Ein neuer Bericht des US Government Accountability Office (GAO) zeigt, dass der US-Auswärtige Dienst (immer noch) nicht versteht, was „Cybersicherheitspraktiken“ bedeuten. Das Außenministerium behauptet, über einen ordnungsgemäßen Risikomanagementplan für die Cybersicherheit zu verfügen, dieser steht jedoch nur auf dem Papier.

Der GAO-Bericht GAO-23-107012 untersucht den schlechten Stand der Cyber-Angelegenheiten im Außenministerium, der Regierungsbehörde, die die US-Diplomatie durchführt und die US-Außenpolitik mitgestaltet. Die Sicherung von IT-Systemen, die die Mission des Außenministeriums unterstützen, sollte ein entscheidendes Ziel sein, und bisher hat das Außenministerium bei der Erreichung dieses Ziels „außerordentlich gute Arbeit“ geleistet.

Im GAO-Bericht heißt es, das Außenministerium habe einen Risikomanagementplan für Cybersicherheit dokumentiert, „der den Bundesanforderungen entspricht“. Der Plan identifiziert die Rollen und Verantwortlichkeiten des Risikomanagements und entwickelt geeignete Risikomanagementstrategien. Allerdings wurde der Plan noch nicht „vollständig“ umgesetzt, und das Außenministerium kann nicht einmal Risiken für seine IT-Ressourcen identifizieren oder überwachen, noch weiß es, wie viele IT-Ressourcen es tatsächlich besitzt.

Im vollständigen Bericht heißt es, dass das US-Außenministerium die Schwachstellen in der Informationssicherheit und Cyberbedrohungen, die den Betrieb seiner Missionen beeinträchtigen, „wahrscheinlich nicht vollständig erkennt“. Das US-Außenministerium verfügt über ein „Cyber-Incident-Response-Team“, das Sicherheitsprobleme rund um die Uhr überwacht und identifiziert, aber es fehlt ein „umfassender Implementierungsprozess“ zur Unterstützung seines Incident-Response-Plans.

Das US-Außenministerium „schützt“ seine IT-Infrastruktur „nicht ausreichend“, was wahrscheinlich die Untertreibung des Jahres ist, da die Regierungsbehörde wahrscheinlich immer noch Windows XP-basierte PCs verwendet. Das U.S. Government Accountability Office bestätigte, dass einige Betriebssysteme bereits „bereits vor 13 Jahren“ das Ende ihrer Lebensdauer erreichten, was fast genau mit dem Ende des XP-Mainstream-Supports am 14. April 2009 zusammenfällt. Microsoft bietet erweiterten Support für sein legendäres PC-Betriebssystem bis zum 8. April 2014 an.

Weitere Probleme mit der IT-Infrastruktur sind 23.689 „Hardwaresysteme“ und 3.102 Netzwerk- und Server-Betriebssysteminstallationen, die das Ende ihrer Nutzungsdauer erreicht haben und nicht mehr unterstützt werden. Der Bericht des US Government Accountability Office weist darauf hin, dass die Bürokratie und die gemeinsame Struktur des US-Außenministeriums bei der Selbstsabotage sehr erfolgreich sind, wenn das Problem der Sicherheit der Informationstechnologie nicht ausreicht, um die Menschen zu beunruhigen.

Das Außenministerium teilte die IT-Verwaltungsverantwortung zwischen dem Chief Information Officer und den Unterbehörden auf, und diese „Silokultur“ förderte einen Mangel an Kommunikation, der letztendlich zu vielen der im Bericht festgestellten Mängel führte. Aufgrund dieses Kommunikationsproblems biete die Enterprise Configuration Management (ECM)-Datenbank des Außenministeriums kein vollständiges Bild der gesamten noch verwendeten Hardware und Software, sagte das GAO. Die ECM-Datenbank scheint völlig frei von Daten zu IT-Ressourcen zu sein, die von den 20 diplomatischen Außenposten des Landes genutzt werden.

Das US Government Accountability Office hat 15 Empfehlungen ausgesprochen, um die zahlreichen Probleme anzugehen, die in der IT-Infrastruktur des US-Außenministeriums festgestellt wurden. Darüber hinaus wird das Aufsichtsamt später einen weiteren Bericht mit begrenzter Verbreitung veröffentlichen, der weitere 500 Empfehlungen hervorhebt, um den schlechten Zustand der US-Diplomaten zu beheben.