Ein Hackerangriff bei einem Auftragnehmer der US-Bundesregierung wird zu einem negativen Beispiel für Informationssicherheit und Personalüberprüfung. Kürzlich wurden die 34-jährigen Zwillingsbrüder Sohaib Akhter und Muneeb Akhter von einem Bundesgericht für schuldig befunden oder sich im Voraus schuldig bekannt, weil sie nach ihrer Entlassung böswillig Datenbanken der Bundesregierung gelöscht und damit verbundene Hacking-Aktivitäten durchgeführt hatten.

Nach Angaben des US-Justizministeriums hat eine Jury Sohaib Akhter kürzlich der Verschwörung zum Computerbetrug und zum Weiterverkauf von Passwörtern für schuldig befunden, während sein Bruder Muneeb zuvor durch eine Einredevereinbarung zugegeben hatte, an ähnlichen Taten beteiligt gewesen zu sein. Der Vorfall ereignete sich, nachdem das Paar vom Auftragnehmer der Bundesregierung, Opexus, entlassen worden war. Opexus erbringt Dienstleistungen für mehr als 45 Regierungsbehörden und speichert vertrauliche Informationen, darunter Daten im Zusammenhang mit dem Freedom of Information Act (FOIA) und Ermittlungsakten des Bundes.

Der Fall zeigt, dass Opexus die beiden im Februar letzten Jahres per Videokonferenz über ihre Entlassungen informierte, nachdem das Unternehmen herausgefunden hatte, dass gegen sie bundesrechtliche Verurteilungen wegen Cyberkriminalität aus dem Jahr 2015 vorlagen, ein wichtiger Hintergrund, der bei der ersten Einstellung nicht vollständig erkannt wurde. Obwohl das Unternehmen behauptete, „umfassende Hintergrundüberprüfungen“ der beiden Männer durchgeführt zu haben, versäumte es es offenbar, ihre früheren Hacking-Aufzeichnungen zu untersuchen, und dieses Versäumnis ebnete den Weg für spätere schwere interne Angriffe.

Schon wenige Minuten nach Erhalt des Pink Slip begannen die Brüder, Unternehmens- und Regierungsdaten ins Visier zu nehmen. Die Untersuchung ergab, dass Muneeb innerhalb weniger Stunden etwa 96 Datenbanken mit FOIA-Anfragedaten und Dokumenten im Zusammenhang mit Bundesermittlungen gelöscht hat. Gleichzeitig sperrte er auch andere Benutzerkonten und verhinderte so den normalen Zugriff auf das System.

Noch peinlicher ist, dass Opexus während des Kündigungsprozesses nur rechtzeitig den Systemzugriff von Sohaib gesperrt hat, aber „vergessen“ hat, dasselbe mit Muneebs Konto zu tun. Innerhalb von sechs Minuten nach der Benachrichtigung über seine Kündigung begann Muneeb damit, andere Benutzer zu sperren und Datenbanken zu löschen, bevor er weitere 1.805 Dokumente der Equal Employment Opportunity Commission (EEOC) und die Bundessteuerinformationen von mehr als 450 Personen stahl.

Als die Ermittler den Vorfall rekonstruierten, stellten sie fest, dass das „technische Niveau“ der beiden Brüder nicht so hoch war wie das professioneller Hacker. Um seine Spuren zu verwischen, fragte Muneeb nach dem Löschen der Datenbank tatsächlich einen KI-Chatbot, wie er die Systemprotokolle löschen könne, um Spuren des Vorgangs zu löschen. Obwohl in der Akte die konkreten Kommunikationsmittel zwischen den beiden Parteien nicht offengelegt wurden, erhielten die Strafverfolgungsbehörden schließlich Textaufzeichnungen ihrer Gespräche, die zu einem wichtigen Beweismittel wurden.

Tatsächlich ist dies nicht das erste Mal, dass die Akhter-Brüder in einen Fall von Cyberkriminalität auf Bundesebene verwickelt sind. In einem früheren Fall aus dem Jahr 2015 gaben die beiden zu, sich in mehrere Websites gehackt, Kreditkarteninformationen gestohlen und versucht zu haben, persönliche Daten im Dark Web zu verkaufen. Damals wurde Sohaib auch vorgeworfen, mit seinem Bruder und anderen verschworen zu haben, um die persönlichen Daten von Kollegen zu stehlen und im Laufe der Zeit heimlich Hardwaregeräte zur Überwachung von Regierungssystemen zu installieren, während er im US-Außenministerium arbeitete.

Opexus gab nach dem Vorfall zu, dass das Unternehmen zwar Hintergrundüberprüfungen während der Einstellung durchgeführt habe, diese jedoch „offensichtlich nicht gründlich genug“ gewesen seien, um die früheren bundesstaatlichen Cyberkriminalitätsaufzeichnungen der Brüder zu ermitteln. Dieser Fehler, gepaart mit dem Versäumnis, alle Kontoberechtigungen bei der Entlassung vollständig zu widerrufen, führte innerhalb weniger Stunden direkt zur groß angelegten Löschung und zum Diebstahl sensibler Regierungsdaten.

Was das Gerichtsverfahren anbelangt, unterzeichnete Muneeb die Einspruchsvereinbarung vor seinem Bruder, doch vor Kurzem begann er im Gefängnis, in handschriftlichen Briefen beim Gericht zu beantragen, dass er seinen Einspruch zurückziehen sollte. In dem Brief behauptete er, sein Verteidiger sei „wirkungslos“ und äußerte seine Hoffnung, vor Gericht zu erscheinen, um sich zu verteidigen. Die weitere Entscheidung des Falles muss noch durch das Gericht entschieden werden.

Der Vorfall macht deutlich, dass Versäumnisse bei der Personalüberprüfung und Kontoverwaltung in kritischen Systemen, die Regierungsdaten, Ermittlungsakten und die Privatsphäre der Bürger betreffen, schnell zu schwerwiegenden Cybersicherheitsvorfällen führen können. Für Regierungsbehörden, die auf Auftragnehmer und Dienste Dritter angewiesen sind, wird die Einrichtung strengerer und systematischerer Sicherheitsmechanismen bei der Einstellung, Hintergrundüberprüfung, Autoritätsverwaltung und Kündigungsprozessen zu einer unvermeidbaren praktischen Frage.