auswahl der Betriebsystemarchitektur beginnt. Und hier muss man mittlerweile sehr laut sagen, ist Linux Micrsoft sehr weit überlegen. Was auch zu Fragen der Sinnhaftigkeit von politischen gewollten Softwarekäufen führt, wenn falsche technische Entscheidungen auf falschen politischen beruhen, die in letzter Schlusskonsquenz, das Leben der Beamten gefährden kann – und die Nationale Sicherheit berührt, wie es jetzt der Fall ist. Man wird den Eindruck nicht los, das es sich bei der PSNI um ein systemisches Versagen und nicht nur systematisches Versagen handelt. Denn das unixartige Betriebssysteme sicherer sind als Microsoft basierte, wissen nun auch schon Grundschüler.
Aber vielleicht sollten wir besser diese Nachrichten dem freundlichen Server im Nirvana senden, als auf die technische Vernunft von politischen Softwareentscheidungen zu hoffen. Der PSNI kann man nur alles Gute wünschen, ebenso wie den betroffenen Beamten. Sie werden es wie viele Regierungen, noch brauchen, da die Anzahl und Erfolge der Attacken sicher zunehmen werden, wenn geopolitische Streitigkeiten zunehmen.
Quellen
- Quelle 1: https://www.theguardian.com/uk-news/2023/aug/14/document-psni-data-leak-belfast-wall-threat
- Quelle 2: https://www.theguardian.com/uk-news/2023/aug/12/psni-data-breach-200-officers-and-staff-not-informed-about-theft-for-month
- Quelle 3: https://www.theguardian.com/uk-news/2023/aug/09/police-officers-in-northern-ireland-may-leave-force-or-move-after-data-breach-psni
- Quelle 4: https://en.wikipedia.org/wiki/Broadcom#Symantec_enterprise_security
- Quelle 5: https://www.theguardian.com/uk-news/2023/aug/10/psni-northern-ireland-police-chief-urged-to-consider-position-over-data-breach