US-Behörden patzen beim Datenschutz

Das Weiße Haus hat alle Behörden eindringlich an den 22. September erinnert. Bis zu diesem Termin müssen alle Regierungsbereiche Pläne dafür ausgearbeitet haben, wie sie dem Diebstahl von elektronischen Daten künftig besser vorbeugen wollen.

Den Auftrag und den Termin dafür hatte das Weiße Haus im Frühjahr erteilt, nachdem Laptops mit den persönlichen Daten von 26,5 Millionen Soldaten verschwunden waren. Die Bush-Regierung kam mit diesem Schritt dem Kongress zuvor, der eine Gesetzesinitiative favorisierte. Inzwischen hat sich der Kongress jedoch dem Vorgehen der Regierung gebeugt. “Wenn die Mitarbeiter in den Behörden einen guten Job machen, ist das Ergebnis viel besser als alles, was wir im Parlament ausarbeiten könnten”, sagte der republikanische Abgeordnete Tom Davis aus Virginia.

Doch bei den meisten Behörden ist man über erste Denkansätze nicht hinausgekommen und bezweifelt inzwischen, dass man den Termin in zwei Monaten halten kann.

Die wenigen Behörden, die bereits Pläne fertig haben, wollen überwiegend die bekannten Maßnahmen einsetzen – wie Verschlüsselung oder besseres ID-Management. Doch das ist im Hinblick auf die heterogenen Systemlandschaften leichter gesagt als getan. “Viele Abteilungen denken auch nicht weit genug. Wenn Mitarbeiter beispielsweise ihre E-Mail-Adresse als Verschlüsselungs-Key nehmen, ist das nicht besonders sicher”, sagte Tim Grance vom ‘National Institute of Standards and Technology’ (NIST), das mit der Begutachtung der von den Behörden ausgearbeiteten Maßnahmen beauftragt ist.

Am weitesten fortgeschritten ist das Handelsministerium. Hier gibt es bereits ein detailliertes Manual und große Poster auf den Bürogängen, die bestimmte Situationen beschreiben: “Sie haben den Blackberry des Ministeriums in der U-Bahn liegen gelassen – was ist zu tun?” Die ganz klein am unteren Rand geschriebene Antwort: “Melden Sie es sofort Ihrem Vorgesetzen!”